Controles CIS v8: Los 18 Controles Criticos de Ciberseguridad
Controles CIS v8: guia completa de los 18 controles criticos de ciberseguridad, Implementation Groups (IG1/IG2/IG3), mapping con MITRE ATT&CK, ENS e ISO 27001, prioridades de implementacion, CIS Benchmarks para hardening y herramientas gratuitas como CIS-CAT.
Que son los CIS Controls
Los CIS Controls (Center for Internet Security Controls) son un conjunto de 18 controles de seguridad priorizados, desarrollados por una comunidad global de expertos en ciberseguridad. Su objetivo es proporcionar un marco prescriptivo y accionable que las organizaciones puedan implementar de forma progresiva para reducir su superficie de ataque.
A diferencia de frameworks como ISO 27001 o NIST CSF, que son marcos de gestion amplios, los CIS Controls se centran en acciones tecnicas concretas. No te dicen "establezca una politica de gestion de activos". Te dicen "mantenga un inventario activo de todos los activos de hardware conectados a la red, actualizado al menos semanalmente, utilizando herramientas de descubrimiento activo y pasivo".
Esta prescripcion tecnica es precisamente lo que hace que CIS Controls sea el punto de partida mas eficiente para organizaciones que necesitan resultados inmediatos en ciberseguridad.
Historia y evolucion
El origen de los CIS Controls se remonta a 2008, cuando un consorcio liderado por el SANS Institute, la NSA y el Departamento de Defensa de EE.UU. publico los "SANS Top 20 Critical Security Controls". La premisa era simple: identificar las acciones defensivas que, segun datos reales de incidentes, bloqueaban el mayor porcentaje de ataques con el menor esfuerzo.
Las versiones clave de la evolucion:
- v1-v5 (2008-2014). Conocidos como "SANS Top 20". 20 controles ordenados por impacto. Enfoque puramente tecnico, orientado a grandes organizaciones con equipos de seguridad maduros.
- v6-v7 (2015-2019). Transicion a CIS (Center for Internet Security) como mantenedor oficial. Introduccion de los Implementation Groups (IG1/IG2/IG3) en v7.1, que fue un cambio fundamental: por primera vez, el framework se adapto al tamano y capacidad de la organizacion.
- v8 (2021, vigente). Reduccion de 20 a 18 controles. Reorganizacion completa para reflejar entornos modernos (cloud, trabajo remoto, SaaS). Eliminacion de la distincion entre hardware y software en inventario. Incorporacion explicita de gestion de proveedores de servicios (Control 15). 153 salvaguardas totales distribuidas en IG1 (56), IG2 (130) e IG3 (153).
La version 8 refleja un cambio de paradigma: ya no se asume que la organizacion controla todo su perimetro. Los controles contemplan activos en la nube, dispositivos remotos y servicios externalizados como parte del alcance.
Los tres Implementation Groups
Los Implementation Groups (IG) son el mecanismo que CIS utiliza para hacer el framework accesible a organizaciones de cualquier tamano. Cada IG es acumulativo: IG2 incluye todo IG1, e IG3 incluye todo IG2.
IG1: Higiene esencial de ciberseguridad
IG1 esta disenado para organizaciones con recursos limitados de TI y ciberseguridad. Pymes, startups, organizaciones sin equipo de seguridad dedicado. Incluye 56 salvaguardas que representan la "higiene minima" de ciberseguridad.
Perfil tipico IG1:
- Organizaciones pequenas o medianas sin CISO ni SOC.
- Datos sensibles limitados (correo, contabilidad, datos de clientes basicos).
- Infraestructura TI gestionada parcialmente por proveedores externos.
- Presupuesto de seguridad bajo o inexistente.
El objetivo de IG1 es proteger contra los ataques mas comunes y generalizados: phishing, ransomware oportunista, explotacion de vulnerabilidades conocidas. CIS estima que implementar IG1 mitiga aproximadamente el 80% de las tecnicas ATT&CK mas frecuentes.
IG2: Seguridad para organizaciones con equipo de TI
IG2 anade 74 salvaguardas adicionales (130 totales). Esta dirigido a organizaciones que ya tienen personal de TI dedicado y manejan datos sensibles que, si se comprometen, generarian un impacto significativo.
Perfil tipico IG2:
- Organizaciones medianas con departamento de TI estructurado.
- Datos regulados (PII, datos financieros, propiedad intelectual).
- Multiples sedes o trabajo remoto significativo.
- Requisitos de compliance (RGPD, sectorial).
IG3: Defensa en profundidad avanzada
IG3 completa las 153 salvaguardas. Esta disenado para organizaciones que manejan infraestructura critica o datos altamente sensibles, y que enfrentan amenazas sofisticadas (APTs, ataques dirigidos).
Perfil tipico IG3:
- Sector financiero, sanitario, energia, defensa, administracion publica.
- SOC operativo (24/7 o al menos horario extendido).
- Datos clasificados o infraestructura critica.
- Requisitos regulatorios estrictos (ENS Alto, NIS2, DORA, PCI DSS).
Los 18 controles: tabla de referencia
| # | Control | Descripcion | IG1 | IG2 | IG3 |
|---|---|---|---|---|---|
| 1 | Inventario y control de activos de hardware | Identificar, gestionar y controlar todos los dispositivos de hardware conectados a la red. Incluye descubrimiento activo y pasivo. | Si | Si | Si |
| 2 | Inventario y control de activos de software | Mantener un inventario de todo el software autorizado. Detectar y gestionar software no autorizado. | Si | Si | Si |
| 3 | Proteccion de datos | Identificar, clasificar y proteger datos sensibles en reposo, en transito y en uso. Incluye cifrado y DLP. | Si | Si | Si |
| 4 | Configuracion segura de activos | Establecer y mantener configuraciones seguras de hardware y software. Aplicar baselines y gestionar excepciones. | Si | Si | Si |
| 5 | Gestion de cuentas | Gestionar credenciales y cuentas de usuario, incluyendo cuentas de administrador, de servicio y de aplicacion. | Si | Si | Si |
| 6 | Gestion del control de acceso | Crear, asignar, gestionar y revocar permisos de acceso basados en el principio de minimo privilegio. | Si | Si | Si |
| 7 | Gestion continua de vulnerabilidades | Identificar, priorizar y remediar vulnerabilidades de forma continua. Incluye escaneos y parches. | Si | Si | Si |
| 8 | Gestion de registros de auditoria | Recopilar, alertar, revisar y retener registros de auditoria de eventos relevantes para seguridad. | Si | Si | Si |
| 9 | Proteccion del correo electronico y navegador web | Proteger contra amenazas que llegan a traves de correo y navegacion web (phishing, drive-by, malvertising). | Si | Si | Si |
| 10 | Defensas anti-malware | Prevenir, detectar y controlar la ejecucion de software malicioso en todos los activos. | Si | Si | Si |
| 11 | Recuperacion de datos | Establecer y mantener practicas de backup y recuperacion suficientes para restaurar activos en caso de incidente. | Si | Si | Si |
| 12 | Gestion de infraestructura de red | Establecer, implementar y gestionar activamente la infraestructura de red (dispositivos, software, configuraciones). | Si | Si | Si |
| 13 | Monitorizacion y defensa de la red | Operar procesos y herramientas para detectar, analizar y responder a eventos de seguridad en la red. | No | Si | Si |
| 14 | Concienciacion y formacion en seguridad | Establecer y mantener un programa de concienciacion para que los empleados comprendan su rol en la seguridad. | Si | Si | Si |
| 15 | Gestion de proveedores de servicios | Evaluar y gestionar los riesgos de proveedores de servicios que acceden a datos o sistemas de la organizacion. | No | Si | Si |
| 16 | Seguridad del software de aplicacion | Gestionar el ciclo de vida de seguridad del software desarrollado internamente o adquirido. Incluye SAST, DAST, SCA. | No | Si | Si |
| 17 | Gestion de respuesta a incidentes | Establecer un programa de respuesta a incidentes con roles, planes, procedimientos, comunicacion y lecciones aprendidas. | Si | Si | Si |
| 18 | Pruebas de penetracion | Realizar pruebas periodicas que simulen ataques reales para identificar y remediar debilidades de seguridad. | No | No | Si |
Los 6 controles prioritarios para IG1
Para organizaciones que estan empezando, estos seis controles representan el mayor retorno sobre la inversion en seguridad.
Control 1: Inventario de activos de hardware
No puedes proteger lo que no sabes que existe. El primer paso es tener un inventario actualizado de todos los dispositivos conectados a tu red.
Salvaguardas IG1 clave:
- 1.1 Establecer y mantener un inventario detallado de activos de hardware. Como minimo: nombre del dispositivo, direccion IP, propietario, departamento, si esta autorizado.
- 1.2 Abordar los activos no autorizados. Proceso para identificar dispositivos no inventariados y decidir si se autorizan, se aislan o se retiran.
Herramientas gratuitas: nmap para descubrimiento activo, arpwatch para descubrimiento pasivo, hojas de calculo como primer paso (mejor que nada).
Control 4: Configuracion segura
La configuracion por defecto de la mayoria del software y hardware es insegura. Servicios innecesarios habilitados, cuentas por defecto activas, puertos abiertos sin necesidad.
Salvaguardas IG1 clave:
- 4.1 Establecer y mantener un proceso de configuracion segura. Definir baselines para cada tipo de activo (servidores, estaciones, dispositivos de red).
- 4.6 Implementar firewalls en todos los endpoints. No depender solo del firewall perimetral.
- 4.7 Gestionar cuentas por defecto en activos. Deshabilitar o cambiar credenciales de fabrica.
Los CIS Benchmarks (ver seccion dedicada mas adelante) proporcionan las configuraciones especificas para cada plataforma.
Control 5: Gestion de cuentas
Las credenciales comprometidas son el vector de ataque mas comun. Gestion de cuentas implica saber quien tiene acceso a que, y asegurar que las cuentas inactivas se deshabilitan.
Salvaguardas IG1 clave:
- 5.1 Establecer y mantener un inventario de cuentas. Incluir cuentas de usuario, administrativas, de servicio y de aplicacion.
- 5.2 Usar contrasenas unicas. Prohibir la reutilizacion de contrasenas entre sistemas.
- 5.3 Deshabilitar cuentas inactivas. Proceso automatizado si es posible, con periodo maximo de inactividad definido (45 dias es comun).
- 5.4 Restringir privilegios de administrador a cuentas dedicadas. No usar cuentas de admin para tareas diarias.
Control 7: Gestion de vulnerabilidades
El 60% de las brechas explotan vulnerabilidades para las que ya existia un parche disponible. La gestion continua de vulnerabilidades es critica.
Salvaguardas IG1 clave:
- 7.1 Establecer y mantener un proceso de gestion de vulnerabilidades. Frecuencia minima de escaneo: mensual para activos internos.
- 7.2 Establecer y mantener un proceso de remediacion. SLAs claros: criticas en 15 dias, altas en 30, medias en 90.
- 7.3 Realizar gestion automatizada de parches del sistema operativo. Herramientas como WSUS, Ansible o similares.
- 7.4 Realizar gestion automatizada de parches de aplicaciones. No olvidar software de terceros (navegadores, Java, Adobe, etc.).
Control 11: Recuperacion de datos
Ningun control de seguridad es infalible. La capacidad de recuperarse ante un ransomware u otro incidente destructivo depende directamente de la calidad de los backups.
Salvaguardas IG1 clave:
- 11.1 Establecer y mantener un proceso de recuperacion de datos. Identificar datos criticos y frecuencia de backup necesaria.
- 11.2 Realizar backups automatizados. Como minimo semanal; diario para datos criticos.
- 11.3 Proteger los datos de recuperacion. Almacenar al menos una copia offline o en ubicacion separada, fuera del alcance de ransomware.
- 11.4 Establecer y mantener una instancia aislada de datos de recuperacion. La copia de seguridad no debe ser accesible desde la red de produccion.
Control 14: Concienciacion y formacion
La tecnologia sola no basta. Los usuarios son la primera y ultima linea de defensa contra phishing, ingenieria social y errores operacionales.
Salvaguardas IG1 clave:
- 14.1 Establecer y mantener un programa de concienciacion. Frecuencia minima anual, con actualizaciones cuando emergen nuevas amenazas relevantes.
- 14.2 Formacion a usuarios para reconocer ataques de ingenieria social. Incluir ejemplos reales adaptados al contexto de la organizacion.
- 14.3 Formacion a usuarios sobre mejores practicas de autenticacion. MFA, gestores de contrasenas, reconocimiento de paginas de phishing de credenciales.
Mapping CIS Controls a MITRE ATT&CK
CIS mantiene un mapping oficial entre las 153 salvaguardas y las tecnicas ATT&CK. Este mapping es uno de los aspectos mas valiosos del framework, porque permite conectar controles defensivos con comportamiento real de atacantes.
Los controles con mayor cobertura ATT&CK son:
| Control CIS | Tecnicas ATT&CK mitigadas | Ejemplo |
|---|---|---|
| 4 (Config. segura) | ~35 tecnicas | T1059 Command and Scripting Interpreter, T1053 Scheduled Task, T1543 Create or Modify System Process |
| 6 (Control acceso) | ~30 tecnicas | T1078 Valid Accounts, T1021 Remote Services, T1563 Remote Service Session Hijacking |
| 10 (Anti-malware) | ~25 tecnicas | T1204 User Execution, T1566 Phishing, T1027 Obfuscated Files |
| 13 (Monitor. red) | ~40 tecnicas | T1071 Application Layer Protocol, T1105 Ingress Tool Transfer, T1572 Protocol Tunneling |
| 8 (Audit logs) | ~50 tecnicas | Transversal: la deteccion de casi cualquier tecnica depende de tener registros adecuados |
El valor practico de este mapping es la priorizacion: si tu analisis de amenazas indica que los actores mas relevantes para tu sector usan tecnicas de Initial Access como T1566 (Phishing) y T1190 (Exploit Public-Facing Application), puedes priorizar los Controles 9, 7 y 16 para maximizar la reduccion de riesgo.
En MalwareIntel, cada familia de malware esta mapeada a sus tecnicas ATT&CK. Esto permite a los analistas identificar que controles CIS son prioritarios para defenderse de amenazas especificas, no genericas.
Mapping CIS Controls a ENS
Para organizaciones que operan en Espana, el Esquema Nacional de Seguridad (ENS) es un marco de obligado cumplimiento para el sector publico y sus proveedores. Los CIS Controls se alinean sustancialmente con las medidas del ENS, especialmente en los niveles medio y alto.
| Control CIS v8 | Medidas ENS equivalentes | Nivel ENS |
|---|---|---|
| 1, 2 (Inventario) | op.pl.1 (Analisis de riesgos), op.pl.2 (Arquitectura de seguridad) | Basico |
| 3 (Proteccion datos) | mp.info.1 (Datos de caracter personal), mp.info.2 (Calificacion de la informacion) | Medio |
| 4 (Config. segura) | op.exp.2 (Configuracion de seguridad), op.exp.3 (Gestion de la configuracion) | Medio |
| 5, 6 (Cuentas/acceso) | op.acc.1-6 (Control de acceso), op.acc.7 (Acceso remoto) | Basico-Alto |
| 7 (Vulnerabilidades) | op.exp.4 (Mantenimiento), mp.sw.2 (Aceptacion y puesta en servicio) | Medio |
| 8 (Audit logs) | op.exp.8 (Registro de la actividad), op.mon.1 (Deteccion de intrusiones) | Medio |
| 10 (Anti-malware) | op.exp.6 (Proteccion frente a codigo danino) | Basico |
| 13 (Monitor. red) | op.mon.1 (Deteccion de intrusiones), op.mon.2 (Sistema de metricas) | Alto |
| 17 (Resp. incidentes) | op.exp.7 (Gestion de incidentes), op.mon.3 (Vigilancia) | Medio |
| 18 (Pentesting) | op.exp.9 (Pruebas periodicas) | Alto |
La conclusion practica: una organizacion que implemente IG2 de CIS Controls tendra cubierta una parte significativa de las medidas del ENS nivel medio. Para ENS alto, IG3 es necesario, especialmente los controles de monitorizacion continua (Control 13) y pruebas de penetracion (Control 18).
Mapping CIS Controls a ISO 27001:2022
ISO 27001:2022 reorganizo su Anexo A en 93 controles distribuidos en 4 temas: organizativos (37), personas (8), fisicos (14) y tecnologicos (34). Los CIS Controls se mapean principalmente a los controles tecnologicos y a algunos organizativos.
| Control CIS v8 | Controles ISO 27001:2022 (Anexo A) | Tema ISO |
|---|---|---|
| 1, 2 (Inventario) | A.5.9 Inventario de activos, A.5.10 Uso aceptable de activos | Organizativo |
| 3 (Proteccion datos) | A.5.12-5.13 Clasificacion/etiquetado, A.8.10-8.12 Borrado/DLP/enmascaramiento | Org./Tecnologico |
| 4 (Config. segura) | A.8.9 Gestion de configuracion (nuevo en 2022) | Tecnologico |
| 5 (Cuentas) | A.5.16 Gestion de identidad, A.5.17 Autenticacion | Organizativo |
| 6 (Control acceso) | A.5.15 Control de acceso, A.8.2-8.5 Acceso privilegiado/restriccion | Org./Tecnologico |
| 7 (Vulnerabilidades) | A.8.8 Gestion de vulnerabilidades tecnicas | Tecnologico |
| 8 (Audit logs) | A.8.15 Logging, A.8.16 Actividades de monitorizacion | Tecnologico |
| 10 (Anti-malware) | A.8.7 Proteccion contra malware | Tecnologico |
| 13 (Monitor. red) | A.8.16 Actividades de monitorizacion, A.8.20 Seguridad de redes | Tecnologico |
| 16 (Seguridad software) | A.8.25-8.31 Desarrollo seguro, testing, separacion entornos | Tecnologico |
| 17 (Resp. incidentes) | A.5.24-5.28 Gestion de incidentes | Organizativo |
El control A.8.9 (Gestion de configuracion) de ISO 27001:2022 es nuevo y se alinea directamente con el Control 4 de CIS. Es una de las adiciones de la version 2022 que refleja la influencia de CIS Controls en el ecosistema de estandares internacionales.
Prioridades de implementacion
El error mas comun en la implementacion de CIS Controls es intentar abordar los 18 controles simultaneamente. CIS recomienda un enfoque secuencial basado en impacto.
Fase 1 (Meses 1-3): Visibilidad. Controles 1 y 2 (inventario de activos y software). Sin visibilidad, todo lo demas es ineficaz. No necesitas herramientas caras: nmap, GLPI, hojas de calculo.
Fase 2 (Meses 2-4): Proteccion basica. Controles 4 (configuracion segura), 5 (cuentas) y 6 (control de acceso). Aplicar CIS Benchmarks a los activos inventariados. Deshabilitar cuentas innecesarias. Implementar MFA donde sea posible.
Fase 3 (Meses 3-6): Defensa activa. Controles 7 (vulnerabilidades), 10 (anti-malware) y 11 (recuperacion de datos). Establece ciclos de parcheo. Verifica que los backups funcionan (restauracion de prueba mensual).
Fase 4 (Meses 4-8): Deteccion. Controles 8 (audit logs) y 13 (monitorizacion de red). Centralizar logs en un SIEM o al menos en un servidor de logs dedicado. No hace falta un SIEM comercial: Wazuh (open source) cubre la mayoria de necesidades de IG1 e IG2.
Fase 5 (Meses 6-12): Madurez. Controles 14 (formacion), 15 (proveedores), 16 (seguridad software), 17 (respuesta a incidentes), 18 (pentesting). Estos controles requieren procesos organizativos maduros ademas de tecnologia.
CIS Benchmarks: hardening de sistemas operativos
Los CIS Benchmarks son guias de configuracion segura publicadas por CIS para mas de 100 plataformas. Cada Benchmark contiene cientos de recomendaciones especificas, cada una con su justificacion tecnica, procedimiento de implementacion y metodo de verificacion.
Benchmarks mas relevantes:
- Windows Server 2022/2025. ~400 configuraciones: politicas de contrasenas, auditoria de eventos, restricciones de PowerShell, deshabilitacion de SMBv1, configuracion de Windows Defender.
- Windows 11. ~300 configuraciones: BitLocker, Credential Guard, restriccion de macros Office, configuracion de Edge.
- Ubuntu/RHEL/CentOS. ~250 configuraciones: permisos de ficheros, configuracion de SSH, restricciones de cron, modulos del kernel, configuracion de auditd.
- Kubernetes. ~100 configuraciones: RBAC, network policies, pod security standards, secretos, logging.
- AWS/Azure/GCP. ~200 configuraciones por plataforma: IAM, logging, cifrado, seguridad de red, configuracion de almacenamiento.
- Docker. ~80 configuraciones: daemon, imagenes, contenedores, runtime, networking.
Cada recomendacion dentro de un Benchmark tiene un nivel de perfil:
- Nivel 1. Configuraciones que pueden aplicarse sin impacto significativo en la funcionalidad. Recomendadas para todos los sistemas.
- Nivel 2. Configuraciones mas restrictivas que pueden afectar a la funcionalidad. Recomendadas para sistemas que requieren alta seguridad.
Los Benchmarks son gratuitos (disponibles en PDF en cisecurity.org). Son la referencia mas completa y actualizada para hardening de sistemas que existe en la industria.
CIS-CAT: herramienta gratuita de evaluacion
CIS-CAT (Configuration Assessment Tool) es la herramienta oficial de CIS para evaluar el cumplimiento de los CIS Benchmarks. Existe en dos versiones:
CIS-CAT Lite (gratuita). Evalua un subconjunto de los Benchmarks mas populares. Genera un informe HTML con el porcentaje de cumplimiento y las recomendaciones que fallan. Disponible para Windows, Linux y macOS. Ejecucion local, sin envio de datos a la nube.
CIS-CAT Pro (requiere CIS SecureSuite Membership). Cobertura completa de todos los Benchmarks. Informes detallados en multiples formatos. Integracion con herramientas de gestion. Dashboard centralizado para multiples sistemas.
Uso basico de CIS-CAT Lite:
# Descargar desde cisecurity.org (requiere registro gratuito)
# Ejecutar evaluacion en Linux
./Assessor-CLI.sh -b benchmarks/CIS_Ubuntu_Linux_22.04_Benchmark_v1.0.0-xccdf.xml
# En Windows (PowerShell)
.\Assessor-CLI.bat -b benchmarks\CIS_Microsoft_Windows_Server_2022_Benchmark_v1.0.0-xccdf.xml
El informe resultante muestra cada recomendacion del Benchmark con su estado (Pass/Fail/Not Applicable/Error) y la puntuacion global del sistema. Una puntuacion de 80% o superior en Nivel 1 es un buen objetivo inicial.
Otras herramientas gratuitas complementarias:
- OpenSCAP. Implementacion open source de SCAP (Security Content Automation Protocol). Soporta evaluacion automatizada contra CIS Benchmarks en formato XCCDF.
- Lynis. Herramienta de auditoria de seguridad para Linux/macOS. No sigue exactamente los Benchmarks de CIS, pero cubre muchas de las mismas recomendaciones.
- Wazuh. Plataforma open source de SIEM y gestion de seguridad que incluye modulos de evaluacion de configuracion basados en CIS Benchmarks (SCA).
- InSpec. Framework de compliance como codigo de Chef. Permite escribir politicas de CIS Benchmarks como codigo testeable y ejecutable en CI/CD.
Errores comunes en la implementacion
Empezar por IG3. Organizaciones que saltan directamente a controles avanzados (pentesting, threat intelligence operacional) sin tener resueltos los basicos de IG1. Un programa de pentesting no sirve de nada si no tienes inventario de activos ni gestion de vulnerabilidades.
Tratar CIS como un checklist unico. Implementar los controles una vez y olvidarse. CIS Controls requiere gestion continua: el inventario cambia, las configuraciones derivan, las vulnerabilidades aparecen, los empleados rotan.
Ignorar el contexto de amenazas. Implementar todos los controles con la misma prioridad sin considerar que amenazas son mas relevantes para el sector y la geografia de la organizacion. El mapping con ATT&CK existe precisamente para evitar esto.
No medir el cumplimiento. Implementar controles sin una forma de verificar que se mantienen. Las herramientas de evaluacion (CIS-CAT, OpenSCAP, Wazuh SCA) son esenciales para mantener visibilidad continua del estado de cumplimiento.
Confundir controles con herramientas. "Tenemos un antivirus" no equivale a cumplir el Control 10. El control incluye configuracion centralizada, actualizaciones automaticas, prevencion de desinstalacion por usuarios, y gestion de excepciones documentada.
Recursos y referencias
Documentacion oficial de CIS:
- CIS Controls v8 (documento completo, gratuito con registro).
- CIS Controls Navigator (herramienta interactiva de mapping).
- CIS Benchmarks (PDFs gratuitos por plataforma).
- CIS-CAT Lite (herramienta de evaluacion gratuita).
Mappings oficiales:
- CIS Controls to MITRE ATT&CK Mapping (Excel descargable).
- CIS Controls to NIST CSF Mapping.
- CIS Controls to ISO 27001 Mapping.
Herramientas open source:
- OpenSCAP (evaluacion automatizada SCAP).
- Wazuh (SIEM open source con modulo SCA para CIS Benchmarks).
- Lynis (auditoria de seguridad Linux/macOS).
- InSpec (compliance como codigo).
En MalwareIntel:
La plataforma mantiene un mapping entre familias de malware, tecnicas ATT&CK y controles CIS recomendados. Cada perfil de familia incluye las mitigaciones D3FEND correspondientes, que se pueden cruzar con los controles CIS para priorizar la implementacion basandose en amenazas reales y activas, no en cumplimiento teorico.
Preguntas frecuentes
Artículos relacionados
ISO 27001:2022: Sistema de Gestión de Seguridad de la Información
ENS Alto: Requisitos Técnicos de Ciberseguridad para Organizaciones
Compliance-as-Code: Automatizar el Cumplimiento Normativo con Código
Este contenido tiene fines exclusivamente educativos y de investigación en ciberseguridad defensiva. No se proporcionan binarios maliciosos ni payloads ejecutables. El uso indebido de esta información es responsabilidad exclusiva del usuario. Leer disclaimer completo.