¿Qué son los CIS Controls (controles críticos de seguridad)?
Los CIS Controls (CIS Critical Security Controls) son un conjunto priorizado de buenas prácticas de ciberseguridad mantenido por el Center for Internet Security. La versión vigente, la v8.1, organiza la defensa en 18 controles y 153 salvaguardas, ordenados del más esencial al más avanzado, con base en datos reales de ataque. A diferencia de una ley, los CIS Controls no son obligatorios: son una hoja de ruta práctica que responde a la pregunta “¿por dónde empiezo?” y que sirve de base para atender marcos como el NIST CSF y el CMMC.
Cómo funcionan los CIS Controls en la práctica
La fuerza de los CIS Controls es el orden de prioridad: dicen no solo qué hacer, sino qué hacer primero. En lugar de una lista de 153 tareas sueltas, la empresa elige su grupo y avanza. El ciclo tiene cuatro pasos.
Elegir el grupo de implementación
IG1, IG2 o IG3: el grupo define cuántas salvaguardas aplican, según el tamaño, la complejidad y el nivel de amenaza que la empresa enfrenta.
Empezar por la higiene esencial (IG1)
Las 56 salvaguardas del IG1 son el piso que toda empresa debería tener: inventario de activos, control de acceso, backup, defensa de correo y navegador.
Medir y cerrar las brechas
Cada salvaguarda es una tarea medible, lo que permite puntuar dónde está la empresa y priorizar lo que falta por el mayor beneficio de defensa.
Mapear a los otros marcos
Los CIS Controls se cruzan con NIST CSF, ISO 27001 y otros, así que el esfuerzo aquí adelanta el cumplimiento allá.
Fuente: Center for Internet Security (CIS), CIS Critical Security Controls v8.1.
Los tres grupos de implementación (IG)
- IG1 (Higiene cibernética esencial) Las 56 salvaguardas que toda empresa debería tener, sin importar el sector ni el tamaño. Es el piso de defensa.
- IG2 (Complejidad moderada) Agrega salvaguardas para empresas con más sistemas y obligaciones regulatorias, llegando a 130 en total.
- IG3 (Amenaza sofisticada) Reúne las 153 salvaguardas, para organizaciones que enfrentan adversarios avanzados y datos de alto valor.
Por qué una hoja de ruta priorizada importa tanto
La mayoría de las empresas no sufre por falta de herramienta, sino por no saber por dónde empezar, y por dejar lo básico abierto. Los CIS Controls existen para atacar eso: se construyen a partir de datos reales de ataque, cruzando el MITRE ATT&CK y el informe de investigaciones de violación de Verizon, para enfocar el esfuerzo en lo que los atacantes de verdad explotan. El beneficio es concreto: buena parte de los incidentes explota justamente las fallas de higiene esencial que el IG1 cubre, como la falta de MFA, el sistema desactualizado y el inventario incompleto. Empezar por el IG1 es el movimiento de mayor retorno de seguridad por inversión en defensa, antes de pasar a controles más sofisticados.
Cómo una empresa adopta los CIS Controls
Adoptar los CIS Controls es menos comprar algo y más ejecutar en el orden correcto. El camino más directo:
- Haga el inventario primeroNo se protege lo que no se conoce. El primer control es justamente saber qué dispositivos y software existen en el entorno.
- Implemente el IG1 por completoTrate las 56 salvaguardas esenciales como el piso innegociable: MFA, backup probado, corrección de vulnerabilidades, control de acceso.
- Puntúese y priorice lo que faltaMida cuánto de su grupo ya está implementado y ataque las brechas por el mayor beneficio de defensa, no por el orden de la lista.
- Suba de grupo según el riesgoLas empresas con más exposición avanzan al IG2 y al IG3, siempre construyendo sobre lo que el grupo anterior ya aseguró.
En la práctica
La pregunta que revela el riesgo real: ¿la empresa tiene hoy un inventario confiable de todos los dispositivos y software que corren en su red, o una lista que envejeció hace meses?
Cómo usa Zamak los CIS Controls
Zamak Technologies usa los CIS Controls como una de las hojas de ruta de la Gobernanza y Conformidad del Método Zamak: implementar la higiene esencial (IG1), medir la postura y sostener la evidencia sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.