Resumen Ejecutivo
¿Qué son los CIS Controls?
Los CIS Controls (anteriormente SANS Top 20) son un conjunto de 18 controles de seguridad prioritarios desarrollados y mantenidos por el Center for Internet Security. Su versión 8, publicada en 2021, se diseñó en base a los patrones de ataque reales más frecuentes documentados en inteligencia de amenazas global.
A diferencia de ISO 27001 o NIST CSF, los CIS Controls son altamente prescriptivos: cada control se descompone en salvaguardas (safeguards) específicas y accionables, con referencia al activo de seguridad que protegen (Datos, Dispositivos, Redes, Software, Identidad, etc.).
// Enfoque Basado en Evidencia
Los controles se priorizan según la frecuencia real de los vectores de ataque documentados en informes como el Verizon DBIR. Implementar el IG1 completo mitiga más del 77% de los ataques más comunes, siendo el conjunto mínimo recomendable para cualquier organización.
Grupos de Implementación
Ciberhigiene Esencial por Nivel de Madurez
IG1 — Ciberhigiene Esencial
56 salvaguardas para organizaciones pequeñas con recursos y expertise de TI limitados. Protege contra los ataques más comunes. Es el mínimo recomendable para cualquier organización.
IG2 — Empresas con Equipo TI
130 salvaguardas adicionales para organizaciones que gestionan datos sensibles de clientes o empleados. Requiere personal especializado en seguridad.
IG3 — Organizaciones Maduras
Todas las 153 salvaguardas, incluyendo controles avanzados de monitoreo, respuesta a incidentes y gestión de la cadena de suministro. Para sectores críticos.
Los 18 Controles
Mapa Completo de Controles
// Controles IG1 (Ciberhigiene Esencial)
CIS 1: Inventario y Control de Activos de Empresa. CIS 2: Inventario y Control de Activos de Software. CIS 3: Protección de Datos. CIS 4: Configuración Segura de Activos y Software. CIS 5: Gestión de Cuentas. CIS 6: Gestión del Control de Acceso.
// Controles IG2 (Empresa con Equipo TI)
CIS 7: Gestión Continua de Vulnerabilidades. CIS 8: Gestión de Registros de Auditoría. CIS 9: Protección de Correo y Navegador Web. CIS 10: Defensas contra Malware. CIS 11: Recuperación de Datos. CIS 12: Gestión de Infraestructura de Red.
// Controles IG3 (Madurez Avanzada)
CIS 13: Monitoreo y Defensa de Redes. CIS 14: Concientización y Capacitación en Seguridad. CIS 15: Gestión de Proveedores de Servicios. CIS 16: Seguridad del Software de Aplicaciones. CIS 17: Gestión de Respuesta a Incidentes. CIS 18: Pruebas de Penetración.
Aplicación Práctica
Implementando CIS Controls Paso a Paso
Fase 1 — Assessment Inicial
Evalúa el nivel actual de implementación de cada salvaguarda del IG1. Utiliza la herramienta gratuita CIS CSAT (Controls Self-Assessment Tool) o un servicio de assessment especializado como el que ofrece ShellTI.
Fase 2 — Priorización por Impacto
Ordena los gaps identificados según el impacto en la reducción de riesgo. Las salvaguardas relacionadas con inventario de activos (CIS 1-2) e identidad (CIS 5-6) suelen tener el mayor retorno.
Fase 3 — Implementación IG1 Completo
Implementa las 56 salvaguardas del IG1. Este conjunto, completamente implementado, es suficiente para la mayoría de las empresas medianas chilenas que no operan en sectores críticos.
Fase 4 — Expansión a IG2
Una vez consolidado el IG1, avanza con las 74 salvaguardas adicionales del IG2, priorizando gestión de vulnerabilidades (CIS 7) y logging (CIS 8), que son críticos para el cumplimiento de la Ley 21.719.
Integración
CIS Controls e ISO 27001
CIS Controls v8 y el Anexo A de ISO 27001:2022 son altamente complementarios. El CIS proporciona especificidad técnica y priorización por impacto, mientras que ISO 27001 aporta el marco de gestión formal y certificable.
// Estrategia de Doble Marco
Una estrategia efectiva es usar CIS Controls para implementar los controles técnicos del Anexo A de ISO 27001. Por ejemplo, CIS 5 (Gestión de Cuentas) mapea directamente con los controles A.8.2-A.8.5 de ISO 27001, y CIS 7 (Vulnerabilidades) mapea con A.8.8.
Preguntas Frecuentes
Lo que Nuestros Clientes Preguntan
¿CIS Controls tiene certificación oficial?
▼No existe una certificación formal de CIS Controls equivalente a ISO 27001. Sin embargo, el CIS ofrece el CIS Benchmark Certification para configuraciones seguras, y organismos de certificación utilizan CIS Controls como referencia en auditorías de ciberseguridad.
¿Cuánto tiempo toma implementar el IG1?
▼Para una empresa mediana con equipo de TI dedicado, implementar completamente el IG1 (56 salvaguardas) suele tomar entre 3 y 6 meses, dependiendo del estado inicial. ShellTI ofrece programas de implementación acelerada con apoyo técnico continuo.
¿CIS Controls aplica a entornos cloud?
▼Sí. CIS v8 fue diseñado explícitamente para entornos on-premise, cloud e híbridos. El CIS publica Benchmarks específicos para AWS, Azure, GCP y Kubernetes que complementan los 18 controles principales con configuraciones seguras para cada plataforma.
¿Qué relación tiene CIS Controls con la Ley 21.719?
▼Varios controles CIS se relacionan directamente con el deber de seguridad de la Ley 21.719 (Art. 14 quater): CIS 3 (Protección de Datos), CIS 5-6 (Control de Acceso), CIS 11 (Recuperación), y CIS 17 (Respuesta a Incidentes) son especialmente relevantes para el cumplimiento legal.
Evaluación de Conocimiento
Quiz CIS Controls v8
12 preguntas para validar tu dominio de los controles críticos
Correcto: B — 18 controles. CIS Controls v8 redujo de 20 a 18 controles respecto a versiones anteriores. Estos 18 controles se descomponen en 153 salvaguardas (safeguards) específicas y accionables.
Correcto: C — 77%. Según el CIS, implementar completamente las 56 salvaguardas del IG1 mitiga más del 77% de los ataques documentados más comunes. Es el nivel mínimo recomendable para cualquier organización.
Correcto: C — 56 salvaguardas. El IG1 contiene 56 de las 153 salvaguardas totales. Es el conjunto diseñado para organizaciones con recursos y expertise TI limitados. El IG2 añade 74 más, y el IG3 completa las 153.
Correcto: C — CIS 7. CIS Control 7 cubre la Gestión Continua de Vulnerabilidades: escaneo periódico, priorización por severidad y remediación dentro de SLAs definidos. Pertenece al IG2 y es crítico para el deber de seguridad de la Ley 21.719.
Correcto: C — CIS 17. CIS 17 (Gestión de Respuesta a Incidentes) cubre los playbooks, roles y procesos para gestionar incidentes. Es directamente relevante para cumplir la obligación de notificación en 72 horas del Art. 26 de la Ley 21.719.
Correcto: B — IG2. El IG2 está diseñado para empresas con personal TI especializado que gestionan datos sensibles de clientes o empleados. Incluye 130 salvaguardas (las 56 del IG1 más 74 adicionales) enfocadas en gestión de vulnerabilidades, logging y detección.
Correcto: B — CIS 3. CIS Control 3 (Protección de Datos) cubre el proceso de clasificación, gestión de acceso, cifrado, retención y eliminación segura de datos. Es el control más directamente alineado con el deber de seguridad y el principio de minimización de la Ley 21.719.
Correcto: B. No existe una certificación formal de CIS Controls equivalente a ISO 27001. El CIS CSAT es una herramienta de autoevaluación, no una certificación. Sin embargo, CIS Benchmarks sí tienen un proceso de certificación para configuraciones seguras de sistemas específicos.
Correcto: B — CIS 5 y 6. CIS 5 (Gestión de Cuentas) cubre el aprovisionamiento, desaprovisionamiento y auditoría de cuentas. CIS 6 (Gestión del Control de Acceso) cubre RBAC, privilegio mínimo y MFA. Ambos mapean con los controles A.8.2–A.8.5 del Anexo A de ISO 27001:2022.
Correcto: C — CIS CSAT. La CIS Controls Self-Assessment Tool (CSAT) es una herramienta gratuita que permite evaluar el nivel de implementación de cada salvaguarda y generar reportes de brechas. Es el punto de partida recomendado para un assessment inicial.
Correcto: C. CIS v8 fue rediseñado explícitamente para abarcar entornos on-premise, cloud e híbridos. Adicionalmente, CIS publica Benchmarks específicos para AWS, Azure, GCP y Kubernetes que complementan los 18 controles con configuraciones seguras detalladas para cada plataforma.
Correcto: C — 3 a 6 meses. Para una empresa mediana con equipo TI dedicado, implementar completamente las 56 salvaguardas del IG1 suele tomar entre 3 y 6 meses, dependiendo del estado inicial. El avance al IG2 requiere un período adicional similar.
¿Necesitas implementar este marco en tu organización?
ShellTI acompaña a empresas chilenas desde el diagnóstico hasta la certificación, con foco en Ley 21.719 e ISO 27001.