Niveles de madurez en los CIS Controls – IG1, IG2, IG3 - v3

Por -

Niveles de madurez en los CIS Controls – IG1, IG2, IG3

La madurez de un control no se mide por el tiempo que lleva escrito en un documento, sino por la evidencia operativa que lo respalda. Los CIS Controls v8 definen tres niveles progresivos llamados Grupos de Implementación (Implementation Groups): IG1, IG2 e IG3.

Cada nivel representa una etapa evolutiva en la defensa: desde la visibilidad básica hasta la resiliencia automatizada. No son excluyentes: IG2 amplía a IG1, e IG3 refuerza a ambos. Esta progresión convierte los controles en doctrina viva, trazable y contextual.

🟢 IG1 — Fundacional (Visibilidad básica)

El nivel IG1 representa el umbral operativo de la seguridad organizacional. Aquí se establece la visibilidad mínima necesaria para comenzar a defender, gestionar y auditar los activos digitales. Las acciones descritas no requieren automatización avanzada ni infraestructura compleja: son controles esenciales, ejecutables con herramientas simples y procedimientos claros.

Ideal para: laboratorios, entornos educativos, pequeñas organizaciones o como base para construir madurez superior.

🔧 Controles clave

  • Inventario y Control de Activos:
    • Descubrimiento técnico: Nmap, SNMP, análisis de logs DHCP
    • Inventario dual: red (IP/MAC) + físico (ubicación, responsable)
    • Políticas de alta/baja básicas
  • Inventario y Control de Software:
    • Registro de aplicaciones instaladas
    • Listas de software autorizado/no autorizado
    • Herramientas simples: OCS Inventory, GLPI
  • Protección de Datos:
    • Clasificación inicial: pública, interna, confidencial
    • Copias de seguridad básicas (manuales o programadas)
    • Controles de acceso simples (ACLs locales, contraseñas)
  • Configuración Segura de Activos:
    • Baseline mínimo: firewall activado, antivirus, parches aplicados
    • Checklist de configuración inicial
    • Documentación básica en PDF o Excel
  • Gestión de Cuentas:
    • Inventario de usuarios
    • Políticas de alta/baja manuales
    • Roles básicos: usuario, administrador

🟡 IG2 — Gestión activa (Procesos definidos)

IG2 representa el paso desde la visibilidad hacia la gestión consciente y continua. Aquí los controles dejan de ser tareas aisladas y se convierten en procesos definidos, integrados en herramientas, flujos y alertas. La organización ya no reacciona: detecta, previene y documenta. Cada acción genera trazabilidad, cada evento puede ser auditado.

Ideal para: entornos en crecimiento, laboratorios intermedios y simuladores que buscan validar la eficacia operativa.

🔧 Controles clave

  • Gestión de Acceso:
    • Autenticación multifactor (MFA)
    • Políticas de contraseñas modernas (NIST SP 800‑63B)
    • NAC básico (802.1X, MAC filtering)
  • Gestión de Vulnerabilidades:
    • Escaneos periódicos (Nessus, OpenVAS)
    • Priorización por criticidad (CVSS, contexto)
    • Integración con ticketing (GLPI, Jira)
  • Auditoría y Logging:
    • Centralización de logs (Syslog, WEF)
    • SIEM básico (Wazuh, Graylog)
    • Alertas iniciales por eventos críticos
  • Email y Navegación Segura:
    • Filtros antiphishing (SPF, DKIM, DMARC)
    • Proxy seguro con filtrado de contenido
    • Concienciación básica (campañas, simulacros)
  • Defensas contra Malware:
    • Antivirus corporativo gestionado
    • EDR básico (Microsoft Defender, CrowdStrike Free)
    • Políticas de actualización forzadas
  • Recuperación de Datos:
    • Backups automatizados
    • Pruebas de restauración documentadas
    • Segmentación de copias (offline, cloud, immutable)
  • Gestión de Red:
    • Segmentación por VLAN
    • Firewalls internos (pfSense, FortiGate)
    • IDS/IPS básicos (Snort, Suricata)

🔴 IG3 — Madurez avanzada (Automatización y resiliencia)

IG3 es el nivel donde la defensa se vuelve resiliente, automatizada y trazable. Aquí los controles no solo existen: se prueban, se simulan y se adaptan. La infraestructura se convierte en un organismo consciente, capaz de detectar anomalías, responder a incidentes y demostrar cumplimiento.

Ideal para: entornos críticos, simuladores ofensivos, auditorías avanzadas y laboratorios de validación cruzada.

🔧 Controles clave

  • Gestión de Seguridad de Proveedores:
    • Evaluación de terceros (cuestionarios, evidencias)
    • Contratos con cláusulas de seguridad
    • Auditorías externas periódicas
  • Seguridad en Servicios Cloud:
    • Inventario de recursos cloud (AWS, Azure, GCP)
    • Configuración segura (AWS Config, Azure Graph)
    • Integración con SIEM y CSPM
  • Seguridad en Móviles y BYOD:
    • Políticas de acceso condicional (Intune, Workspace ONE)
    • MDM/MAM para control de dispositivos
    • Registro temporal y controlado de BYOD
  • Seguridad en Aplicaciones:
    • Ciclo de vida seguro (DevSecOps)
    • Pruebas de código: SAST (SonarQube), DAST (OWASP ZAP)
    • Integración en pipelines CI/CD (GitLab, Jenkins)
  • Gestión de Incidentes:
    • Playbooks de respuesta automatizados (SOAR)
    • Simulación de ataques (Red Team, Purple Team)
    • Métricas de tiempo de detección y contención (MTTD, MTTR)
  • Pruebas de Penetración y Red Team:
    • Ejercicios periódicos internos y externos

Comentarios

Publicar un comentario

Los comentarios son parte del proceso doctrinal. Aporta, corrige o amplia cuando desees.

Entradas más populares de este blog

Del spoofing al MitM: defensa contextual por capas OSI

Por -
Ataques en capas OSI y contramedidas modernas Nota para arquitectos de seguridad: Muchos manuales describen ataques sin precisar en qué capa del modelo OSI actúan ni qué propiedad de seguridad comprometen. Esta clasificación es esencial para diseñar defensas estratificadas y contextualizadas. 📐 Clasificación por capa OSI Capa OSI Ataques típicos Propiedades afectadas Contramedidas modernas Capa 2 (Enlace de datos) MAC spoofing, ARP poisoning Integridad, Confidencialidad Port Security, Dynamic ARP Inspection (DAI), NAC Capa 3 (Red) IP spoofing, DoS/DDoS Disponibilidad, Autenticación Firewalls con filtrado, IDS/IPS, rate limiting Capa 4 (Transporte) TCP SYN flood, UDP flood Disponibilidad SYN cookies, balanceadores con protección, mitigación DDoS Capas 5–7 (Sesión, Presentación, Aplicación) Man-in-the-M...
Read more »

IG2 – Intermedio: Clasificación técnica y control de activos en el CIS Control 1

Por -
Imagen
🟡 IG2 – Intermedio: Clasificación técnica y control de activos en el CIS Control 1 Objetivo: Consolidar un inventario técnico confiable mediante procesos definidos, herramientas integradas y validación cruzada. Este nivel permite detectar, clasificar y gestionar los activos con trazabilidad operativa. Contexto: IG2 es adecuado para organizaciones con infraestructura estable, personal técnico asignado y necesidad de control sobre el ciclo de vida de los activos. Requiere herramientas de descubrimiento más precisas, políticas formales y correlación de múltiples fuentes. 🔧 Controles operativos Clasificación técnica: Nmap con -sV y -O para detectar servicios y sistema operativo Correlación de fuentes: SNMP walk, registros DHCP, tabla ARP, prefijos MAC Asignación de categoría rápida: Windows, Linux, IoT, KNX/IP según puertos y servicios Verificación física y documental: Confirmación de ubicación y función de cada activo Inventario dual consolidado: Nivel red...
Read more »

Fallos arquitectónicos en redes internas: el enemigo ya está dentro

Por -
Fallos arquitectónicos en redes internas: el enemigo ya está dentro En muchas organizaciones, la seguridad se centra en firewalls, antivirus y soluciones de perímetro. Sin embargo, la mayoría de los incidentes graves no empiezan en la frontera , sino dentro de la red, aprovechando configuraciones débiles, redes planas y errores invisibles que pueden persistir durante años. Los atacantes internos —o externos que logran entrar— no necesitan explotar vulnerabilidades sofisticadas. Les basta con encontrar un entorno mal segmentado, un switch sin hardening o un puerto configurado por defecto. La seguridad interna no falla por falta de tecnología, sino por falta de criterio arquitectónico. 🧱 Errores estructurales comunes 1. Redes planas Una red plana es aquella donde todos los dispositivos comparten el mismo dominio de broadcast y pueden comunicarse sin restricciones. Riesgos: Facilita el movimiento lateral Permite ataques de Capa 2 sin contención Habilita escaneo ...
Read more »