Niveles de madurez en los CIS Controls – IG1, IG2, IG3 - v2

Por -


Niveles de madurez en los CIS Controls – IG1, IG2, IG3

Los Grupos de Implementación (Implementation Groups) de los CIS Controls v8 representan una progresión natural desde la visibilidad básica hasta la resiliencia automatizada. Cada nivel amplía al anterior, consolidando una arquitectura defensiva viva, trazable y contextual.

🟢 IG1 — Fundacional (Visibilidad básica)

Objetivo: Establecer una línea base de visibilidad y control mínimo viable sobre activos, software, datos y cuentas.

🔧 Controles y acciones clave

  • Inventario y Control de Activos:
    • Descubrimiento técnico: Nmap, SNMP, DHCP logs
    • Inventario dual: red (IP/MAC) + físico (ubicación, responsable)
    • Políticas de alta/baja manuales
  • Inventario y Control de Software:
    • Registro de aplicaciones instaladas
    • Listas de software autorizado/no autorizado (allow/deny list)
    • Herramientas simples: OCS Inventory, GLPI
  • Protección de Datos:
    • Clasificación inicial: pública, interna, confidencial
    • Copias de seguridad básicas (manuales o programadas)
    • Controles de acceso simples (ACLs locales, contraseñas)
  • Configuración Segura de Activos:
    • Baseline mínimo: firewall activado, antivirus, parches aplicados
    • Checklist de configuración inicial
    • Documentación básica en PDF o Excel
  • Gestión de Cuentas:
    • Inventario de usuarios
    • Políticas de alta/baja manuales
    • Roles básicos: usuario, administrador

📘 Evidencia esperada

  • Inventario en Excel o CSV
  • Capturas de Nmap o scripts de descubrimiento
  • Listas de software con fecha de revisión

🎯 Resultado:

La organización sabe qué tiene, dónde está y quién lo usa. Se establece una base para avanzar.

🟡 IG2 — Gestión activa (Procesos definidos)

Objetivo: Transformar la visibilidad en gestión activa mediante procesos definidos, herramientas integradas y monitoreo continuo.

🔧 Controles y acciones clave

  • Gestión de Acceso:
    • Autenticación multifactor (MFA)
    • Políticas de contraseñas modernas (NIST SP 800‑63B)
    • NAC básico (802.1X, MAC filtering)
  • Gestión de Vulnerabilidades:
    • Escaneos periódicos (Nessus, OpenVAS)
    • Priorización por criticidad (CVSS, contexto)
    • Integración con ticketing (GLPI, Jira)
  • Auditoría y Logging:
    • Centralización de logs (Syslog, Windows Event Forwarding)
    • SIEM básico (Wazuh, Graylog, Splunk Free)
    • Alertas iniciales por eventos críticos
  • Email y Navegación Segura:
    • Filtros antiphishing (SPF, DKIM, DMARC)
    • Proxy seguro con filtrado de contenido
    • Campañas de concienciación básica
  • Defensas contra Malware:
    • Antivirus corporativo gestionado
    • EDR básico (Microsoft Defender, CrowdStrike Falcon Free)
    • Políticas de actualización forzadas
  • Recuperación de Datos:
    • Backups automatizados (Veeam, scripts)
    • Pruebas de restauración documentadas
    • Segmentación de copias (offline, cloud, immutable)
  • Gestión de Red:
    • Segmentación por VLAN
    • Firewalls internos (pfSense, FortiGate)
    • IDS/IPS básicos (Snort, Suricata)

📘 Evidencia esperada

  • Dashboard de GLPI, Lansweeper o CMDB
  • Alertas SIEM con correlación básica
  • Tickets automáticos por vulnerabilidades detectadas

🎯 Resultado:

La organización gestiona activamente su entorno, responde a eventos y reduce el tiempo de exposición.

🔴 IG3 — Madurez avanzada (Automatización y resiliencia)

Objetivo: Alcanzar un estado de automatización, trazabilidad y resiliencia frente a amenazas avanzadas y persistentes.

🔧 Controles y acciones clave

  • Gestión de Seguridad de Proveedores:
    • Evaluación de terceros (cuestionarios, evidencias)
    • Contratos con cláusulas de seguridad
    • Auditorías externas periódicas
  • Seguridad en Servicios Cloud:
    • Inventario de recursos cloud (AWS, Azure, GCP)
    • Configuración segura (AWS Config, Azure Policy, GCP SCC)
    • Integración con SIEM y CSPM
  • Seguridad en Móviles y BYOD:
    • Políticas de acceso condicional (Intune, Workspace ONE)
    • MDM/MAM para control de dispositivos
    • Registro temporal y controlado de BYOD
  • Seguridad en Aplicaciones:
    • DevSecOps: seguridad integrada en el ciclo de vida
    • Pruebas de código: SAST (SonarQube), DAST (OWASP ZAP)
    • Integración en pipelines CI/CD (GitLab, Jenkins)
  • Gestión de Incidentes:
    • Playbooks de respuesta automatizados (SOAR)
    • Simulación de ataques (Red Team, Purple Team)
    • Métricas de tiempo de detección y contención (MTTD, MTTR)
  • Pruebas de Penetración y Red Team:
    • Ejercicios periódicos internos y externos
    • Validación de controles técnicos y humanos
    • Informe de resiliencia con recomendaciones priorizadas

📘 Evidencia esperada

  • Alertas SIEM con respuesta automática
  • Dashboards visuales de riesgo y cumplimiento

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

IG2 – Intermedio: Clasificación técnica y control de activos en el CIS Control 1

Por -
Imagen
🟡 IG2 – Intermedio: Clasificación técnica y control de activos en el CIS Control 1 Objetivo: Consolidar un inventario técnico confiable mediante procesos definidos, herramientas integradas y validación cruzada. Este nivel permite detectar, clasificar y gestionar los activos con trazabilidad operativa. Contexto: IG2 es adecuado para organizaciones con infraestructura estable, personal técnico asignado y necesidad de control sobre el ciclo de vida de los activos. Requiere herramientas de descubrimiento más precisas, políticas formales y correlación de múltiples fuentes. 🔧 Controles operativos Clasificación técnica: Nmap con -sV y -O para detectar servicios y sistema operativo Correlación de fuentes: SNMP walk, registros DHCP, tabla ARP, prefijos MAC Asignación de categoría rápida: Windows, Linux, IoT, KNX/IP según puertos y servicios Verificación física y documental: Confirmación de ubicación y función de cada activo Inventario dual consolidado: Nivel red...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »