CIS Critical Security Controls v8.0
Referencia de Conocimiento
Enlaces Rápidos
Los 18 Controles
Explore los controles con desglose de salvaguardas
14 Controles de Gobernanza
Estrategia de riesgo cibernético, marco de trabajo y supervisión
35 Plantillas de Políticas
Lenguaje de políticas completo con puntos de personalización
CIS RAM v2.1
Referencia de metodología de evaluación de riesgos
Lista de Verificación de Auditoría
Verificación de auditoría por control y requisitos de evidencia
Calendario Operativo
Programa de actividades recurrentes de 12 meses
Buscar
Encuentre cualquier salvaguarda, control o política
Resumen de Controles
| # | Nombre del Control | Total | IG1 | IG2 | IG3 |
|---|---|---|---|---|---|
| 1 | Inventario y Control de Activos Empresariales | 5 | 2 | 4 | 5 |
| 2 | Inventario y Control de Activos de Software | 7 | 3 | 6 | 7 |
| 3 | Protección de Datos | 14 | 6 | 12 | 14 |
| 4 | Configuración Segura de Activos y Software Empresarial | 12 | 7 | 11 | 12 |
| 5 | Gestión de Cuentas | 6 | 4 | 6 | 6 |
| 6 | Gestión de Control de Acceso | 8 | 5 | 7 | 8 |
| 7 | Gestión Continua de Vulnerabilidades | 7 | 4 | 7 | 7 |
| 8 | Gestión de Registros de Auditoría | 12 | 3 | 11 | 12 |
| 9 | Protecciones de Correo Electrónico y Navegador Web | 7 | 2 | 6 | 7 |
| 10 | Defensas contra Malware | 7 | 3 | 7 | 7 |
| 11 | Recuperación de Datos | 5 | 4 | 5 | 5 |
| 12 | Gestión de Infraestructura de Red | 8 | 1 | 7 | 8 |
| 13 | Monitoreo y Defensa de Red | 11 | 0 | 6 | 11 |
| 14 | Capacitación en Conciencia y Habilidades de Seguridad | 9 | 8 | 9 | 9 |
| 15 | Gestión de Proveedores de Servicios | 7 | 1 | 4 | 7 |
| 16 | Seguridad de Software de Aplicación | 14 | 0 | 11 | 14 |
| 17 | Gestión de Respuesta a Incidentes | 9 | 3 | 8 | 9 |
| 18 | Pruebas de Penetración | 5 | 0 | 3 | 5 |
| Totales | 153 | 56 | 130 | 153 | |
Grupos de Implementación
IG1: Higiene Cibernética Esencial
56 salvaguardasEl estándar mínimo de seguridad de la información para todas las organizaciónes. IG1 representa la entrada a los CIS Controls y consiste en un conjunto fundamental de salvaguardas de defensa cibernética que toda organización debe aplicar para protegerse contra los ataques más comunes.
Adecuado para: Organizaciónes pequeñas a medianas con experiencia limitada en TI y ciberseguridad. Sensibilidad de datos baja. La preocupacion principal es mantener el negocio operativo.
IG2: Organización con Gestión de Riesgos
130 salvaguardasPara organizaciónes que gestiónan infraestructura de TI de complejidad variable. Estas organizaciónes almacenan y procesan información sensible de clientes o de la empresa y necesitan resistir amenazas de actores más sofisticados. Incluye todas las salvaguardas de IG1 mas protecciónes adicionales.
Adecuado para: Organizaciónes con personal de TI dedicado, multiples departamentos, requisitos de cumplimiento regulatorio (HIPAA, PCI, leyes de privacidad), y tolerancia al riesgo moderada.
IG3: Seguridad Integral
153 salvaguardasPara organizaciónes que gestiónan datos o sistemas con supervisión regulatoria y de cumplimiento. Deben abordar la disponibilidad de los servicios y la confidencialidad e integridad de datos sensibles. Los ataques pueden causar un dano significativo al bienestar publico. Incluye todas las salvaguardas de IG1 e IG2.
Adecuado para: Organizaciónes con equipos de seguridad dedicados, capacidades SOC, detección avanzada de amenazas, manejo de datos sujetos a supervisión regulatoria y operadores de infraestructura crítica.