Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Componentes CONTROLES
SGSI DE
CIBERSEGURIDAD
CIS v8
Índice de Contenidos
• CONTROL 16
Overview
Safeguards
11
Control 16
22
Control 16 - Overview
33
Control 16 – Porque este control es critico
Las aplicaciones proporcionan una interfaz amigable para los humanos que permite a los usuarios
acceder y administrar los datos de una manera alineada con las funciones comerciales.
También minimizan la necesidad de que los usuarios se ocupen directamente de funciones del
sistema complejas (y potencialmente propensas a errores), como iniciar sesión en una base de datos
para insertar o modificar archivos.
Las empresas utilizan aplicaciones para administrar sus datos más confidenciales y controlar el
acceso a los recursos del sistema. Por lo tanto, un atacante puede usar la propia aplicación para
comprometer los datos, en lugar de una elaborada secuencia de piratería del sistema y la red que
intenta eludir los controles y sensores de seguridad de la red. Esta es la razón por la que proteger las
credenciales de usuario (específicamente las credenciales de la aplicación) definidas en CIS Control
6 es tan importante
44
Control 16 – Porque este control es critico
Al carecer de credenciales, las fallas de la aplicación son el vector de ataque preferido. Sin embargo,
las aplicaciones actuales se desarrollan, operan y mantienen en un entorno altamente complejo,
diverso y dinámico.
Las aplicaciones se ejecutan en múltiples plataformas: web, móvil, nube, etc., con arquitecturas de
aplicaciones que son más complejas que las estructuras heredadas cliente-servidor o base de datos-
servidor web. Los ciclos de vida del desarrollo se han acortado, pasando de meses o años en
metodologías de cascada larga a ciclos de DevOps.
Además, las aplicaciones rara vez se crean desde cero y, a menudo, se "ensamblan" a partir de una
combinación compleja de marcos de desarrollo, bibliotecas, código existente y código nuevo.
También existen normativas de protección de datos modernas y en evolución que se ocupan de la
privacidad del usuario. Estos pueden requerir el cumplimiento de normas regionales o específicas
del sector.
55
Control 16 – Procedimientos y herramientas
➢ Grupo de desarrollo 1
La empresa se basa en gran medida en paquetes y software estándar o de código abierto (OSS) con
solo la adición ocasional de pequeñas aplicaciones o codificación de sitios web. La empresa es capaz
de aplicar las mejores prácticas operativas y de procedimiento básicas y de administrar la seguridad
de su software proporcionado por el proveedor como resultado de seguir la guía de los Controles
CIS.
➢ Grupo de desarrollo 2
La empresa se basa en algunas aplicaciones de código nativo o web personalizadas (internas o
desarrolladas por un contratista) integradas con componentes de terceros y que se ejecutan en las
instalaciones o en la nube. La empresa tiene un personal de desarrollo que aplica las mejores
prácticas de desarrollo de software. La empresa está atenta a la calidad y mantenimiento del código
abierto o comercial de terceros del que depende.
66
Control 16 – Procedimientos y herramientas
➢ Grupo de desarrollo 3
La empresa realiza una importante inversión en software personalizado que necesita para
administrar su negocio y atender a sus clientes. Puede alojar software en su propia infraestructura,
en la nube o en ambos, y puede integrar una amplia gama de componentes de software comercial y
de código abierto de terceros. Los proveedores de software y las empresas que ofrecen SaaS deben
considerar el Grupo de desarrollo 3 como un conjunto mínimo de requisitos.
77
Control 16
88
Control 16
99
Control 16
10
10
GRACIAS
Componentes del SGSI