Ir al contenido
Gobernanza y Conformidad

¿Qué son los CIS Controls (controles críticos de seguridad)?

Los CIS Controls (CIS Critical Security Controls) son un conjunto priorizado de buenas prácticas de ciberseguridad mantenido por el Center for Internet Security. La versión vigente, la v8.1, organiza la defensa en 18 controles y 153 salvaguardas, ordenados del más esencial al más avanzado, con base en datos reales de ataque. A diferencia de una ley, los CIS Controls no son obligatorios: son una hoja de ruta práctica que responde a la pregunta “¿por dónde empiezo?” y que sirve de base para atender marcos como el NIST CSF y el CMMC.

Zamak TechnologiesActualizado el 10 de julio de 2026

Cómo funcionan los CIS Controls en la práctica

La fuerza de los CIS Controls es el orden de prioridad: dicen no solo qué hacer, sino qué hacer primero. En lugar de una lista de 153 tareas sueltas, la empresa elige su grupo y avanza. El ciclo tiene cuatro pasos.

1

Elegir el grupo de implementación

IG1, IG2 o IG3: el grupo define cuántas salvaguardas aplican, según el tamaño, la complejidad y el nivel de amenaza que la empresa enfrenta.

2

Empezar por la higiene esencial (IG1)

Las 56 salvaguardas del IG1 son el piso que toda empresa debería tener: inventario de activos, control de acceso, backup, defensa de correo y navegador.

3

Medir y cerrar las brechas

Cada salvaguarda es una tarea medible, lo que permite puntuar dónde está la empresa y priorizar lo que falta por el mayor beneficio de defensa.

4

Mapear a los otros marcos

Los CIS Controls se cruzan con NIST CSF, ISO 27001 y otros, así que el esfuerzo aquí adelanta el cumplimiento allá.

Fuente: Center for Internet Security (CIS), CIS Critical Security Controls v8.1.

Los tres grupos de implementación (IG)

  • IG1 (Higiene cibernética esencial) Las 56 salvaguardas que toda empresa debería tener, sin importar el sector ni el tamaño. Es el piso de defensa.
  • IG2 (Complejidad moderada) Agrega salvaguardas para empresas con más sistemas y obligaciones regulatorias, llegando a 130 en total.
  • IG3 (Amenaza sofisticada) Reúne las 153 salvaguardas, para organizaciones que enfrentan adversarios avanzados y datos de alto valor.

Por qué una hoja de ruta priorizada importa tanto

18 y 153
controles y salvaguardas organizan los CIS Controls v8.1 (CIS)
56
salvaguardas forman el IG1, el piso de higiene cibernética esencial para cualquier empresa (CIS)
3
grupos de implementación acumulativos (IG1, IG2, IG3) escalonan el esfuerzo por el riesgo (CIS)

La mayoría de las empresas no sufre por falta de herramienta, sino por no saber por dónde empezar, y por dejar lo básico abierto. Los CIS Controls existen para atacar eso: se construyen a partir de datos reales de ataque, cruzando el MITRE ATT&CK y el informe de investigaciones de violación de Verizon, para enfocar el esfuerzo en lo que los atacantes de verdad explotan. El beneficio es concreto: buena parte de los incidentes explota justamente las fallas de higiene esencial que el IG1 cubre, como la falta de MFA, el sistema desactualizado y el inventario incompleto. Empezar por el IG1 es el movimiento de mayor retorno de seguridad por inversión en defensa, antes de pasar a controles más sofisticados.

Cómo una empresa adopta los CIS Controls

Adoptar los CIS Controls es menos comprar algo y más ejecutar en el orden correcto. El camino más directo:

  1. Haga el inventario primeroNo se protege lo que no se conoce. El primer control es justamente saber qué dispositivos y software existen en el entorno.
  2. Implemente el IG1 por completoTrate las 56 salvaguardas esenciales como el piso innegociable: MFA, backup probado, corrección de vulnerabilidades, control de acceso.
  3. Puntúese y priorice lo que faltaMida cuánto de su grupo ya está implementado y ataque las brechas por el mayor beneficio de defensa, no por el orden de la lista.
  4. Suba de grupo según el riesgoLas empresas con más exposición avanzan al IG2 y al IG3, siempre construyendo sobre lo que el grupo anterior ya aseguró.

En la práctica

La pregunta que revela el riesgo real: ¿la empresa tiene hoy un inventario confiable de todos los dispositivos y software que corren en su red, o una lista que envejeció hace meses?

Cómo usa Zamak los CIS Controls

Zamak Technologies usa los CIS Controls como una de las hojas de ruta de la Gobernanza y Conformidad del Método Zamak: implementar la higiene esencial (IG1), medir la postura y sostener la evidencia sobre una plataforma de cumplimiento. Un buen punto de partida es el Compliance Audit Express, que muestra en minutos dónde está más expuesta la empresa.

Preguntas frecuentes sobre los CIS Controls

¿Los CIS Controls son obligatorios?
No. Son un conjunto voluntario de buenas prácticas. Pero se volvieron una referencia tan sólida que muchos marcos y reguladores los usan como base, y adoptarlos adelanta el cumplimiento de normas obligatorias.
¿Cuál es la diferencia entre los CIS Controls y el NIST CSF?
El NIST CSF es un marco de gestión de riesgo de alto nivel (qué gobernar); los CIS Controls son una lista priorizada y concreta de acciones (qué hacer primero). Muchas empresas usan los CIS Controls para ejecutar lo que el NIST CSF orienta.
¿Por dónde debe empezar una empresa pequeña?
Por el IG1. Sus 56 salvaguardas son el piso de higiene cibernética pensado justamente para empresas con recurso limitado, y cubren las fallas que la mayoría de los ataques explota.
¿Qué es una salvaguarda?
Es la tarea específica y medible dentro de un control. El control dice el objetivo (por ejemplo, controlar el acceso); la salvaguarda dice la acción concreta (por ejemplo, exigir MFA en el acceso remoto).
¿Los grupos de implementación son acumulativos?
Sí. El IG2 incluye todas las salvaguardas del IG1 y agrega las suyas; el IG3 incluye todo. Una empresa sube de grupo sin descartar lo que ya implementó.
¿Los CIS Controls sirven para la nube y el trabajo remoto?
Sí. La v8.1 se actualizó para entornos de nube, híbridos y remotos, y se alineó con el NIST CSF 2.0, incluyendo la función de gobernanza.

Términos relacionados

Amenazas y Ataques
Endpoint e Identidad
MFAPAM (acceso privilegiado)SSO (inicio de sesión único)
Detección y Respuesta
EDRMDRXDRMITRE ATT&CKSIEMSOC (centro de operaciones)
Red y Acceso
ZTNAFirewallVPNSASE
Gobernanza y Conformidad
LGPDISO 27001SOC 2NIST CSFShadow ITEvaluación de madurez cibernéticaHIPAAPCI DSSGDPRCMMCCIS ControlsISO 42001 (gestión de IA)NIST AI RMFNIST 800-171FTC SafeguardsISO 27701 (privacidad)FedRAMPGRC (gobernanza, riesgo, cumplimiento)vCIOvCISO
Conceptos y Fundamentos
Deep webZero TrustDefensa en profundidadSuperficie de ataqueEndpointMenor privilegio
IA y Seguridad
Shadow AIGobernanza de IAInyección de promptsOWASP LLM Top 10Deepfake