La perspectiva de Cyber Academy
Los CIS Critical Security Controls son un conjunto priorizado de 18 categorías de controles publicado por el Center for Internet Security. Los grupos de implementación (IG1, IG2, IG3) se adaptan a la madurez de la organización. La vía más rápida para llevar a una organización pequeña o mediana desde cero hasta un nivel de defensa sostenible. Se alinea con precisión con el Anexo A de ISO/IEC 27001.
Qué son realmente los CIS Controls
Los CIS Critical Security Controls son una respuesta ordenada y con criterio a una pregunta que enfrenta todo defensor: de todo lo que podrías hacer, ¿qué deberías hacer primero?
Publicados y mantenidos por el Center for Internet Security, destilan datos de ataques reales en un conjunto priorizado de salvaguardas agrupadas en 18 categorías de controles, desde el inventario de activos y software de la empresa hasta la protección de datos, el control de accesos, la gestión continua de vulnerabilidades, la gestión de registros de auditoría y la respuesta a incidentes.
A diferencia de un marco que te dice que establezcas un proceso, los Controls te dicen concretamente qué implementar y, a grandes rasgos, en qué orden, razón por la cual suelen ser la vía más rápida para pasar de no tener programa de seguridad a tener uno defendible.
El rasgo definitorio es la priorización. La lista no es alfabética ni teórica; los controles iniciales son los que bloquean los ataques más comunes. Saber qué hardware y software tienes, configurarlo de forma segura, controlar los privilegios administrativos y parchear las vulnerabilidades conocidas previene una gran parte de los incidentes reales antes de que gastes un solo euro en herramientas avanzadas. Ese orden es el valor: un equipo pequeño con tiempo limitado puede empezar por arriba e ir bajando, con la confianza de estar cerrando las brechas que los atacantes realmente explotan.
Los Implementation Groups: IG1, IG2, IG3
Los Controls escalan a través de tres Implementation Groups, de modo que el mismo catálogo sirva tanto a un negocio de dos personas como a una multinacional. IG1 se define como higiene cibernética básica, el conjunto mínimo que toda organización debería tener implementado, diseñado para empresas con conocimientos y recursos limitados para protegerse frente a ataques no sofisticados y oportunistas. IG2 añade salvaguardas para organizaciones que gestionan datos más sensibles y se enfrentan a adversarios más capaces. IG3 es el conjunto completo, destinado a organizaciones maduras que poseen activos críticos y deben defenderse de ataques dirigidos y sofisticados. Cada grupo es acumulativo: IG2 incluye todo lo de IG1, e IG3 incluye todo lo de IG1 e IG2.
| Grupo | A quién se ajusta | Postura |
|---|---|---|
| IG1 | Organizaciones pequeñas y medianas, recursos de TI y seguridad limitados | Higiene cibernética esencial, defensa de base |
| IG2 | Organizaciones que manejan datos más sensibles, personal de seguridad dedicado | Reforzada frente a atacantes más capaces |
| IG3 | Organizaciones maduras con activos críticos y alta exposición | Conjunto completo de salvaguardas frente a ataques dirigidos |
En la práctica, te autoevalúas para situarte en un Implementation Group y luego tratas las salvaguardas de ese grupo como tu plan de trabajo. La mayoría de las organizaciones pequeñas y medianas deberían apuntar de lleno primero a IG1 y solo pasar a IG2 una vez que este esté consolidado. Esto es lo que hace que los Controls sean accesibles allí donde un sistema de gestión completo puede parecer fuera de alcance: se te entrega una lista de comprobación finita, comprobable y dimensionada a tu realidad.
Dónde se sitúan junto a la ISO 27001 y otros marcos
Los CIS Controls son un catálogo de controles, no un sistema de gestión certificable, y esa distinción importa. La ISO 27001 certifica que operas un sistema de gestión de la seguridad de la información con evaluación de riesgos, una Declaración de Aplicabilidad y mejora continua; el CIS te ofrece un conjunto concreto y priorizado de salvaguardas técnicas y operativas para implementar por debajo. Son complementarios, no competidores.
El CIS publica correspondencias entre sus salvaguardas y el Anexo A de la ISO 27001 y otras referencias como los marcos NIST, de modo que el trabajo de implementación que realizas para el CIS se convierte en evidencia que puedes presentar frente a un conjunto de controles ISO. Los equipos usan con frecuencia el CIS para impulsar el endurecimiento práctico y luego mapear ese esfuerzo hacia el marco que exijan sus auditores o clientes.
Frequently asked questions
01¿Cuántos CIS Controls hay?
Hay 18 categorías de controles en la versión actual, cada una con un conjunto de salvaguardas específicas. El número de salvaguardas que implementes depende del Implementation Group que tengas como objetivo.
02¿Con qué Implementation Group debería empezar una organización pequeña?
IG1, definido como higiene cibernética esencial. Es la base mínima diseñada para organizaciones con recursos de seguridad limitados, y debería estar plenamente implementado antes de pasar a IG2.
03¿Son los CIS Controls una certificación?
No. Son un catálogo priorizado de salvaguardas, no un sistema de gestión certificable. No existe un certificado CIS que exhibir, aunque puedes autoevaluarte y usar los Controls para impulsar un programa que respalde certificaciones como la ISO 27001.
04¿Cómo se relacionan los CIS Controls con la ISO 27001?
La complementan. El CIS te ofrece salvaguardas técnicas concretas y priorizadas para implementar, mientras que la ISO 27001 certifica el sistema de gestión que las rodea. El CIS publica correspondencias con el Anexo A de la ISO 27001, de modo que el mismo trabajo respalda ambos.
05¿Son gratuitos los CIS Controls?
Sí. Los Controls y sus correspondencias y herramientas de apoyo son publicados por el Center for Internet Security y están disponibles de forma gratuita, lo que en parte explica por qué son un punto de partida popular para equipos con recursos limitados.