La ciberseguridad tiene un problema de ruido. Cada semana hay una amenaza nueva, un producto que promete salvarte, un acrónimo que "necesitas urgentemente". Para una empresa que solo quiere protegerse sin volverse experta, el resultado es parálisis: ¿por dónde empiezo? Los Controles CIS existen para responder exactamente esa pregunta, y por eso valen oro. No son un producto ni una moda: son una lista priorizada de qué hacer primero, construida por una comunidad de profesionales a partir de cómo ocurren los ataques de verdad. Esta es la guía, sin humo, de los 18.
Qué son (y qué no son)
Los Controles Críticos de Seguridad CIS —en su versión actual, la v8.1— son un conjunto de 18 controles, cada uno con acciones concretas (llamadas salvaguardas), que una organización puede implementar para reducir de forma real su riesgo. Lo que los distingue de otros marcos es su virtud principal: están priorizados. No te dan una lista infinita de "buenas prácticas" en la que todas pesan igual; te dicen qué mueve más la aguja, en qué orden. Nacieron de una idea sensata: la mayoría de los ataques exitosos explotan un puñado de descuidos comunes, así que enfócate primero en cerrarlos.
Lo que no son: no son una certificación obligatoria ni una ley, no son un producto que compras, y no son "todo o nada". Son una guía práctica y gratuita que puedes adoptar a tu ritmo. Y a diferencia de un vendedor, no tienen nada que venderte.
El truco que los hace realistas: los grupos de madurez
Aquí está la genialidad práctica. CIS sabe que una PyME de 20 personas y un banco no pueden hacer lo mismo, así que divide las salvaguardas en tres Grupos de Implementación (IG):
- IG1 — higiene esencial. Lo mínimo indispensable que toda organización, del tamaño que sea, debería cumplir. Si solo haces IG1, ya cerraste la puerta a la mayoría de los ataques oportunistas.
- IG2 — organizaciones con más riesgo o que manejan datos más sensibles. Construye sobre IG1.
- IG3 — entornos críticos y maduros, con recursos y exposición altos.
Esto convierte una lista intimidante en un camino: empiezas por IG1, y subes según tu riesgo real. No es "implántalo todo o fracasa"; es "haz primero lo esencial, luego crece". Esa honestidad es lo que hace a los Controles CIS tan útiles frente a marcos que abruman.
Los 18, en tres bloques
Para navegarlos, los agrupamos por lo que buscan lograr. Cada uno tiene su artículo dedicado:
Conocer y proteger tus activos:
- 1 · Inventario de activos de hardware
- 2 · Inventario de software
- 3 · Protección de datos
- 4 · Configuración segura
- 5 · Gestión de cuentas
- 6 · Control de acceso
Defender y vigilar:
- 7 · Gestión de vulnerabilidades
- 8 · Gestión de registros (audit log)
- 9 · Protección de correo y navegador
- 10 · Defensa contra malware
- 11 · Recuperación de datos
- 12 · Gestión de infraestructura de red
- 13 · Monitoreo y defensa de red
Personas, terceros y respuesta:
- 14 · Concientización y capacitación
- 15 · Gestión de proveedores de servicio
- 16 · Seguridad del software de aplicaciones
- 17 · Gestión de respuesta a incidentes
- 18 · Pruebas de penetración
Cómo usar esta guía
No la leas como un examen. Léela como un mapa para ordenar prioridades. Si nunca has hecho nada estructurado, el primer paso no es comprar herramientas: es saber dónde estás, y los Controles CIS son una excelente vara para medirlo. Verás un patrón que se repite en todo este blog: la seguridad no es un producto que instalas, es un conjunto de prácticas ordenadas por prioridad. Los Controles CIS son, quizás, la mejor lista pública de cuáles son esas prioridades y en qué orden atenderlas.