Este mes fue liberada la versión 8 de los controles de ciberseguridad sugeridos por CIS (Center for Internet Security), los cuales en su versión anterior 7.1 eran 20 controles, ahora son solo 18 controles.
El texto del documento es un paso de un proceso para diseñar, implementar, medir, informar y gestionar la seguridad de la empresa y se adapta completamente a cualquier marco que esté usando la organización.
Cada uno de los controles conserva la siguiente estructura:
- Resumen. Una breve descripción de la intención del Control y su utilidad como acción defensiva
- ¿Por qué es crítico este Control? Una descripción de la importancia de este control para bloquear, mitigar o identificar ataques, y una explicación de cómo los atacantes explotan activamente la ausencia de este control
- Procedimientos y herramientas. Una descripción más técnica de los procesos y tecnologías que permiten la implementación y automatización de este Control
- Descripciones de salvaguarda. Un cuadro con las acciones específicas que las empresas deben realizar para aplicar el Control
En esta nueva versión, los controles se apoyan en tres grupos llamados IG1, IG2 e IG3 y cada uno contiene al anterior, es decir, IG1 está contenido dentro de IG2 y todos están contenidos en IG3. El primero de ellos corresponde al los controles básicos que deberán tener las empresas en lo que se refiere a ciber higiene.
Aquí está un ejemplo de las salvaguardas del control número 1:
En mi concepto es un documento muy bien elaborado, fácil de entender y aplicar, adicionalmente, apoya los marcos de seguridad implementados sin entrar en controversia.
Puedes consultar los documentos completos en el siguiente link:
https://www.cisecurity.org/controls/v8/
No hay comentarios:
Publicar un comentario