CONFORMIDAD · CIS CONTROLS

CIS Controls v8 en tu superficie externa.

Los CIS Controls agrupan 18 controles de seguridad priorizados y reconocidos internacionalmente. CSURFACE no cubre los 18 — actúa en la parte expuesta externamente, ayudando a sostener los controles que dependen del lo visible para internet.

¿QUÉ SON LOS CIS CONTROLS

Un marco priorizado por riesgos reales

Los CIS Controls — Critical Security Controls, manteniendo el Center for Internet Security — son un conjunto de 18 controles de seguridad organizados por orden de impacto. La versión 8 condensa buenas prácticas en acciones concretas y priorizadas: el objetivo es orientar dónde invertir primero, en lugar de tratar todos los requisitos como igualmente urgentes. Es uno de los marcos de seguridad más adoptados del mundo y sirve de base para diversos programas de conformidad.

Los 18 controles cubren desde inventario de activos y gestión de vulnerabilidades hasta respuesta a incidentes, capacitación y seguridad física — un espectro que va mucho más allá de lo que una sola herramienta puede abordar. La CSURFACE no reemplaza un programa de CIS Controls: contribuye a la parte que depende de la exposición externa. Todo lo que una organización publica en internet — dominios, aplicaciones, servicios, activos de subsidiarias y de la cadena digital de proveedores — debe ser inventariado, configurado con seguridad y monitoreado por vulnerabilidades. Es exactamente en este recorte donde la plataforma actúa.

La matriz a continuación mapea, con honestidad, los controles que la CSURFACE ayuda a sostener y el nivel de cobertura de cada uno. Donde la contribución es parcial, decimos parcial. Los controles que dependen de procesos internos, puntos finales, identidad o personas no aparecen aquí — porque la plataforma no los aborda.

COBERTURA

¿Cuáles CIS Controls ayuda a cumplir la CSURFACE?

La selección a continuación trae solo los controles en que la plataforma contribuye de manera genuina. Los demás controles del marco permanecen bajo la responsabilidad del programa de seguridad de la organización.

No cubre Parcialmente Bien Alto Completo
CIS ControlCobertura¿Cómo contribuye la CSURFACE?
Control 1Inventario y control de activos corporativos Alto La descubierta continua con Machine Learning identifica y clasifica los activos expuestos a internet — incluyendo shadow IT y activos de subsidiarias que no constan en el inventario oficial. La cobertura es alta en la parte externa; los activos internos de la red quedan fuera del alcance.
Control 2Inventario y control de activos de software Parcialmente La plataforma fingerprinta tecnologías, servicios y versiones de software detectables en los activos expuestos. Es una visión externa y parcial — no reemplaza un inventario autorizado de software en puntos finales e servidores internos.
Control 4Configuración segura de activos y software Parcialmente La detección externa de configuraciones inadecuadas en activos expuestos — servicios innecesarios publicados, paneles administrativos accesibles, cabeceras y TLS débiles, buckets y directorios abiertos. Cubre lo que se observa desde fuera; el hardening interno permanece con la organización.
Control 7Gestión continua de vulnerabilidades Alto Monitoreo continuo de vulnerabilidades en la superficie externa, con priorización por explotabilidad real — inteligencia de amenazas e indicadores de explotación activos reconocidos por el sector. La cobertura es alta en el perímetro externo; las vulnerabilidades en activos internos requieren escaneo complementario.
Control 12Gestión de la infraestructura de red Parcialmente Mapea la presencia de red expuesta a internet — dominios, rangos de IP, servicios de borde y puertos accesibles — señalando exposiciones no documentadas. No administra la configuración interna de la infraestructura de red.
Control 13Monitoreo y defensa de red Parcialmente El monitoreo continuo del perímetro señala nuevas exposiciones y cambios relevantes en la superficie externa. Es una capa de observación externa, complementaria — no reemplaza SIEM, IDS/IPS o monitoreo de tráfico interno.
Control 15Gestión de proveedores de servicio Bien El análisis de la cadena digital de proveedores evalúa la exposición externa de terceros conectados a su entorno, ayudando a mantener el riesgo de proveedor en el programa de seguridad. El proceso contractual y de gobernanza con los proveedores sigue con la organización.
Control 18Pruebas de invasión Parcialmente La validación de explotabilidad confirma, de forma activa cuando estén disponibles módulos, si las exposiciones externas son realmente explorables — un insumo continuo que apoya el programa de pruebas. La plataforma también ayuda a definir el alcance correcto de la prueba de invasión: en lugar de repetir siempre los mismos objetivos ya conocidos, el inventario externo continuo dirige el pentest hacia los activos que están realmente expuestos — incluyendo shadow IT, subsidiarias y la cadena de proveedores. El atacante sigue el camino de menor resistencia; el alcance de la prueba debe reflejar esta realidad. No reemplaza una prueba de invasión formal y abarcadora, conducida por expertos.

Alcance: La contribución de la CSURFACE se centra en la exposición externa — lo que su organización publica para internet. Controles relacionados con puntos finales, identidad y acceso, protección de datos, correo electrónico y navegadores, recuperación, capacitación y respuesta a incidentes no son abordados por la plataforma y permanecen bajo responsabilidad del programa interno de seguridad.

LO QUE GANHAS

Evidencia concreta para los controles de perímetro

Inventario externo siempre actualizado

La descubrimiento continua sostiene los Controles 1 y 2 en la parte expuesta: sabes lo que está publicado para internet, incluso lo que no ha sido registrado.

Vulnerabilidades priorizadas por el riesgo real

El Control 7 deja de ser una lista estática: la fila de corrección sigue lo que está siendo explotado ahora, en el perímetro que importa.

Ruta para auditoría y madurez

Cada hallazgo genera evidencia datada y auditables, útil para demostrar la evolución de los controles de exposición externa en evaluaciones de madurez de los CIS Controls.

PREGUNTAS FRECUENTES

FAQ

¿Cubre la CSURFACE los 18 Controles CIS?

No. La plataforma actúa en la parte de exposición externa e integra un subconjunto de controles —entre ellos los Controles 1, 2, 4, 7, 12, 13, 15 y 18. Los controles que dependen de procesos internos, endpoints, identidad o personas no son abordados por la CSURFACE y permanecen bajo responsabilidad del programa de seguridad de la organización.

¿Reemplaza la CSURFACE un programa de Controles CIS?

No. Los Controles CIS forman un marco abarcador que incluye tecnología, procesos y personas. La CSURFACE es un componente que fortalece los controles dependientes de la exposición externa —complementa el programa, no lo reemplaza.

¿Por qué algunos controles aparecen como cobertura "parcial"?

Porque la CSURFACE observa solo lo que está visible desde internet. En controles como el 2 (inventario de software) o el 12 (infraestructura de red), la visión externa trae parte de las informaciones, pero no alcanza endpoints, servidores internos y configuraciones que solo son visibles desde dentro de la red. Marcar "parcial" es una elección de transparencia.

¿La CSURFACE está certificada por el Center for Internet Security?

El CIS publica el marco de controles, que es un modelo de adopción abierta; no hay certificación individual de productos en este modelo. La CSURFACE no está certificada por el CIS —el mapa de esta página describe con transparencia en qué controles y a qué nivel la plataforma contribuye en la superficie externa.

Veja su superficie externa desde la óptica de los CIS Controls.

Indique el dominio de su empresa y reciba una análisis preliminar de su exposición externa. Sin tarjeta, sin reunión.

Recibir análisis preliminar