Se trata de una serie de buenas prácticas para mejorar la protección de la información en cualquier organización y adaptable a los recursos con los que se cuenten.
Hablar de seguridad de la información es adentrarse en un mundo cambiante en el que se necesita no solo estar preparados y apegarse a estándares internacionales, sino también ejercer un control y supervisión constante para evitar las brechas.
Con la aceleración de la transformación digital que se vive desde el año pasado, hablar de ciberseguridad se ha convertido en algo indispensable para las empresas. Dentro de este universo de soluciones; los Controles de Seguridad Crítica, conocidos también como “CIS”, se han convertido en algo fundamental.
Se trata de un conjunto de “buenas prácticas prioritarias para que las organizaciones logren tomar acciones defensivas que pueden ocurrir en el día a día”, resaltó el jefe técnico regional de ManageEngineLatam, Andrés Mendoza.
Estas son emitidas por el Center for Internet Security, cuentan con buenas prácticas para diferentes amenazas o riesgos y están desarrolladas de acuerdo con estándares internacionales de ciberseguridad. Además, se convierten en el punto de inicio para que una organización pueda ordenar la seguridad de su información y tener la visibilidad necesaria de sus sistemas.
En total se trata de 20 controles CIS divididos en tres secciones: Controles Básicos, Controles Específicos y Controles Organizativos. Se aplica la regla del 80 – 20 (el 20% de algo para lograr un 80% de efectividad), ya que se estima que implementando los primeros 5 controles CIS se podría lograr hasta un 80% de mejoras en la seguridad de la data.
¿Cuáles son los beneficios?
Sin duda la importancia de estos controles gira entorno en cerrar brechas frente a los ciberdelincuentes y evitar intrusiones. Sin embargo, con su implementación también se logra un verdadero Gobierno de la información y tener visibilidad de lo que ocurre en la empresa.
“Con ese enfoque de gobierno, administración y gestión del riesgo,podremos adaptarnos al cumplimiento.Es en este nivel donde se verá el beneficio real para que nuestras organizaciones estén preparadas para la competencia actual”, resaltó el entrevistado.
Tomando en cuenta que se trata de un concepto de buenas prácticas, no es necesario realizar una fuerte inversión en software o infraestructura. Los primeros cinco controles ayudan a organizar los relacionado a ciberseguridad y entender lo que la empresa tiene.
Factor humano: el eslabón clave
El recurso humano dentro de cualquier empresa juega un papel determinante en el éxito de cualquier estrategia de ciberseguridad y en el caso de los controles CIS no es la excepción. Mendoza resaltó que se debe trabajar en capacitar y hacer conciencia en los colaboradores sobre la importancia de la protección de la información.
“Ningún conjunto de buenas prácticas, firewall o herramienta va a resultar 100% eficiente sino trabajamos con el factor humano. Se debe implementar un programa de concientización, capacitación y entrenamiento sobre los términos de seguridad informática”, explicó el experto.
Debido al desconocimiento de estás buenas prácticas, ManageEngine desarrolló una guía de implementación totalmente en español para socializar el concepto CIS y sobre todo vinculados a una de las soluciones que la compañía ofrece y que permite cumplir estos controles de forma automatizada y más sencilla.