CIS Benchmarking son estándares de configuración de seguridad desarrollados por el Center for Internet Security.

¿Qué es CIS Benchmarking?

CIS Benchmarking son estándares de configuración de seguridad que proporcionan guías detalladas para configurar sistemas de manera segura.

Tipos de Benchmarks

Sistemas Operativos

• Windows: Windows Server, Windows 10/11
• Linux: Ubuntu, CentOS, RHEL, SUSE
• macOS: macOS Server, macOS Desktop
• Unix: Solaris, AIX, HP-UX

Aplicaciones

• Web Servers: Apache, Nginx, IIS
• Databases: MySQL, PostgreSQL, Oracle, SQL Server
• Email: Exchange, Postfix, Sendmail
• DNS: BIND, Microsoft DNS

Dispositivos

• Firewalls: Cisco, Fortinet, Palo Alto
• Routers: Cisco, Juniper, Huawei
• Switches: Cisco, HP, Dell
• Wireless: Cisco, Aruba, Ruckus

Estructura

Niveles

• Level 1: Configuraciones básicas
• Level 2: Configuraciones avanzadas
• Level 3: Configuraciones especializadas
• Custom: Configuraciones personalizadas

Categorías

• System: Configuración del sistema
• Network: Configuración de red
• Security: Configuración de seguridad
• Application: Configuración de aplicaciones

Implementación

Fase 1: Análisis

• Inventario: Inventario de sistemas
• Análisis: Análisis de configuración actual
• Gaps: Identificación de brechas
• Priorización: Priorización de implementación

Fase 2: Planificación

• Estrategia: Estrategia de implementación
• Cronograma: Cronograma de implementación
• Recursos: Recursos necesarios
• Riesgos: Evaluación de riesgos

Fase 3: Implementación

• Configuración: Aplicar configuraciones
• Pruebas: Probar configuraciones
• Documentación: Documentar cambios
• Formación: Capacitar personal

Fase 4: Operación

• Monitoreo: Monitoreo de configuraciones
• Auditorías: Auditorías regulares
• Actualizaciones: Actualizaciones de benchmarks
• Mejora: Mejora continua

Herramientas

Análisis

• CIS-CAT: CIS Configuration Assessment Tool
• Lynis: Security auditing tool
• OpenSCAP: Security compliance framework
• Nessus: Vulnerability scanner

Automatización

• Ansible: Configuration management
• Puppet: Configuration management
• Chef: Configuration management
• Terraform: Infrastructure as code

Monitoreo

• SIEM: Security Information and Event Management
• GRC: Governance, Risk and Compliance
• CMDB: Configuration Management Database
• Asset Management: Gestión de activos

Mejores Prácticas

Implementación

• Faseado: Implementación por fases
• Pruebas: Probar antes de implementar
• Rollback: Planes de rollback
• Documentación: Documentar cambios

Monitoreo

• Regularidad: Monitoreo regular
• Alertas: Alertas de cambios
• Auditorías: Auditorías regulares
• Reportes: Reportes de compliance

Mejora

• Actualizaciones: Actualizar benchmarks
• Optimización: Optimizar configuraciones
• Innovación: Innovar en seguridad
• Colaboración: Colaborar con la comunidad

Conceptos Relacionados

• CISO - Rol que supervisa CIS Benchmarking
• ISO 27001 - Estándar complementario a CIS
• SGSI - Sistema que incluye CIS
• ISMS - Sistema que incluye CIS
• Compliance - Proceso que incluye CIS
• Auditorías - Proceso que incluye CIS
• Hardening - Endurecimiento basado en CIS
• GAP Análisis - Evaluación con CIS
• Gobierno TI - Disciplina que incluye CIS
• COBIT 5 - Marco complementario a CIS
• SIEM - Sistema que monitorea CIS
• Firewall - Dispositivo que CIS evalúa

Referencias

• CIS Benchmarks
• CIS-CAT
• OpenSCAP
• NIST SP 800-53