en los últimos años se ha hecho evidente que en el mundo de la seguridad de la información, la ofensiva está superando a la defensa. A pesar de que los presupuestos aumentan y la administración presta más atención a los riesgos de pérdida de datos y penetración del sistema, los datos todavía se pierden y los sistemas todavía se penetran. Una y otra vez la gente se pregunta: «¿qué podemos hacer prácticamente para proteger nuestra información?»La respuesta ha llegado en la forma de 20 controles de garantía de la información conocidos como controles del CIS.,
los controles de seguridad críticos de CIS-Versión 7.,Control
controles de seguridad críticos para una defensa cibernética efectiva
las siguientes descripciones de los controles de seguridad críticos se pueden encontrar en el sitio web del Instituto SANS:
intenta abordar los riesgos para los sistemas empresariales y los datos críticos en ellos., Sin embargo, la mayoría de estos esfuerzos se han convertido esencialmente en ejercicios de informes sobre el cumplimiento y en realidad han desviado los recursos del programa de seguridad de los ataques en constante evolución que deben abordarse. En 2008, la Agencia de Seguridad Nacional (NSA, por sus siglas en inglés) reconoció que esto era un problema grave, y comenzaron un esfuerzo que tomó un enfoque de «la ofensiva debe informar a la defensa» para priorizar una lista de los controles que tendrían el mayor impacto en la mejora de la postura de riesgo contra las amenazas del mundo real. Un consorcio de estados UNIDOS, y las agencias internacionales crecieron rápidamente, y se unieron expertos de la industria privada y de todo el mundo. En última instancia, las recomendaciones para lo que se convirtió en los controles de seguridad críticos (los controles) se coordinaron a través del Instituto SANS. En 2013, la administración y el mantenimiento de los controles se transfirieron al Consejo de ciberseguridad (el Consejo), una entidad independiente y global sin fines de lucro comprometida con una Internet segura y abierta.,
Los controles de seguridad críticos se centran primero en priorizar las funciones de seguridad que son efectivas contra las últimas amenazas dirigidas avanzadas, con un fuerte énfasis en «lo que funciona»: controles de seguridad donde se utilizan productos, procesos, arquitecturas y servicios que han demostrado eficacia en el mundo real. La estandarización y la automatización es otra de las principales prioridades, para obtener eficiencias operativas y al mismo tiempo mejorar la eficacia., Las acciones definidas por los controles son demostrablemente un subconjunto del catálogo completo definido por el Instituto Nacional de estándares y Tecnología (NIST) SP 800-53. Los controles no intentan reemplazar el trabajo del NIST, incluido el marco de ciberseguridad desarrollado en respuesta a la Orden Ejecutiva 13636. En cambio, los controles priorizan y se centran en un número menor de controles accionables con una alta rentabilidad, con el objetivo de una filosofía de «primero debe hacer»., Dado que los controles se derivaron de los patrones de ataque más comunes y fueron examinados en una comunidad muy amplia de gobierno e industria, con un consenso muy fuerte sobre el conjunto resultante de controles, sirven como base para una acción inmediata de alto valor.
> Recomendado Referencias
La Crítica de los Controles de Seguridad (versión 7.,1) | ||||
AuditScripts Critical Security Control Executive Assessment Tool | ||||
CIS Critical Security Control v7.,9768b575″> | Implementing the 20 Critical Controls with Security Information and Event Management Systems | |||
A Small Business No Budget Implementation of the SANS 20 Critical Controls |