What are CIS Benchmarks?

Un punto de referencia CIS contiene orientación del Centro para la Seguridad de Internet (CIS) sobre las mejores prácticas para configurar sistemas de TI, red y software. El CIS ha publicado más de 140 puntos de referencia con el apoyo de profesionales de ciberseguridad y expertos en la materia en comunidades de todo el mundo.

Solicite una demostración Download the Security Report

What are CIS Benchmarks?

Las categorías de puntos de referencia CIS

Los puntos de referencia de la CEI se clasifican en siete grupos, que incluyen:

  1. Compuntos de referencia del sistema operativo: Estos puntos de referencia describen cómo configurar de forma segura Microsoft Windows, Linux, Apple OSX y otros sistemas operativos. La guía incluye administración de acceso, instalación de controladores, configuraciones del navegador y otras configuraciones con impactos de seguridad.
  2. Compuntos de referencia de software de servidor: Estos puntos de referencia cubren la configuración segura de Microsoft Windows Server, Kubernetes, SQL Server y otro software de servidor. Los certificados PKI de Kubernetes, la configuración del servidor API y los controles administrativos del servidor son algunos de los temas cubiertos.
  3. Puntos de referencia de proveedores de nube: Estos puntos de referencia describen las mejores prácticas de seguridad para configurar nubes públicas como Amazon Web Services (AWS), Microsoft Azure y Google Cloud Platform. Los temas incluyen gestión de identidades y acceso, registros, cumplimiento normativo y redes.
  4. Puntos de referencia de dispositivos móviles: Estos puntos de referencia analizan las configuraciones de dispositivos móviles. Algunas prácticas recomendadas incluyen la configuración del desarrollador, los permisos de la aplicación y las configuraciones de privacidad de SO.
  5. Puntos de referencia de dispositivos de red: Estos puntos de referencia describen cómo configurar de forma segura un dispositivo de red. La orientación es neutral con respecto al proveedor y generalmente se aplica en los sistemas de diferentes proveedores.
  6. Compuntos de referencia de software de escritorio: Estos puntos de referencia describen las mejores prácticas de seguridad para aplicaciones ampliamente utilizadas, como Microsoft Office y navegadores comunes. Los temas incluyen privacidad de correo electrónico, configuración del navegador y Administración de dispositivos móviles (MDM).
  7. Puntos de referencia del dispositivo de impresión multifunción: Estos puntos de referencia describen las mejores prácticas para configurar y proteger impresoras multifunción, como administración de actualizaciones de firmware, configuraciones de acceso inalámbrico a red y más.

Punto de referencia CIS de Kubernetes

Los rumores en torno a los K8 no muestran signos de amainar, y aunque Kubernetes es una plataforma fantástica para contenedores y microservicios, ha habido interrogantes en torno a su seguridad general, especialmente en sus primeros días. CIS ha estado trabajando para proteger Kubernetes desde 2017 y el punto de referencia del Centro para la Seguridad de Internet ya se encuentra en la versión 1.23.

El punto de referencia Kubernetes CIS, al igual que otros puntos de referencia CIS, proporciona administración de la postura de seguridad mejores prácticas adaptadas a las necesidades únicas de Kubernetes y sus contenedores. CIS Benchmarks for Kubernetes proporciona una guía de seguridad exhaustiva dividida en dos dominios: Configuración de seguridad del nodo maestro, que cubre el programador, administrador del controlador, archivos de configuración, etc. y PodSecurityPolicies, y configuración de seguridad del nodo trabajador, dirigida a Kubelet y archivos de configuración.

Prueba de referencia CIS firewall

Los puntos de referencia CIS son un conjunto de estándares de ciberseguridad de mejores prácticas para una variedad de sistemas y productos de TI, incluyendo Firewalls. El benchmark de firewall proporciona una configuración básica para garantizar el cumplimiento de los estándares de ciberseguridad acordados por la industria que desarrolla CIS junto con comunidades de expertos en ciberseguridad dentro de la industria y los institutos de investigación. Los administradores de sistemas y aplicaciones, especialistas en seguridad, auditores, servicio de asistencia técnica y personal de implementación de plataformas pueden utilizar el punto de referencia para desarrollar, implementar, evaluar o proteger su infraestructura de seguridad.

Beneficios de los puntos de referencia CIS

Los puntos de referencia de CIS proporcionan numerosos beneficios a una organización, incluyendo:

  • Conocimientos y experiencia recopilados: Los puntos de referencia de CIS se desarrollan con el aporte de la comunidad de ciberseguridad y TI, proporcionando los beneficios de toda su experiencia.
  • Seguridad mejorada: Los puntos de referencia de CIS describen las mejores prácticas de seguridad para los sistemas de destino que, si se implementan, pueden ayudar a cerrar vulnerabilidades y limitar la vulnerabilidad de una organización a los ataques.
  • Orientación actualizada: Los puntos de referencia de CIS se actualizan periódicamente, asegurando que sus instrucciones paso a paso sigan siendo relevantes a medida que las soluciones cambian y evolucionan.
  • Seguridad consistente: Los puntos de referencia CIS describen las mejores prácticas para proteger diversas tecnologías, lo que permite a una organización alcanzar la madurez de seguridad en toda la infraestructura de TI.
  • Facilidad de uso: Los puntos de referencia CIS están diseñados para ser implementados, lo que hace que sea sencillo implementar las configuraciones y controles recomendados.

Puntos de referencia CIS y cumplimiento normativo

Las empresas deben lograr, mantener y demostrar el cumplimiento de un número creciente de regulaciones. A medida que el panorama regulatorio se vuelve más complejo, puede ser difícil para una organización asegurarse de que cumple con todos los requisitos aplicables.

El Centro de puntos de referencia de seguridad de Internet está diseñado para ayudar en los esfuerzos de cumplimiento al describir las mejores prácticas que se alinean y cumplen con las principales regulaciones. Por ejemplo, los puntos de referencia de CIS están estrechamente relacionados con el Marco de Ciberseguridad del NIST, el Estándar de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS), la Ley de Portabilidad y Accesibilidad del Seguro de Salud (HIPĀA), e ISO 27001.

Además de proporcionar orientación sobre las mejores prácticas, Center for Internet Security también ofrece controles CIS e imágenes endurecidas CIS, que son imágenes preconfiguradas de sistemas configurados de forma segura. Estos recursos también pueden agilizar el proceso de cumplimiento al proporcionar a las organizaciones acceso a sistemas diseñados para cumplir con las regulaciones aplicables.

Cómo lograr el cumplimiento de CIS

Una organización puede lograr el cumplimiento de CIS implementando las mejores prácticas descritas en los puntos de referencia de CIS. Estos recursos están disponibles gratuitamente y contienen una guía paso a paso para asegurar una variedad de sistemas. Alternativamente, una organización puede implementar imágenes endurecidas CIS, que contienen versiones preconstruidas de diferentes sistemas operativos configurados para cumplir con los requisitos de CIS.

Sin embargo, si bien es posible lograr manualmente el cumplimiento de los puntos de referencia de la CEI, puede resultar difícil lograrlo a escala. Software de gestión de cumplimiento puede ayudar a una organización a lograr y mantener el cumplimiento de los puntos de referencia CIS identificando y destacando las configuraciones que no cumplen para su corrección.

Puntos de referencia y Check Pointde la CEI

Mantener el cumplimiento normativo y la seguridad del sistema para todos los activos de TI de una organización puede resultar difícil, especialmente a medida que la infraestructura corporativa se expande a la nube. Entornos multinubes, con su visibilidad limitada y configuraciones desconocidas, son una causa común de violaciones de datos e incidentes de seguridad.

CloudGuard de Check Point automatiza la gestión del cumplimiento, incluido el cumplimiento de los puntos de referencia CIS y otras regulaciones y estándares de seguridad importantes. Las organizaciones pueden incluso usar esto para administrar la configuración del firewall de Check Point según el Prueba comparativa firewall CIS Check Point. Para obtener más información sobre las capacidades del firewall de Check Point, solicite un free demo. Para obtener más información sobre las capacidades de CloudGuard y cómo puede ayudar a su organización a mejorar la seguridad en la nube y simplificar el cumplimiento normativo, regístrese para una demostración gratuita hoy.

x
  Comentarios
Este sitio web emplea cookies para su funcionalidad y con fines analíticos y de marketing. Al continuar empleando este sitio web, usted acepta el uso de cookies. Para más información, lea nuestro Aviso sobre cookies.