El Pergamino Digital

🟡 IG2 – Intermedio: Clasificación técnica y control de activos en el CIS Control 1 Objetivo: Consolidar un inventario técnico confiable mediante procesos definidos, herramientas integradas y validación cruzada. Este nivel permite detectar, clasificar y gestionar los activos con trazabilidad operativa. Contexto: IG2 es adecuado para organizaciones con infraestructura estable, personal técnico asignado y necesidad de control sobre el ciclo de vida de los activos. Requiere herramientas de descubrimiento más precisas, políticas formales y correlación de múltiples fuentes. 🔧 Controles operativos Clasificación técnica: Nmap con -sV y -O para detectar servicios y sistema operativo Correlación de fuentes: SNMP walk, registros DHCP, tabla ARP, prefijos MAC Asignación de categoría rápida: Windows, Linux, IoT, KNX/IP según puertos y servicios Verificación física y documental: Confirmación de ubicación y función de cada activo Inventario dual consolidado: Nivel red...

🟢 IG1 – Fundacional: Visibilidad mínima viable en el CIS Control 1 Objetivo: Establecer la visibilidad mínima necesaria para comenzar a defender, gestionar y auditar los activos digitales. Contexto: Este nivel es ideal para laboratorios, entornos educativos, pequeñas organizaciones o como base para construir madurez superior. No requiere automatización avanzada ni infraestructura compleja. 🔧 Controles operativos Descubrimiento técnico: Nmap (-sn, -sV, -O), SNMP walk, análisis de DHCP y ARP Inventario dual: Nivel red (IP, MAC, OS, servicios) + nivel físico (ubicación, responsable, función) Políticas de alta/baja: Registro manual de incorporación y retiro de activos Inventario de software: Herramientas como OCS Inventory, GLPI en modo básico Clasificación de datos: Pública, interna, confidencial Backups básicos: Copias manuales o programadas, sin segmentación Configuración segura mínima: Firewall activado, antivirus, parches aplicados Gestión de ...

Control 18: Pruebas de Penetración (CIS Control 18 – Penetration Testing) Propósito del control Objetivo: Evaluar la eficacia de los controles de seguridad mediante pruebas controladas que simulan ataques reales. Resultado esperado: La organización identifica debilidades explotables antes que lo hagan los atacantes, y mejora su postura defensiva de forma continua. ⚠️ Motivación: Ningún sistema es seguro hasta que se prueba como inseguro. Las pruebas de penetración revelan lo que las auditorías no ven. Alcance del control Infraestructura interna y externa (servidores, redes, endpoints) Aplicaciones web, móviles y APIs Controles de acceso, segmentación, detección y respuesta Simulación de amenazas internas y externas Desarrollo por niveles de madurez 🟢 IG1 – Fundacional No aplica: este control comienza en IG2 🟡 IG2 – Gestión activa Pruebas de penetración anuales realizadas por terceros o equipos internos cualificados Alcance definido y au...

Control 16: Gestión de Respuesta a Incidentes (CIS Control 16 – Incident Response Management) Propósito del control Objetivo: Establecer y mantener un programa de respuesta a incidentes que permita detectar, contener, erradicar y recuperarse eficazmente de eventos de seguridad. Resultado esperado: La organización responde de forma rápida, coordinada y documentada ante incidentes, minimizando su impacto y mejorando su preparación futura. ⚠️ Motivación: Los incidentes son inevitables. La diferencia entre una crisis y una anécdota está en la preparación y la respuesta. Alcance del control Incidentes de seguridad informática (malware, intrusiones, fugas de datos) Eventos físicos con impacto digital (robo de dispositivos, sabotaje) Errores humanos con consecuencias operativas o legales Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Plan básico de respuesta a incidentes documentado Roles y responsabilidades definidos Procedimientos para detecc...

Control 16: Seguridad en el Software de Aplicación (CIS Control 16 – Application Software Security) Propósito del control Objetivo: Gestionar el ciclo de vida del software para prevenir, detectar y corregir vulnerabilidades en aplicaciones desarrolladas o adquiridas. Resultado esperado: Las aplicaciones utilizadas por la organización son seguras por diseño, auditables y resistentes a ataques conocidos. ⚠️ Motivación: Las aplicaciones son uno de los vectores de ataque más explotados. Una sola vulnerabilidad en el código puede comprometer todo el sistema. Alcance del control Aplicaciones web, móviles, de escritorio y APIs Software desarrollado internamente o por terceros Bibliotecas, frameworks y componentes reutilizables Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Uso de versiones soportadas y actualizadas del software Aplicación de parches de seguridad en componentes conocidos Evitar el uso de software no autorizado o sin mantenimient...

Control 15: Gestión de Proveedores de Servicios (CIS Control 15 – Service Provider Management) Propósito del control Objetivo: Garantizar que los proveedores externos que almacenan, procesan o transmiten datos de la organización cumplan con los requisitos de seguridad establecidos. Resultado esperado: Los proveedores de servicios son evaluados, contratados, supervisados y desvinculados de forma segura, minimizando riesgos para la organización. ⚠️ Motivación: Los proveedores externos amplían la superficie de ataque. Sin controles adecuados, pueden convertirse en vectores de compromiso, fuga de datos o incumplimiento normativo. Alcance del control Proveedores de servicios en la nube (IaaS, PaaS, SaaS) Empresas de soporte técnico, mantenimiento o desarrollo Servicios de procesamiento de datos, hosting o almacenamiento Contratos con acceso a información sensible o sistemas críticos Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Inventario de pr...

Control 14: Concienciación y Formación en Seguridad (CIS Control 14 – Security Awareness and Skills Training) Propósito del control Objetivo: Asegurar que todos los usuarios comprendan los riesgos de seguridad y actúen de forma segura mediante formación continua. Resultado esperado: Los usuarios reconocen amenazas comunes, siguen buenas prácticas y reportan incidentes sospechosos. ⚠️ Motivación: El usuario es el primer firewall. Sin formación, cualquier clic puede ser una brecha. Alcance del control Todo el personal con acceso a sistemas o datos Usuarios internos, contratistas y terceros Formación inicial, periódica y específica por rol Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Formación básica anual en ciberseguridad Temas: phishing, contraseñas, dispositivos, navegación segura Registro de participación 🟡 IG2 – Gestión activa Simulacros de phishing y campañas de concienciación Formación adaptada por rol (TI, RRHH, direcc...

Control 13: Monitoreo y Defensa de la red (CIS Control 13 – Network Monitoring and Defense) Propósito del control Objetivo: Detectar, prevenir y responder a conexiones de red no autorizadas o maliciosas mediante monitoreo continuo y control de puertos. Resultado esperado: Solo los puertos necesarios están abiertos, y todo el tráfico es inspeccionado, registrado y protegido. ⚠️ Motivación: Cada puerto abierto es una puerta potencial al sistema. La vigilancia constante es clave para contener amenazas. Alcance del control Puertos TCP/UDP en servidores, estaciones y dispositivos de red Firewall perimetral y local IDS/IPS, proxies, gateways Entornos físicos, virtuales y cloud Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Desactivación de servicios innecesarios Configuración básica de firewall Revisión manual de puertos abiertos Bloqueo de puertos no utilizados 🟡 IG2 – Gestión activa Escaneo regular de puertos (Nmap, Nessus) ...

Control 12: Gestión de Infraestructura de Red (CIS Control 12 – Network Infrastructure Management) Propósito del control Objetivo: Asegurar que la infraestructura de red esté correctamente configurada, segmentada, documentada y protegida contra accesos no autorizados. Resultado esperado: La red está organizada, controlada y alineada con los principios de mínimo privilegio y defensa en profundidad. ⚠️ Motivación: Una red mal segmentada o sin control es terreno fértil para el movimiento lateral del atacante. Alcance del control Switches, routers, firewalls, balanceadores Redes cableadas e inalámbricas Segmentación por VLAN, subredes, zonas Entornos híbridos y cloud Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Inventario de dispositivos de red Configuración básica de seguridad (SNMP, contraseñas, puertos) Desactivación de servicios innecesarios Documentación de topología básica 🟡 IG2 – Gestión activa Segmentación por función...

Control 11: Recuperación de Datos (CIS Control 11 – Data Recovery) Propósito del control Objetivo: Garantizar la disponibilidad y recuperación de los datos críticos ante incidentes, fallos o ataques. Resultado esperado: Los datos están respaldados, verificados y disponibles para restauración en caso de pérdida o corrupción. ⚠️ Motivación: Sin respaldo, todo lo demás es efímero. La resiliencia comienza con la capacidad de restaurar lo esencial. Alcance del control Servidores de archivos y bases de datos Estaciones de trabajo críticas Aplicaciones empresariales Entornos virtuales y cloud Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Copias de seguridad periódicas (diarias o semanales) Almacenamiento local o externo Verificación manual de integridad Procedimientos documentados de restauración 🟡 IG2 – Gestión activa Automatización de respaldos Versionado y retención por políticas Pruebas periódicas de restauración Alm...

Control 10: Defensa contra Malware (CIS Control 10 – Malware Defenses) Propósito del control Objetivo: Implementar y mantener mecanismos de defensa contra malware para prevenir, detectar y remediar infecciones. Resultado esperado: Todos los sistemas están protegidos con soluciones antimalware actualizadas y configuradas adecuadamente. ⚠️ Motivación: El malware sigue siendo una de las amenazas más comunes y destructivas. Su prevención requiere múltiples capas de defensa. Alcance del control Estaciones de trabajo y servidores Dispositivos móviles y portátiles Gateways de red y correo Entornos virtuales y cloud Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Instalación de antivirus/antimalware en todos los equipos Actualización automática de firmas Análisis programados y bajo demanda Bloqueo de archivos ejecutables desconocidos 🟡 IG2 – Gestión activa Antimalware gestionado centralmente Alertas ante detección de amenazas ...

Control 9: Protecciones de correo electrónico y navegador web (CIS Control 9 – Email and Web Browser Protections) Propósito del control Objetivo: Reducir el riesgo de amenazas provenientes del correo electrónico y la navegación web mediante controles técnicos y de configuración. Resultado esperado: Los canales de correo y navegación están protegidos contra malware, phishing y contenido malicioso. ⚠️ Motivación: El correo y el navegador son las principales vías de entrada de ataques. Sin protección, cualquier clic puede comprometer el entorno. Alcance del control Clientes de correo electrónico (Outlook, Thunderbird, webmail) Navegadores web (Chrome, Edge, Firefox, Safari) Gateways de correo y proxies web Extensiones y plugins Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Bloqueo de macros en documentos Desactivación de ejecución automática Uso de navegadores actualizados Filtrado básico de spam 🟡 IG2 – Gestión activa Filtra...

Control 8: Gestión de Registros de Auditoría (CIS Control 8 – Audit Log Management) Propósito del control Objetivo: Recopilar, almacenar y analizar registros de auditoría para detectar actividades anómalas o no autorizadas. Resultado esperado: Los eventos relevantes quedan registrados, protegidos y disponibles para análisis forense y cumplimiento. ⚠️ Motivación: Sin registros no hay trazabilidad. La ausencia de logs impide detectar ataques, investigar incidentes o demostrar cumplimiento. Alcance del control Sistemas operativos y servidores Aplicaciones críticas Firewalls, routers, switches Plataformas cloud y SaaS Herramientas de autenticación y acceso Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Activación de logs en sistemas clave Almacenamiento local o centralizado básico Revisión manual de eventos críticos Retención mínima de 30 días 🟡 IG2 – Gestión activa Centralización de logs (SIEM, syslog) Alertas por evento...

Control 7: Gestión Continua de Vulnerabilidades (CIS Control 7 – Continuous Vulnerability Management) Propósito del control Objetivo: Identificar, priorizar y remediar vulnerabilidades de forma continua para reducir la superficie de ataque. Resultado esperado: Todos los activos son escaneados regularmente y las vulnerabilidades se gestionan según su criticidad. ⚠️ Motivación: Las vulnerabilidades no gestionadas son una de las principales causas de intrusión. La gestión continua permite anticiparse al atacante. Alcance del control Servidores, estaciones, dispositivos de red, contenedores Sistemas operativos, aplicaciones, firmware Entornos on-premise y cloud Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Escaneo mensual de vulnerabilidades Uso de herramientas gratuitas o básicas (OpenVAS, Nessus Essentials) Registro de hallazgos en hoja de cálculo Remediación manual de vulnerabilidades críticas 🟡 IG2 – Gestión activa Escaneos s...

Gestión del control de acceso (CIS Control 6 – Access Control Management) Propósito del control Objetivo: Asegurar que los usuarios solo tengan acceso a los recursos necesarios para cumplir sus funciones. Resultado esperado: El acceso está restringido por rol, necesidad y contexto, con controles de autorización y revisión continua. ⚠️ Motivación: El exceso de privilegios es una de las principales causas de escalamiento de ataques. Limitar el acceso reduce el impacto potencial de cualquier compromiso. Alcance del control Ámbitos de aplicación: Acceso a sistemas operativos Aplicaciones empresariales Bases de datos Recursos en la nube Redes internas y VPN Tipos de acceso: Lectura, escritura, ejecución Acceso administrativo Acceso remoto Acceso temporal o de terceros Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Asignación de permisos mínimos necesarios Revisión manual de accesos Separación de cuentas administrativas ...

Control 5: Gestión de cuentas (CIS Control 5 – Account Management) Propósito del control Objetivo: Gestionar el ciclo de vida completo de las cuentas de usuario, asegurando que solo las personas autorizadas tengan acceso a los sistemas. Resultado esperado: Todas las cuentas están justificadas, controladas, revisadas y eliminadas cuando ya no son necesarias. ⚠️ Motivación: Las cuentas huérfanas, compartidas o con privilegios excesivos son una de las principales causas de brechas de seguridad. Alcance del control Tipos de cuentas cubiertas: Cuentas de usuario estándar Cuentas administrativas Cuentas de servicio Cuentas de aplicación Cuentas temporales o de terceros Sistemas afectados: Directorio activo (AD, Azure AD) Sistemas operativos Aplicaciones corporativas Plataformas cloud y SaaS Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Registro de altas y bajas de cuentas Revisión manual de cuentas activas Política de c...

Control 4: Configuración segura de activos empresariales y software (CIS Control 4 – Secure Configuration of Enterprise Assets and Software) Propósito del control Objetivo: Establecer y mantener configuraciones seguras para hardware y software, reduciendo la superficie de ataque. Resultado esperado: Todos los activos tienen configuraciones endurecidas, auditables y alineadas con estándares. ⚠️ Motivación: Las configuraciones por defecto suelen ser inseguras. Muchos ataques aprovechan servicios innecesarios, puertos abiertos o permisos laxos. Alcance del control Activos cubiertos: Sistemas operativos Aplicaciones Equipos de usuario Servidores Dispositivos de red Máquinas virtuales y contenedores Ámbitos de configuración: Servicios habilitados/deshabilitados Políticas de contraseñas Configuración de puertos y firewall Permisos de archivos y usuarios Registro de eventos y auditoría Desarrollo por niveles de madurez 🟢 IG1 – Funda...

Control 3: Protección de datos (CIS Control 3 – Data Protection) Propósito del control Objetivo: Proteger los datos sensibles en reposo y en tránsito, asegurando su confidencialidad, integridad y disponibilidad. Resultado esperado: Los datos críticos están identificados, clasificados, cifrados y monitorizados frente a accesos no autorizados. ⚠️ Motivación: La mayoría de los incidentes graves implican exposición de datos sensibles. Sin protección adecuada, cualquier brecha puede convertirse en una crisis legal, reputacional o financiera. Alcance del control Tipos de datos cubiertos: Datos personales (PII) Datos financieros Propiedad intelectual Credenciales y secretos Datos médicos o regulados Ubicaciones típicas: Bases de datos Documentos ofimáticos Correo electrónico Repositorios de código Dispositivos móviles y portátiles Almacenamiento en nube Desarrollo por niveles de madurez 🟢 IG1 – Fundacional Identificación de dato...

Control 2: Inventario y Control de Software (CIS Control 2 – Inventory and Control of Software Assets) Propósito del control Objetivo: Asegurar que solo el software autorizado, legítimo y necesario esté instalado y en uso. Resultado esperado: Un inventario actualizado, trazable y validado de todo el software instalado en los activos de la organización. ⚠️ Motivación: El software no controlado es una de las principales puertas de entrada para malware, backdoors y vulnerabilidades. Alcance del control Activos cubiertos: Sistemas operativos (Windows, Linux, macOS, Android, iOS) Aplicaciones instaladas (ofimática, navegadores, clientes VPN, etc.) Software en servidores, estaciones, móviles y contenedores Scripts, binarios, herramientas administrativas Software en imágenes base, golden images, plantillas de VM Entornos incluidos: Dispositivos físicos y virtuales Infraestructura on-premise y cloud Equipos de usuarios, servidores, dispositivos móvil...