3CIS Pequeña Empresa AUTOMATIZ

Impresiones Serigráficas
Data
Aspecto Sum - 0 Sum - 1 Sum - 2
Abordar el software no aprobado 0 0 0
Abordar los activos no autorizados 0 1 0
Total Result 0 1 0
5
0
Aspecto
Abordar el software no aprobado Abordar los activos no
autorizados
Data
Control de Aspects por item Sum - % Actual Sum - %Esperado
Abordar el software no aprobado 0 60
Abordar los activos no autorizados 40 80
Total Result 40 140
100
80
60
40
20
60
40
20
0
Control de Aspects por item
Abordar el software no aprobado Abordar los activos no autorizados
Control de Cis
Sum - 3 Sum - 4 Sum - 5 Sum - 0.0Sum - 1.1 Sum - 2.2Sum - 3.3

3 0 0 0 0 0 0
0 0 0 0 0 0 0
3 0 0 0 0 0 0
RESUMEN
Se tomaron en cuenta cada uno de los aspectos y fueron evaluados seg
Cis.
Mostramos en cada una de las gráficas los resultados de las evaluacion
Se llevaron todos los aspectos a nivel 4 (Administrables y medib

rol de Cis
Chart Title
Sum - 4.4 Sum - 5.5
0 0
Inventario y control de activos de hardware
4 0 Respuesta a incidentes
Inventario
y gestión
y control de activos de software
4 0 Implementar un programa de sensibilización y capacitación sobre seguridad 5 Gestión continua de vulnera
Monitoreo y control de cuentas Uso controlado de p
Control de acceso inalámbrico Configuración se
0
eron evaluados según
Acceso controlado basado en la necesidad de saber Mantenimiento
s de las evaluaciones. Protección de Datos

Protecciones de corr
strables y medibles). Defensa de límites Defensas de malware
Configuración segura para dispositivos Capacidades

rojos,
Limitación decontrol
recuperación
como ycortafuegos, de rojos,
de puertos datosyprotocolos
enrutadores conmutadores
y servicios
Porcentaje Porcentaje Deseado
Chart Title
No exist
20
Optimizado
10
Administrabla y medible
10
Administrabla y medible
Proceso defi
No. De veces Actual No.

e
ntrol de activos de hardware

es
entario
y gestión
y control de activos de software
5 Gestión continua de vulnerabilidades
Uso controlado de privilegios administrativos
Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
Mantenimiento, Monitoreo y Análisis de Registros de Auditoría
Protecciones de correo electrónico y navegador web
Defensas de malware
sycortafuegos,
decontrol
recuperación de rojos,
de puertos datosyprotocolos
enrutadores conmutadores
y servicios
centaje Deseado
Chart Title
No existe
20
mizado Inicia
10
medible Repetible
10
medible Repetible
Proceso definido
No. De veces Actual No. De veces deseado

CIS CIS Sub- Tipo de
Función de Título
Control Control activo
seguridad
1 Inventario y control de activos

de hardware
Administre activamente (inventario, seguimient

los dispositivos autorizados tengan acceso, y s
impida acceder.
1 1.4 Dispositivos Identificar Mantener inventario de activos

detallado
1 1.6 Dispositivos Reponder

Abordar los activos no autorizados

de software

autorizado esté instalado y pueda ejecutarse, y
su instalación o ejecución.
2 2.1 Aplicaciones Identificar Mantener inventario de software

autorizado
2 2.2 Aplicaciones Identificar Asegúrese de que el software sea

compatible con el proveedor
2 2.6 Aplicaciones Reponder

Abordar el software no aprobado
3
Gestión continua de vulnerabilidades
Cómo se pronuncia
Adquiera, evalúe y tome medidas continuamen
minimizar la ventana de oportunidad para los a
3 3.1 Aplicaciones Detectar Ejecutar herramientas de escaneo

de vulnerabilidades automatizadas
Implementar herramientas
3 3.4 Aplicaciones Proteger
automatizadas de administración
de parches del sistema operativo
de parches de software
4
Los procesos y herramientas utilizados para ra

privilegios administrativos en computadoras, r
Cambiar contraseñas
4 4.2 Usuarios Proteger
predeterminadas
Garantizar el uso de cuentas

administrativas dedicadas
5 Configuración segura para hardware y software
Establezca, implemente y administre activamen

móviles, computadoras portátiles, servidores y
un proceso de control de cambios para evitar q
Establecer configuraciones
seguras
6 Mantenimiento, Monitoreo y Análisis de Registr
Recopile, administre y analice registros de aud

recuperarse de un ataque.
6 6.2 Red Detectar

Activar registro de auditoría
7
Protecciones de correo electrónico y navegado
Minimice la superficie de ataque y las oportunid

través de su interacción con los navegadores w
Asegure el uso de solo

7 7.1 Aplicaciones Proteger navegadores y clientes de correo
electrónico totalmente compatibles
7 7.7 Red Proteger Uso de servicios de filtrado de

DNS
8 Defensas de malware
Controle la instalación, difusión y ejecución de

uso de la automatización para permitir la actua
correctivas.
Asegúrese de que el software y las

8 8.2 Dispositivos Proteger
firmas antimalware se actualicen
8 8.4 Dispositivos Detectar Configurar el escaneo antimalware

de dispositivos extraíbles
Configurar dispositivos para que
no se ejecute automáticamente el
contenido
9
Limitación y control de puertos rojos, protocolo
Administre (rastree / controle / corrija) el uso o

Dispositivos para minimizar las ventanas de vu
9 9.4 Dispositivos Proteger Aplicar firewalls basados en host o

filtrado de puertos
10 Capacidades de recuperación de datos
Los procesos y herramientas utilizados para re

metodología probada para la recuperación opo
Garantizar copias de seguridad

10 10.1 Datos Proteger
automatizadas regulares
10 10.2 Datos Proteger Realizar copias de seguridad

completas del sistema

Proteger Backups
Asegúrese de que todas las copias

de seguridad tengan al menos un
destino de copia de seguridad sin
conexión
11
Configuración segura para dispositivos rojos, c

infraestructura roja de Dispositivos utilizando u
para evitar que los atacantes exploten servicios
Instale la última versión estable de
11 11.4 Red Proteger cualquier actualización relacionada
con la seguridad en todos los
dispositivos rojos
12 Defensa de límites
Detecta / previene / corrige el flujo de informac

en datos que dañan la seguridad.
Mantener un inventario de los

12 12.1 Red Identificar
límites de la red
Denegar la comunicación a través

12 12.4 Red Proteger
de puertos no autorizados
13 Protección de Datos
Los procesos y herramientas utilizados para ev

garantizar la privacidad e integridad de la inform
Mantener un inventario de
13 13.1 Datos Identificar
información confidencial
Eliminar datos confidenciales o

13 13.2 Datos Proteger sistemas a los que la organización
no accede regularmente
13 13.6 Datos Proteger Cifrar datos del dispositivo móvil
14 Acceso controlado basado en la necesidad de

(por ejemplo, información, recursos, sistemas)
y aplicaciones tienen la necesidad y el derecho
Proteja la información a través de

listas de control de acceso
15 Control de acceso inalámbrico

inalámbricas de área local (WLAN), puntos de a
Aproveche el Estándar de cifrado

15 15.7 Red Proteger avanzado (AES) para cifrar datos
inalámbricos
Cree una red inalámbrica

15 15.10 Red Proteger separada para dispositivos
personales y no confiables
16
Monitoreo y control de cuentas
Administre activamente el ciclo de vida de las c

eliminación) para minimizar las oportunidades
Deshabilitar cualquier cuenta no

16 16.8 Usuarios Reponder
asociada
16 16.9 Usuarios Reponder Deshabilitar cuentas inactivas
Bloquear sesiones de estación de

trabajo después de inactividad
17 Implementar un programa de sensibilización y
Para todos los roles funcionales en la organiza

identifique los conocimientos, habilidades y ca
desarrollar y ejecutar un plan integrado para ev
organizacional, capacitación y programas de co
Implementar un programa de
17 17.3 N/A N/A
concientización de seguridad
Capacitar a la fuerza laboral en la

17 17.5 N/A N/A
autenticación segura

17 17.6 N/A N/A identificación de ataques de
ingeniería social
Capacitar a la fuerza laboral en el

17 17.7 N/A N/A
manejo de datos confidenciales
Capacitar a la fuerza laboral sobre

17 17.8 N/A N/A las causas de la exposición
involuntaria de datos
Capacitar a los miembros de la

17 17.9 N/A N/A fuerza laboral para identificar e
informar incidentes
18
Seguridad de software de aplicación
Administre el ciclo de vida de seguridad de tod

detectar y corregir las debilidades de seguridad
19 Respuesta a incidentes y gestión

Proteja la información de la organización, así c
respuesta a incidentes (p. Ej., Planes, roles def
descubrir rápidamente un ataque y luego conte
restaurar la integridad de la red y los sistemas.
Documentar procedimientos de
19 19.1 N/A N/A
respuesta a incidentes
Designar personal de
19 19.3 N/A N/A administración para apoyar el
manejo de incidentes
Mantener información de contacto

19 19.5 N/A N/A para informar incidentes de
seguridad
Publicar información sobre

19 19.6 N/A N/A informes de anomalías e
incidentes informáticos
20 Pruebas de penetración y ejercicios del equipo
Pruebe la fortaleza general de la defensa de un

objetivos y acciones de un atacante.
e
Descripción
e (inventario, seguimiento y corrección) todos los dispositivos de hardware en la red para que solo
ados tengan acceso, y se encuentren los dispositivos no autorizados y no administrados y se les
Mantenga un inventario preciso y actualizado de todos los activos tecnológicos con el potencial
de almacenar o procesar información. Este inventario debe incluir todos los activos de
hardware, estén o no conectados al Red de la organización.
Asegúrese de que los activos no autorizados se eliminen de Red, se pongan en cuarentena o

que el inventario se actualice de manera oportuna.
e (inventario, seguimiento y corrección) todo el software en Red para que solo el software
do y pueda ejecutarse, y que el software no autorizado y no administrado se encuentre y se evite
ión.
Mantenga una lista actualizada de todo el software autorizado que se requiere en la empresa
para cualquier propósito comercial en cualquier sistema comercial.
Asegúrese de que solo se agreguen al inventario de software autorizado de la organización las

aplicaciones de software o sistemas operativos actualmente compatibles y que reciban
actualizaciones de proveedores. El software no compatible debe etiquetarse como no
compatible en el sistema de inventario.
Asegúrese de que el software no autorizado se elimine o que el inventario se actualice de

manera oportuna
lnerabilidades
e medidas continuamente sobre nueva información para identificar vulnerabilidades, remediar y
e oportunidad para los atacantes.
Utilice una herramienta actualizada de escaneo de vulnerabilidades que cumpla con el

Protocolo de Automatización de Contenido de Seguridad (SCAP) para escanear
automáticamente todos los sistemas en Red semanalmente o con mayor frecuencia para
identificar todas las vulnerabilidades potenciales en los sistemas de la organización.
Implemente herramientas de actualización de software automatizadas para garantizar que los

sistemas operativos ejecuten las actualizaciones de seguridad más recientes proporcionadas
por el proveedor de software.
Implemente herramientas de actualización de software automatizadas para garantizar que el

software de terceros en todos los sistemas ejecute las actualizaciones de seguridad más
recientes proporcionadas por el proveedor de software.
ilegios administrativos
ientas utilizados para rastrear / controlar / prevenir / corregir el uso, asignación y configuración de
vos en computadoras, rojos y aplicaciones.
Antes de implementar cualquier activo nuevo, cambie todas las contraseñas predeterminadas
para que tengan valores consistentes con las cuentas de nivel administrativo.
Asegúrese de que todos los Usuarios con acceso a la cuenta administrativa utilicen una
cuenta dedicada o secundaria para actividades elevadas. Esta cuenta solo debe usarse para
actividades administrativas y no para navegar por Internet, correo electrónico o actividades
similares.
para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
e y administre activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos

s portátiles, servidores y estaciones de trabajo utilizando una gestión de configuración rigurosa y
de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.
Mantenga estándares de configuración de seguridad documentados para todos los sistemas
operativos y software autorizados.
reo y Análisis de Registros de Auditoría
analice registros de auditoría de eventos que podrían ayudar a Detectar, comprender o

ue.
Asegúrese de que el registro local se haya habilitado en todos los sistemas y en Reding
Dispositivos.
electrónico y navegador web
de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a
n con los navegadores web y los sistemas de correo electrónico.
Asegúrese de que solo los navegadores web y los clientes de correo electrónico totalmente
compatibles se puedan ejecutar en la organización, idealmente solo con la última versión de
los navegadores y clientes de correo electrónico proporcionados por el proveedor.
Utilice los servicios de filtrado del Sistema de nombres de dominio (DNS) para ayudar a
bloquear el acceso a dominios maliciosos conocidos.
difusión y ejecución de código malicioso en varios puntos de la empresa, mientras optimiza el

ón para permitir la actualización rápida de la defensa, la recopilación de datos y las acciones
Asegúrese de que el software antimalware de la organización actualice su motor de escaneo y

su firma Datosbase de manera regular.
Configure Dispositivos para que realicen automáticamente un análisis antimalware de los

medios extraíbles cuando se insertan o conectan.
Configure Dispositivos para que no se ejecute automáticamente contenido desde medios
extraíbles.
puertos rojos, protocolos y servicios
ontrole / corrija) el uso operativo continuo de puertos, protocolos y servicios en Reded

mizar las ventanas de vulnerabilidad disponibles para los atacantes.
Aplique firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales,
con una regla de denegación predeterminada que elimina todo el tráfico excepto aquellos
servicios y puertos que están explícitamente permitidos.
eración de datos
ientas utilizados para realizar una copia de seguridad de la información crítica con una
ara la recuperación oportuna
Asegúrese de que todos los Datos del sistema se respalden automáticamente de manera
regular.
Asegúrese de que todos los sistemas clave de la organización estén respaldados como un
sistema completo, a través de procesos como la creación de imágenes, para permitir la
recuperación rápida de un sistema completo.
Asegúrese de que las copias de seguridad estén Protegidas adecuadamente mediante

seguridad física o encriptación cuando se almacenan, así como cuando se mueven a través
del Rojo. Esto incluye copias de seguridad remotas y servicios en la nube
Asegúrese de que todas las copias de seguridad tengan al menos un destino de copia de
seguridad fuera de línea (es decir, no accesible a través de una conexión Roja).
para dispositivos rojos, como cortafuegos, enrutadores y conmutadores
e y administre activamente (rastree, informe, corrija) la configuración de seguridad de la

Dispositivos utilizando un riguroso proceso de gestión de configuración y control de cambios
antes exploten servicios y configuraciones vulnerables.
Instale la última versión estable de cualquier actualización relacionada con la seguridad en
todos los dispositivos rojos.
rige el flujo de información que transfiere redes de diferentes niveles de confianza con un enfoque
seguridad.
Mantenga un inventario actualizado de todos los límites de la red de la organización.
Denegar la comunicación a través de puertos TCP o UDP no autorizados o tráfico de

aplicaciones para garantizar que solo los protocolos autorizados puedan cruzar el límite de la
red dentro o fuera de la red en cada uno de los límites de la red de la organización.
ientas utilizados para evitar la filtración de datos, mitigar los efectos de los datos filtrados y
d e integridad de la información confidencial.
Mantenga un inventario de toda la información confidencial almacenada, procesada o

transmitida por los sistemas tecnológicos de la organización, incluidos los ubicados en el sitio
o en un proveedor de servicios remotos.
Elimine de la red los datos confidenciales o los sistemas a los que no accede regularmente la
organización. Estos sistemas solo deben ser utilizados como sistemas independientes
(desconectados de la red) por la unidad de negocios que necesita usar ocasionalmente el
sistema o completamente virtualizado y apagado hasta que sea necesario.
Utilice mecanismos criptográficos aprobados para proteger los datos empresariales

almacenados en todos los dispositivos móviles.
ado en la necesidad de saber

ientas utilizados para rastrear / controlar / prevenir / corregir el acceso seguro a activos críticos
ón, recursos, sistemas) de acuerdo con la determinación formal de qué personas, computadoras
a necesidad y el derecho de acceder a estos activos críticos basado en una clasificación aprobada.
Proteja toda la información almacenada en los sistemas con listas de control de acceso
específicas del sistema de archivos, redes compartidas, reclamos, aplicaciones o bases de
datos. Estos controles harán cumplir el principio de que solo las personas autorizadas deben
tener acceso a la información en función de su necesidad de acceder a la información como
parte de sus responsabilidades.
ientas utilizados para rastrear / controlar / prevenir / corregir el uso de seguridad de redes
cal (WLAN), puntos de acceso y sistemas de clientes inalámbricos.
Aproveche el Estándar de cifrado avanzado (AES) para cifrar datos inalámbricos en tránsito.
Cree una red inalámbrica separada para dispositivos personales o no confiables. El acceso
empresarial desde esta red debe ser tratado como no confiable y filtrado y auditado en
consecuencia.
cuentas
e el ciclo de vida de las cuentas de sistemas y aplicaciones (su creación, uso, latencia,
mizar las oportunidades para que los atacantes las aprovechen.
Deshabilite cualquier cuenta que no pueda asociarse con un proceso comercial o propietario
de la empresa.
Deshabilita automáticamente las cuentas inactivas después de un período establecido de

inactividad.
Bloquee automáticamente las sesiones de la estación de trabajo después de un período

estándar de inactividad.
ma de sensibilización y capacitación sobre seguridad
ncionales en la organización (priorizando a aquellos críticos para la empresa y su seguridad),

mientos, habilidades y capacidades específicas necesarias para apoyar la defensa de la empresa;
n plan integrado para evaluar, identificar brechas y remediar a través de políticas, planificación
ación y programas de concientización.
Cree un programa de concientización sobre seguridad para que todos los miembros de la
fuerza laboral lo completen regularmente para asegurarse de que comprenden y exhiben los
comportamientos y habilidades necesarios para ayudar a garantizar la seguridad de la
organización. El programa de concientización de seguridad de la organización debe
comunicarse de manera continua y atractiva.
Capacite a los miembros de la fuerza laboral sobre la importancia de habilitar y utilizar la

autenticación segura.
Capacite a la fuerza laboral sobre cómo identificar diferentes formas de ataques de ingeniería
social, como phishing, estafas telefónicas y llamadas de suplantación.
Capacite a los miembros de la fuerza laboral sobre cómo identificar y almacenar, transferir,
archivar y destruir adecuadamente la información confidencial.
Capacite a los miembros de la fuerza laboral para que sean conscientes de las causas de la
exposición involuntaria de datos, como la pérdida de sus dispositivos móviles o el envío de
correos electrónicos a la persona equivocada debido al autocompletado en el correo
electrónico.
Capacite a los miembros de la fuerza laboral para que puedan identificar los indicadores más
comunes de un incidente y puedan informar dicho incidente.
de aplicación
vida de seguridad de todo el software desarrollado y adquirido internamente para prevenir,

debilidades de seguridad.
y gestión
de la organización, así como su reputación, desarrollando e implementando una infraestructura de
(p. Ej., Planes, roles definidos, capacitación, comunicaciones, supervisión administrativa) para
un ataque y luego contener el daño de manera efectiva, erradicando la presencia del atacante. y
de la red y los sistemas.
Asegúrese de que haya planes escritos de respuesta a incidentes que definan los roles del
personal, así como las fases de manejo / gestión de incidentes.
Designar personal de gestión, así como copias de seguridad, que apoyarán el proceso de
manejo de incidentes actuando en roles clave de toma de decisiones.
Reúna y mantenga información sobre la información de contacto de terceros que se utilizará

para informar un incidente de seguridad, como la aplicación de la ley, los departamentos
gubernamentales pertinentes, los proveedores y los socios del Centro de Análisis e
Intercambio de Información (ISAC).
Publique información para todos los miembros de la fuerza laboral, con respecto a la
notificación de anomalías e incidentes informáticos, al equipo de manejo de incidentes. Dicha
información debe incluirse en las actividades rutinarias de sensibilización de los empleados.
n y ejercicios del equipo rojo
eral de la defensa de una organización (la tecnología, los procesos y las personas) simulando los
e un atacante.
Implementación Grupo#1
Ejecuta Nivel
Si No 0 1 2 3
X X X
X X X
X X X
X X X
X X X
X X
X X X
X X X
X X X
X X
e trabajo y servidores
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X
X X
X X X
X X X
X X
X X X
X X
X X X
X X X
X X X
X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
vel
4 5
Proceso definido
Repetible pero intuitiva
Inicial/Ad Hoc
No existente
No existente
Inicial/Ad Hoc
Inicial/Ad Hoc
Proceso definido
X Administrado y medible
Proceso definido
Inicial/Ad Hoc
Inicial/Ad Hoc
No existente
No existente
Inicial/Ad Hoc
No existente
No existente

Proceso definido
Proceso definido
No existente
Inicial/Ad Hoc
No existente
Inicial/Ad Hoc
No existente
No existente
No existente
No existente
No existente
No existente
No existente
No existente
No existente
No existente
No existente
No existente
Solución Solución
#1 Creación de política: nor
Tener actualizada el softwa
Mejorar el método de automatización en el inventario y control de software
Se debe determinar de form
Evaluar una política de uso de software que evite instalar programas no necesarios
Los antivirus tambien cuent
Deben colocarse un antiviru
Deben crear usuarios espec

Deben crear usuarios espec
Tener actulizado el sistema
ormativas que permitan filtrar los dominios que los colaboradores acceden desde las pcs de la empresa o desde el celular
Implementar y configurar el firewall de la empresa para eliminar cualquier vulnerabilidad
Deben colocarse un antiviru

a tener una bitácora de los movimientos que se tenga a través de medios extraíbles y evitar que se conecten sin ningún protoc
Implementación de Firewalls
Crear un sistema donde se

Configuración de métodos para eliminar contenido innesasario en los sistemas
Mejorar a través de protocolos de encriptación información sensible de datos

personales de clientes
Implementación de el estándar de Cifrado AES para dispositivos inalámbricos
Mejorar la red para tener un
Rediseñar de forma correct
Contar con un antivirus actu
Depuración periódica de usuarios inhabilidades para eliminar vulnerabilidades

Política para bloquear sesiones después de periodos inhabilitados

Crear normas de uso de los

Crear e implementar planes
Crear e implementar planes

No
existente
Inicial/Ad Hoc
#1 Creación de política: normativa se debe agregar a inventario cualquier tipo de dispositivo que sea adquierido por medio de
Proceso definido
Tener actualizada el software qu

Administrado y medible
Optimizado
Se debe determinar de forma adecuada que si debe formar parte de los activos ya que se toman al azar y esto no muestra la
Los antivirus tambien cuentan con herramientas de archivos muertos

Deben colocarse un antivirus pagado en todas las máquinas
Deben crear usuarios específicos con sus distintas cotraseñas para evitar que cualquier empleado pueda ingresar a las máqu
Deben crear usuarios específicos con sus distintas cotraseñas para evitar que cualquier empleado pueda ingresar a las máqu
Tener actulizado el sistema
presa o desde el celular
Deben colocarse un antivirus pagado en todas las máquinas

e conecten sin ningún protocolo de seguridad
Crear un sistema donde se tenga una base de datos para cualquier tipo de consulta
Mejorar la red para tener un mejor acceso a las máquinas
Rediseñar de forma correcta la red
Contar con un antivirus actulizado de paga y un sistema de monitoreo de máquinas con restricciones a ciertas páginas
Crear normas de uso de los equipos y velar porque éstas sean cumplidad
Crear e implementar planes de acción ante cualquier incidente informático que se tenga
Crear e implementar planes de acción ante cualquier incidente informático que se tenga
r y esto no muestra la realidad de lo que se posee
a ingresar a las máquinas
a ingresar a las máquinas
ciertas páginas
ciertas páginas
ciertas páginas
Evaluación de Nivel de Madurez
Nivel
Aspecto
Actual
0 1 2
Mantener inventario de activos detallado
X
Inventario y control de activos de software
X
Mantener inventario de software autorizado
Asegúrese de que el software sea compatible con el X

proveedor
X
Ejecutar herramientas de escaneo de vulnerabilidades X

automatizadas
Implementar herramientas automatizadas de administración X

Implementar herramientas automatizadas de administración X

Cambiar contraseñas predeterminadas
Garantizar el uso de cuentas administrativas dedicadas

Configuración segura para hardware y software en
dispositivos móviles, computadoras portátiles,
estaciones de trabajo y servidores
Establecer configuraciones seguras
Mantenimiento, Monitoreo y Análisis de Registros de Auditoría
X

Asegure el uso de solo navegadores y clientes de correo
X
X
Uso de servicios de filtrado de DNS
Defensas de malware
Asegúrese de que el software y las firmas antimalware se X

actualicen
X
Configurar el escaneo antimalware de dispositivos extraíbles
Configurar dispositivos para que no se ejecute X

automáticamente el contenido
Limitación y control de puertos rojos, protocolos y

servicios
X
Aplicar firewalls basados en host o filtrado de puertos
Capacidades de recuperación de datos
Garantizar copias de seguridad automatizadas regulares
Realizar copias de seguridad completas del sistema
X
Proteger Backups
Asegúrese de que todas las copias de seguridad tengan al
X
menos un destino de copia de seguridad sin conexión
Configuración segura para dispositivos rojos, como

cortafuegos, enrutadores y conmutadores
Instale la última versión estable de cualquier actualización

relacionada con la seguridad en todos los dispositivos rojos
Defensa de límites
Mantener un inventario de los límites de la red
Denegar la comunicación a través de puertos no autorizados
Protección de Datos
Mantener un inventario de información confidencial
Eliminar datos confidenciales o sistemas a los que la

X
organización no accede regularmente
Cifrar datos del dispositivo móvil X
Acceso controlado basado en la necesidad de saber
Proteja la información a través de listas de control de acceso
Control de acceso inalámbrico
Aproveche el Estándar de cifrado avanzado (AES) para cifrar

X
datos inalámbricos
Cree una red inalámbrica separada para dispositivos

X
Deshabilitar cualquier cuenta no asociada X
Deshabilitar cuentas inactivas X

Bloquear sesiones de estación de trabajo después de
X
inactividad
Implementar un programa de sensibilización y capacitación sobre seguridad
Implementar un programa de concientización de seguridad X
Capacitar a la fuerza laboral en la autenticación segura X
Capacitar a la fuerza laboral en la identificación de ataques de

X
ingeniería social
Capacitar a la fuerza laboral en el manejo de datos
X
confidenciales
Capacitar a la fuerza laboral sobre las causas de la exposición
X
Capacitar a los miembros de la fuerza laboral para identificar
X
e informar incidentes
Respuesta a incidentes y gestión
Documentar procedimientos de respuesta a incidentes X
Designar personal de administración para apoyar el manejo

X
de incidentes
Mantener información de contacto para informar incidentes de
X
seguridad
Publicar información sobre informes de anomalías e
X
Pruebas de penetración y ejercicios del equipo rojo
e
Nivel
Modelo de Madurez Esperad
o
3 4 5 0 1 2 3
X Proceso definido
Repetible pero intuitiva X
Inicial/Ad Hoc X
No existente X
Inicial/Ad Hoc X
Inicial/Ad Hoc X
X Proceso definido
X Proceso definido
Inicial/Ad Hoc
Inicial/Ad Hoc X
No existente X
No existente
Inicial/Ad Hoc
No existente
No existente X

X Proceso definido
No existente
Inicial/Ad Hoc
No existente
Inicial/Ad Hoc X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
No existente X
Modelo de Madurez
4 5
Proceso definido
Proceso definido
Proceso definido
Proceso definido
Proceso definido
Proceso definido
Proceso definido
Proceso definido
X Optimizado
X Optimizado
X Optimizado
Proceso definido
X Optimizado
X Optimizado
X Optimizado


Proceso a realizar para subir de nivel
#1 Creación de política: normativa se debe agregar a inventario cualquier

tipo de dispositivo que sea adquierido por medio de el encargado de
operativo
#2 Proceso: Entregar de forma personal la
factura del bien adquierido para ser ingresado al inventario
No existente
Inicial/Ad Hoc
Proceso definido
Administrado y medible
Optimizado
Evaluación de Nivel de Madurez
Aspecto
0
1 Mantener inventario de activos detallado
0
2 Abordar los activos no autorizados
0
3 Mantener inventario de software autorizado
0
Asegúrese de que el software sea compatible con el proveedor
4
0
5
0
Ejecutar herramientas de escaneo de vulnerabilidades automatizadas
6
Implementar herramientas automatizadas de administración de parches del 0

7 sistema operativo
Implementar herramientas automatizadas de administración de parches de 0

8 software
Cambiar contraseñas predeterminadas 0

9
Garantizar el uso de cuentas administrativas dedicadas 0

10
Establecer configuraciones seguras 0

11
0
12
Asegure el uso de solo navegadores y clientes de correo electrónico totalmente 0
13 compatibles
0
14 Uso de servicios de filtrado de DNS
Asegúrese de que el software y las firmas antimalware se actualicen 0

15
0
16
0
Configurar dispositivos para que no se ejecute automáticamente el contenido
17
0
18
Garantizar copias de seguridad automatizadas regulares 0

19
0
20
0
21 Proteger Backups
Asegúrese de que todas las copias de seguridad tengan al menos un destino de 0

copia de seguridad sin conexión
22
Instale la última versión estable de cualquier actualización relacionada con la 0

seguridad en todos los dispositivos rojos
23
Mantener un inventario de los límites de la red 0

24
Denegar la comunicación a través de puertos no autorizados 0
25
Mantener un inventario de información confidencial 0

26
Eliminar datos confidenciales o sistemas a los que la organización no accede 0
27 regularmente
Cifrar datos del dispositivo móvil 0

28
Proteja la información a través de listas de control de acceso 0

29
Aproveche el Estándar de cifrado avanzado (AES) para cifrar datos inalámbricos 0
30
Cree una red inalámbrica separada para dispositivos personales y no confiables 0

31
Deshabilitar cualquier cuenta no asociada 0

32
Deshabilitar cuentas inactivas 0

33
Bloquear sesiones de estación de trabajo después de inactividad 0

34
Implementar un programa de concientización de seguridad 0

35
Capacitar a la fuerza laboral en la autenticación segura 0

36
Capacitar a la fuerza laboral en la identificación de ataques de ingeniería social 0

37
Capacitar a la fuerza laboral en el manejo de datos confidenciales 0

38
Capacitar a la fuerza laboral sobre las causas de la exposición involuntaria de 0
39 datos
Capacitar a los miembros de la fuerza laboral para identificar e informar 0
40 incidentes
Documentar procedimientos de respuesta a incidentes 0

41
Designar personal de administración para apoyar el manejo de incidentes 0

42
Mantener información de contacto para informar incidentes de seguridad 0

43
Publicar información sobre informes de anomalías e incidentes informáticos 0

44
e
de Madurez
Nivel Actual Nivel Esperado
1 2 3 4 5 0.0 1.1 2.2 3.3 4.4
0 0 3 0 0 0 0 0 0 4
0 2 0 0 0 0 0 0 0 4
0 2 0 0 0 0 0 0 3 0
1 0 0 0 0 0 0 0 3 0
0 0 0 0 0 0 0 0 3 0
0 0 0 0 0 0 0 0 3 0
1 0 0 0 0 0 0 0 3 0
1 0 0 0 0 0 0 0 3 0
0 0 3 0 0 0 0 0 0 4
0 0 0 4 0 0 0 0 0 4
0 0 3 0 0 0 0 0 0 4
1 0 0 0 0 0 0 0 0 4
1 0 0 0 0 0 0 0 3 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 0 0 4
1 0 0 0 0 0 0 0 0 4
0 0 0 0 0 0 0 0 0 4
0 0 0 0 0 0 0 0 3 0
0 0 0 4 0 0 0 0 0 0
0 0 0 4 0 0 0 0 0 0
0 2 0 0 0 0 0 0 0 0
0 2 0 0 0 0 0 0 3 0
0 0 0 4 0 0 0 0 0 4
0 0 3 0 0 0 0 0 0 0
0 0 0 4 0 0 0 0 0 0
0 0 3 0 0 0 0 0 0 4
0 0 0 0 0 0 0 0 0 4
1 0 0 0 0 0 0 0 0 4
0 0 0 4 0 0 0 0 0 0
0 0 0 0 0 0 0 0 0 4
0 2 0 0 0 0 0 0 0 4
1 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
0 0 0 0 0 0 0 2 0 0
5.5
0 1 5 8
0 2 3 9
0 3 2 9
0 4 7 8
0 5 3 4
0 6 1 4
0
0 7 1 5
0 8 1 12
0 9 0 3
0 10 12 18
0 11 4 4
5 12 7 10
0 13 4 12
5 14 4 5
0
0 15 2 8
0 16 0 4
0 17 0 12
0 19 0 8
Resumen de control de Cis
No. Tìtulo del control Sumatoria Sum. Deseada
1 Inventario y control de activos de hardware 5 8
2 Inventario y control de activos de software 3 9
3 Gestión continua de vulnerabilidades 2 9
4 Uso controlado de privilegios administrativos 7 8

Configuración segura para hardware y software en dispositivos móviles,
5 computadoras portátiles, estaciones de trabajo y servidores 3 4
6 Mantenimiento, Monitoreo y Análisis de Registros de Auditoría 1 4
7 Protecciones de correo electrónico y navegador web 1 5
8 Defensas de malware 1 12
9 Limitación y control de puertos rojos, protocolos y servicios 0 3
10 Capacidades de recuperación de datos 12 18

Configuración segura para dispositivos rojos, como cortafuegos,
11 enrutadores y conmutadores 4 4
12 Defensa de límites 7 10
13 Protección de Datos 4 12
14 Acceso controlado basado en la necesidad de saber 4 5
15 Control de acceso inalámbrico 2 8
16 Monitoreo y control de cuentas 0 4

Implementar un programa de sensibilización y capacitación sobre
17 seguridad 0 12
19 Respuesta a incidentes y gestión 0 8

Aspectos Porcentaje Porcentaje Deseado
2 3 4
3 1.00 3
3 0.67 3
2 3.50 4
1 3 4
1 1 4
2 1 3
3 0 4
1 0 3
4 3 5
1 4 4
2 4 5
3 1 4
1 4 5
2 1 4
3 0 1
6 0.00 2
4 0 2
ASPECTOS CIS

Respuesta a incidentes y gestión
Inventario y control de activos de software
5
Implementar un programa de sensibilización y capacitación sobre seguridad Gestión continua de vulnerabilidades
Monitoreo y control de cuentas Uso controlado de privilegios administrativos
Control de acceso inalámbrico Configuración segura para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
Acceso controlado basado en la necesidad de saber Mantenimiento, Monitoreo y Análisis de Registros de Auditoría
Protección de Datos
Defensa de límites Defensas de malware
Configuración segura para dispositivos rojos, Capacidades

como cortafuegos,
Limitación yenrutadores
control dedepuertos
de recuperación ydatos
conmutadores
rojos, protocolos y servicios
CIS CIS Sub- Tipo de
Función de Título
Control Control activo
seguridad

de hardware

los dispositivos autorizados tengan acceso, y s
impida acceder.
1 1.4 Dispositivos Identificar Mantener inventario de activos

detallado
1 1.6 Dispositivos Reponder


de software

autorizado esté instalado y pueda ejecutarse, y
su instalación o ejecución.
2 2.1 Aplicaciones Identificar Mantener inventario de software

autorizado
2 2.2 Aplicaciones Identificar Asegúrese de que el software sea

compatible con el proveedor
2 2.6 Aplicaciones Reponder

3
Cómo se pronuncia
Adquiera, evalúe y tome medidas continuamen
minimizar la ventana de oportunidad para los a
3 3.1 Aplicaciones Detectar Ejecutar herramientas de escaneo

de vulnerabilidades automatizadas
4

privilegios administrativos en computadoras, r
Cambiar contraseñas
predeterminadas
Garantizar el uso de cuentas

administrativas dedicadas
5 Configuración segura para hardware y software

móviles, computadoras portátiles, servidores y
un proceso de control de cambios para evitar q
Establecer configuraciones
seguras
6 Mantenimiento, Monitoreo y Análisis de Registr
Recopile, administre y analice registros de aud

recuperarse de un ataque.
6 6.2 Red Detectar

7
Protecciones de correo electrónico y navegado
Minimice la superficie de ataque y las oportunid

través de su interacción con los navegadores w
Asegure el uso de solo

7 7.1 Aplicaciones Proteger navegadores y clientes de correo
7 7.7 Red Proteger Uso de servicios de filtrado de

DNS
8 Defensas de malware
Controle la instalación, difusión y ejecución de

uso de la automatización para permitir la actua
correctivas.
Asegúrese de que el software y las

firmas antimalware se actualicen
8 8.4 Dispositivos Detectar Configurar el escaneo antimalware

de dispositivos extraíbles
Configurar dispositivos para que
no se ejecute automáticamente el
contenido
9
Limitación y control de puertos rojos, protocolo
Administre (rastree / controle / corrija) el uso o

Dispositivos para minimizar las ventanas de vu
9 9.4 Dispositivos Proteger Aplicar firewalls basados en host o

filtrado de puertos
10 Capacidades de recuperación de datos
Los procesos y herramientas utilizados para re

metodología probada para la recuperación opo
Garantizar copias de seguridad

automatizadas regulares
10 10.2 Datos Proteger Realizar copias de seguridad

completas del sistema

Proteger Backups
Asegúrese de que todas las copias

de seguridad tengan al menos un
destino de copia de seguridad sin
conexión
11
Configuración segura para dispositivos rojos, c

infraestructura roja de Dispositivos utilizando u
para evitar que los atacantes exploten servicios
Instale la última versión estable de
11 11.4 Red Proteger cualquier actualización relacionada
con la seguridad en todos los
dispositivos rojos
12 Defensa de límites
Detecta / previene / corrige el flujo de informac

en datos que dañan la seguridad.
Mantener un inventario de los

12 12.1 Red Identificar
límites de la red
Denegar la comunicación a través

12 12.4 Red Proteger
de puertos no autorizados
13 Protección de Datos
Los procesos y herramientas utilizados para ev

garantizar la privacidad e integridad de la inform
Mantener un inventario de
13 13.1 Datos Identificar
información confidencial
Eliminar datos confidenciales o

13 13.2 Datos Proteger sistemas a los que la organización
no accede regularmente
13 13.6 Datos Proteger Cifrar datos del dispositivo móvil
14 Acceso controlado basado en la necesidad de

(por ejemplo, información, recursos, sistemas)
y aplicaciones tienen la necesidad y el derecho
Proteja la información a través de

listas de control de acceso
15 Control de acceso inalámbrico

inalámbricas de área local (WLAN), puntos de a
Aproveche el Estándar de cifrado

15 15.7 Red Proteger avanzado (AES) para cifrar datos
inalámbricos
Cree una red inalámbrica

15 15.10 Red Proteger separada para dispositivos
16
Administre activamente el ciclo de vida de las c

eliminación) para minimizar las oportunidades
Deshabilitar cualquier cuenta no

16 16.8 Usuarios Reponder
asociada
16 16.9 Usuarios Reponder Deshabilitar cuentas inactivas
Bloquear sesiones de estación de

trabajo después de inactividad
17 Implementar un programa de sensibilización y
Para todos los roles funcionales en la organiza

identifique los conocimientos, habilidades y ca
desarrollar y ejecutar un plan integrado para ev
organizacional, capacitación y programas de co
Implementar un programa de
17 17.3 N/A N/A
concientización de seguridad

17 17.5 N/A N/A
autenticación segura

17 17.6 N/A N/A identificación de ataques de
ingeniería social
Capacitar a la fuerza laboral en el

17 17.7 N/A N/A
manejo de datos confidenciales
Capacitar a la fuerza laboral sobre

17 17.8 N/A N/A las causas de la exposición
Capacitar a los miembros de la

17 17.9 N/A N/A fuerza laboral para identificar e
informar incidentes
18
Administre el ciclo de vida de seguridad de tod

detectar y corregir las debilidades de seguridad
19 Respuesta a incidentes y gestión

Proteja la información de la organización, así c
respuesta a incidentes (p. Ej., Planes, roles def
descubrir rápidamente un ataque y luego conte
restaurar la integridad de la red y los sistemas.
Documentar procedimientos de
19 19.1 N/A N/A
respuesta a incidentes
Designar personal de
19 19.3 N/A N/A administración para apoyar el
manejo de incidentes
Mantener información de contacto

19 19.5 N/A N/A para informar incidentes de
seguridad
Publicar información sobre

19 19.6 N/A N/A informes de anomalías e
20 Pruebas de penetración y ejercicios del equipo
Pruebe la fortaleza general de la defensa de un

objetivos y acciones de un atacante.
e
Descripción
e (inventario, seguimiento y corrección) todos los dispositivos de hardware en la red para que solo
ados tengan acceso, y se encuentren los dispositivos no autorizados y no administrados y se les
Mantenga un inventario preciso y actualizado de todos los activos tecnológicos con el potencial
de almacenar o procesar información. Este inventario debe incluir todos los activos de
hardware, estén o no conectados al Red de la organización.
Asegúrese de que los activos no autorizados se eliminen de Red, se pongan en cuarentena o

que el inventario se actualice de manera oportuna.
e (inventario, seguimiento y corrección) todo el software en Red para que solo el software
do y pueda ejecutarse, y que el software no autorizado y no administrado se encuentre y se evite
ión.
Mantenga una lista actualizada de todo el software autorizado que se requiere en la empresa
para cualquier propósito comercial en cualquier sistema comercial.
Asegúrese de que solo se agreguen al inventario de software autorizado de la organización las

aplicaciones de software o sistemas operativos actualmente compatibles y que reciban
actualizaciones de proveedores. El software no compatible debe etiquetarse como no
compatible en el sistema de inventario.
Asegúrese de que el software no autorizado se elimine o que el inventario se actualice de

manera oportuna
lnerabilidades
e medidas continuamente sobre nueva información para identificar vulnerabilidades, remediar y
e oportunidad para los atacantes.
Utilice una herramienta actualizada de escaneo de vulnerabilidades que cumpla con el

Protocolo de Automatización de Contenido de Seguridad (SCAP) para escanear
automáticamente todos los sistemas en Red semanalmente o con mayor frecuencia para
identificar todas las vulnerabilidades potenciales en los sistemas de la organización.
Implemente herramientas de actualización de software automatizadas para garantizar que los

sistemas operativos ejecuten las actualizaciones de seguridad más recientes proporcionadas
por el proveedor de software.
Implemente herramientas de actualización de software automatizadas para garantizar que el

software de terceros en todos los sistemas ejecute las actualizaciones de seguridad más
recientes proporcionadas por el proveedor de software.
ilegios administrativos
ientas utilizados para rastrear / controlar / prevenir / corregir el uso, asignación y configuración de
vos en computadoras, rojos y aplicaciones.
Antes de implementar cualquier activo nuevo, cambie todas las contraseñas predeterminadas
para que tengan valores consistentes con las cuentas de nivel administrativo.
Asegúrese de que todos los Usuarios con acceso a la cuenta administrativa utilicen una
cuenta dedicada o secundaria para actividades elevadas. Esta cuenta solo debe usarse para
actividades administrativas y no para navegar por Internet, correo electrónico o actividades
similares.
para hardware y software en dispositivos móviles, computadoras portátiles, estaciones de trabajo y servidores
e y administre activamente (rastree, informe, corrija) la configuración de seguridad de dispositivos

s portátiles, servidores y estaciones de trabajo utilizando una gestión de configuración rigurosa y
de cambios para evitar que los atacantes exploten servicios y configuraciones vulnerables.
Mantenga estándares de configuración de seguridad documentados para todos los sistemas
operativos y software autorizados.
reo y Análisis de Registros de Auditoría
analice registros de auditoría de eventos que podrían ayudar a Detectar, comprender o

ue.
Asegúrese de que el registro local se haya habilitado en todos los sistemas y en Reding
Dispositivos.
electrónico y navegador web
de ataque y las oportunidades para que los atacantes manipulen el comportamiento humano a
n con los navegadores web y los sistemas de correo electrónico.
Asegúrese de que solo los navegadores web y los clientes de correo electrónico totalmente
compatibles se puedan ejecutar en la organización, idealmente solo con la última versión de
los navegadores y clientes de correo electrónico proporcionados por el proveedor.
Utilice los servicios de filtrado del Sistema de nombres de dominio (DNS) para ayudar a
bloquear el acceso a dominios maliciosos conocidos.
difusión y ejecución de código malicioso en varios puntos de la empresa, mientras optimiza el

ón para permitir la actualización rápida de la defensa, la recopilación de datos y las acciones
Asegúrese de que el software antimalware de la organización actualice su motor de escaneo y

su firma Datosbase de manera regular.
Configure Dispositivos para que realicen automáticamente un análisis antimalware de los

medios extraíbles cuando se insertan o conectan.
Configure Dispositivos para que no se ejecute automáticamente contenido desde medios
extraíbles.
puertos rojos, protocolos y servicios
ontrole / corrija) el uso operativo continuo de puertos, protocolos y servicios en Reded

mizar las ventanas de vulnerabilidad disponibles para los atacantes.
Aplique firewalls basados en host o herramientas de filtrado de puertos en los sistemas finales,
con una regla de denegación predeterminada que elimina todo el tráfico excepto aquellos
servicios y puertos que están explícitamente permitidos.
eración de datos
ientas utilizados para realizar una copia de seguridad de la información crítica con una
ara la recuperación oportuna
Asegúrese de que todos los Datos del sistema se respalden automáticamente de manera
regular.
Asegúrese de que todos los sistemas clave de la organización estén respaldados como un
sistema completo, a través de procesos como la creación de imágenes, para permitir la
recuperación rápida de un sistema completo.
Asegúrese de que las copias de seguridad estén Protegidas adecuadamente mediante

seguridad física o encriptación cuando se almacenan, así como cuando se mueven a través
del Rojo. Esto incluye copias de seguridad remotas y servicios en la nube
seguridad fuera de línea (es decir, no accesible a través de una conexión Roja).
para dispositivos rojos, como cortafuegos, enrutadores y conmutadores
e y administre activamente (rastree, informe, corrija) la configuración de seguridad de la

Dispositivos utilizando un riguroso proceso de gestión de configuración y control de cambios
antes exploten servicios y configuraciones vulnerables.
todos los dispositivos rojos.
rige el flujo de información que transfiere redes de diferentes niveles de confianza con un enfoque
seguridad.
Mantenga un inventario actualizado de todos los límites de la red de la organización.
Denegar la comunicación a través de puertos TCP o UDP no autorizados o tráfico de

aplicaciones para garantizar que solo los protocolos autorizados puedan cruzar el límite de la
red dentro o fuera de la red en cada uno de los límites de la red de la organización.
ientas utilizados para evitar la filtración de datos, mitigar los efectos de los datos filtrados y
d e integridad de la información confidencial.
Mantenga un inventario de toda la información confidencial almacenada, procesada o

transmitida por los sistemas tecnológicos de la organización, incluidos los ubicados en el sitio
o en un proveedor de servicios remotos.
Elimine de la red los datos confidenciales o los sistemas a los que no accede regularmente la
organización. Estos sistemas solo deben ser utilizados como sistemas independientes
(desconectados de la red) por la unidad de negocios que necesita usar ocasionalmente el
sistema o completamente virtualizado y apagado hasta que sea necesario.
Utilice mecanismos criptográficos aprobados para proteger los datos empresariales

almacenados en todos los dispositivos móviles.
ado en la necesidad de saber

ientas utilizados para rastrear / controlar / prevenir / corregir el acceso seguro a activos críticos
ón, recursos, sistemas) de acuerdo con la determinación formal de qué personas, computadoras
a necesidad y el derecho de acceder a estos activos críticos basado en una clasificación aprobada.
Proteja toda la información almacenada en los sistemas con listas de control de acceso
específicas del sistema de archivos, redes compartidas, reclamos, aplicaciones o bases de
datos. Estos controles harán cumplir el principio de que solo las personas autorizadas deben
tener acceso a la información en función de su necesidad de acceder a la información como
parte de sus responsabilidades.
ientas utilizados para rastrear / controlar / prevenir / corregir el uso de seguridad de redes
cal (WLAN), puntos de acceso y sistemas de clientes inalámbricos.
Aproveche el Estándar de cifrado avanzado (AES) para cifrar datos inalámbricos en tránsito.
Cree una red inalámbrica separada para dispositivos personales o no confiables. El acceso
empresarial desde esta red debe ser tratado como no confiable y filtrado y auditado en
consecuencia.
cuentas
e el ciclo de vida de las cuentas de sistemas y aplicaciones (su creación, uso, latencia,
mizar las oportunidades para que los atacantes las aprovechen.
Deshabilite cualquier cuenta que no pueda asociarse con un proceso comercial o propietario
de la empresa.
Deshabilita automáticamente las cuentas inactivas después de un período establecido de

inactividad.
Bloquee automáticamente las sesiones de la estación de trabajo después de un período

estándar de inactividad.
ma de sensibilización y capacitación sobre seguridad
ncionales en la organización (priorizando a aquellos críticos para la empresa y su seguridad),

mientos, habilidades y capacidades específicas necesarias para apoyar la defensa de la empresa;
n plan integrado para evaluar, identificar brechas y remediar a través de políticas, planificación
ación y programas de concientización.
Cree un programa de concientización sobre seguridad para que todos los miembros de la
fuerza laboral lo completen regularmente para asegurarse de que comprenden y exhiben los
comportamientos y habilidades necesarios para ayudar a garantizar la seguridad de la
organización. El programa de concientización de seguridad de la organización debe
comunicarse de manera continua y atractiva.
Capacite a los miembros de la fuerza laboral sobre la importancia de habilitar y utilizar la

autenticación segura.
Capacite a la fuerza laboral sobre cómo identificar diferentes formas de ataques de ingeniería
social, como phishing, estafas telefónicas y llamadas de suplantación.
Capacite a los miembros de la fuerza laboral sobre cómo identificar y almacenar, transferir,
archivar y destruir adecuadamente la información confidencial.
Capacite a los miembros de la fuerza laboral para que sean conscientes de las causas de la
exposición involuntaria de datos, como la pérdida de sus dispositivos móviles o el envío de
correos electrónicos a la persona equivocada debido al autocompletado en el correo
electrónico.
Capacite a los miembros de la fuerza laboral para que puedan identificar los indicadores más
comunes de un incidente y puedan informar dicho incidente.
de aplicación
vida de seguridad de todo el software desarrollado y adquirido internamente para prevenir,

debilidades de seguridad.
y gestión
de la organización, así como su reputación, desarrollando e implementando una infraestructura de
(p. Ej., Planes, roles definidos, capacitación, comunicaciones, supervisión administrativa) para
un ataque y luego contener el daño de manera efectiva, erradicando la presencia del atacante. y
de la red y los sistemas.
Asegúrese de que haya planes escritos de respuesta a incidentes que definan los roles del
personal, así como las fases de manejo / gestión de incidentes.
Designar personal de gestión, así como copias de seguridad, que apoyarán el proceso de
manejo de incidentes actuando en roles clave de toma de decisiones.
Reúna y mantenga información sobre la información de contacto de terceros que se utilizará

para informar un incidente de seguridad, como la aplicación de la ley, los departamentos
gubernamentales pertinentes, los proveedores y los socios del Centro de Análisis e
Intercambio de Información (ISAC).
Publique información para todos los miembros de la fuerza laboral, con respecto a la
notificación de anomalías e incidentes informáticos, al equipo de manejo de incidentes. Dicha
información debe incluirse en las actividades rutinarias de sensibilización de los empleados.
n y ejercicios del equipo rojo
eral de la defensa de una organización (la tecnología, los procesos y las personas) simulando los
e un atacante.
Implementación Grupo#1
Ejecuta Nivel de porcentaje actual
Si No 0 20 40 60
X X X
X X X
X X X
X X X
X X X
X X
X X X
X X X
X X X
X X
e trabajo y servidores
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X
X X
X X X
X X X
X X
X X X
X X
X X X
X X X
X X X
X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
X X X
entaje actual Nivel de porcentaje Deseado
80 100 0 20 40 60 80 100
6000% 8000%
X
4000% 8000%
4000% 6000%
2000% 6000%
X
0% 6000%
X
0% 6000%
2000% 6000%
2000% 6000%
X
6000% 8000%
X X
8000% 8000%
X
6000%
X
2000% 8000%
2000% 6000%
X
0% 4000%
X
0% 8000%
2000% 8000%
X
0% 8000%
X
0% 6000%
X X
8000% 10000%
X X
8000% 10000%
4000% 10000%
4000% 6000%
X X
8000% 8000%
X
6000% 10000%
X X
8000% 10000%
X
6000% 8000%
0% 8000%
X
2000% 8000%
X X
8000% 10000%
X
0% 8000%
X
4000% 8000%
X
2000% 4000%
X
0% 4000%
X
0% 4000%
X
0% 4000%
X
0% 4000%
X
0% 4000%
X
0% 4000%
0% 4000%
X
0% 4000%
X
0% 4000%
0% 4000%
0% 4000%
0% 4000%
Evaluación Porcentual de Nivel de Madurez
Mantener inventario de activos detallado
Mantener inventario de software autorizado
Asegúrese de que el software sea compatible con el proveedor
Ejecutar herramientas de escaneo de vulnerabilidades automatizadas
Implementar herramientas automatizadas de administración de parches del sistema

operativo
Implementar herramientas automatizadas de administración de parches de software
Cambiar contraseñas predeterminadas
Garantizar el uso de cuentas administrativas dedicadas
Establecer configuraciones seguras
Asegure el uso de solo navegadores y clientes de correo electrónico totalmente compatibles
Uso de servicios de filtrado de DNS

Asegúrese de que el software y las firmas antimalware se actualicen
Configurar dispositivos para que no se ejecute automáticamente el contenido

Garantizar copias de seguridad automatizadas regulares
Proteger Backups
seguridad sin conexión

todos los dispositivos rojos
Mantener un inventario de los límites de la red
Denegar la comunicación a través de puertos no autorizados
Mantener un inventario de información confidencial
Eliminar datos confidenciales o sistemas a los que la organización no accede regularmente
Cifrar datos del dispositivo móvil
Proteja la información a través de listas de control de acceso
Aproveche el Estándar de cifrado avanzado (AES) para cifrar datos inalámbricos
Cree una red inalámbrica separada para dispositivos personales y no confiables
Deshabilitar cualquier cuenta no asociada
Deshabilitar cuentas inactivas
Bloquear sesiones de estación de trabajo después de inactividad
Implementar un programa de concientización de seguridad
Capacitar a la fuerza laboral en la autenticación segura
Capacitar a la fuerza laboral en la identificación de ataques de ingeniería social
Capacitar a la fuerza laboral en el manejo de datos confidenciales
Capacitar a la fuerza laboral sobre las causas de la exposición involuntaria de datos
Capacitar a los miembros de la fuerza laboral para identificar e informar incidentes
Documentar procedimientos de respuesta a incidentes

Designar personal de administración para apoyar el manejo de incidentes
Mantener información de contacto para informar incidentes de seguridad
Publicar información sobre informes de anomalías e incidentes informáticos

% Actual %Esperado
60 80 ### 2 Inventario y
40 80 ### 3 Gestión cont

40 60 ### 5 Configuración
20 60 ### 6 Mantenimient
0 60 ### 7 Protecciones
0 60 ### 9 Limitación y
20 60 ### 10 Capacidades
20 60 ### 11 Configuració
60 80
### 13 Protección d
80 80 ### 14 Acceso contr

60 ### 16 Monitoreo y
20 80 ### 19 Respuesta a
20 60 ###
0 40 ###
0 80 ###
20 80 ###
0 80 ###
0 60 ###
80 100 ###
80 100 ###
40 100 ###
40 60 ###
80 80 ###
60 100 ###
80 100 ###
60 80 ###
0 80 ###
20 80 ###
80 100 ###
0 80 ###
40 80 ###
20 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
0 40 ###
20000%
% Actual %Esperado 16000%
12000%
2000% 6000% 8000%

4000%
0%
1333% 6000%
A x is T itle
6000% #DIV/0!
2000% 8000%
1000% 5000%
0% 6000%
8000% 10000%
8000% 8000%
2667% 8000%
8000% 8667%
667% 4000%
0% 4000%
Chart Title
0000%
6000%
2000%
8000%
4000%
0%
RESUMEN
TERMINOS Código No. De veces Actual No. De veces deseado
No existe 0 20 0
Inicia 1 8 0
Repetible 2 5 14
Proceso
definido 3 5 9
Administrabla
y medible 4 6 15
Optimizado 5 0 6

3CIS Pequeña Empresa AUTOMATIZ

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

3CIS Pequeña Empresa AUTOMATIZ

Cargado por

Copyright:

Formatos disponibles

Impresiones Serigráficas

Sum - 3 Sum - 4 Sum - 5 Sum - 0.0Sum - 1.1 Sum - 2.2Sum - 3.3

Mostramos en cada una de las gráficas los resultados de las evaluacion

Se llevaron todos los aspectos a nivel 4 (Administrables y medib

Monitoreo y control de cuentas Uso controlado de p

Control de acceso inalámbrico Configuración se

s de las evaluaciones. Protección de Datos

strables y medibles). Defensa de límites Defensas de malware

Configuración segura para dispositivos Capacidades

Porcentaje Porcentaje Deseado

No. De veces Actual No.

ntrol de activos de hardware

Uso controlado de privilegios administrativos

Mantenimiento, Monitoreo y Análisis de Registros de Auditoría

Protecciones de correo electrónico y navegador web

No. De veces Actual No. De veces deseado

1 Inventario y control de activos

Administre activamente (inventario, seguimient

1 1.4 Dispositivos Identificar Mantener inventario de activos

1 1.6 Dispositivos Reponder

2 Inventario y control de activos

Administre activamente (inventario, seguimient

2 2.1 Aplicaciones Identificar Mantener inventario de software

2 2.2 Aplicaciones Identificar Asegúrese de que el software sea

2 2.6 Aplicaciones Reponder

3 3.1 Aplicaciones Detectar Ejecutar herramientas de escaneo

Los procesos y herramientas utilizados para ra

Garantizar el uso de cuentas

5 Configuración segura para hardware y software

Establezca, implemente y administre activamen

6 Mantenimiento, Monitoreo y Análisis de Registr

Recopile, administre y analice registros de aud

6 6.2 Red Detectar

Minimice la superficie de ataque y las oportunid

Asegure el uso de solo

7 7.7 Red Proteger Uso de servicios de filtrado de

Controle la instalación, difusión y ejecución de

Asegúrese de que el software y las

8 8.4 Dispositivos Detectar Configurar el escaneo antimalware

Administre (rastree / controle / corrija) el uso o

9 9.4 Dispositivos Proteger Aplicar firewalls basados ​en host o

10 Capacidades de recuperación de datos

Los procesos y herramientas utilizados para re

Garantizar copias de seguridad

10 10.2 Datos Proteger Realizar copias de seguridad

10 10.4 Datos Proteger

Asegúrese de que todas las copias

Establezca, implemente y administre activamen

Detecta / previene / corrige el flujo de informac

Mantener un inventario de los

Denegar la comunicación a través

Los procesos y herramientas utilizados para ev

Eliminar datos confidenciales o

13 13.6 Datos Proteger Cifrar datos del dispositivo móvil

14 Acceso controlado basado en la necesidad de

Proteja la información a través de

15 Control de acceso inalámbrico

Los procesos y herramientas utilizados para ra

Aproveche el Estándar de cifrado

Cree una red inalámbrica

Administre activamente el ciclo de vida de las c

Deshabilitar cualquier cuenta no

16 16.9 Usuarios Reponder Deshabilitar cuentas inactivas

9 9.4 Dispositivos Proteger Aplicar firewalls basados en host o