Inventario externo siempre actualizado
La descubrimiento continua sostiene los Controles 1 y 2 en la parte expuesta: sabes lo que está publicado para internet, incluso lo que no ha sido registrado.
CONFORMIDAD · CIS CONTROLS
Los CIS Controls agrupan 18 controles de seguridad priorizados y reconocidos internacionalmente. CSURFACE no cubre los 18 — actúa en la parte expuesta externamente, ayudando a sostener los controles que dependen del lo visible para internet.
¿QUÉ SON LOS CIS CONTROLS
Los CIS Controls — Critical Security Controls, manteniendo el Center for Internet Security — son un conjunto de 18 controles de seguridad organizados por orden de impacto. La versión 8 condensa buenas prácticas en acciones concretas y priorizadas: el objetivo es orientar dónde invertir primero, en lugar de tratar todos los requisitos como igualmente urgentes. Es uno de los marcos de seguridad más adoptados del mundo y sirve de base para diversos programas de conformidad.
Los 18 controles cubren desde inventario de activos y gestión de vulnerabilidades hasta respuesta a incidentes, capacitación y seguridad física — un espectro que va mucho más allá de lo que una sola herramienta puede abordar. La CSURFACE no reemplaza un programa de CIS Controls: contribuye a la parte que depende de la exposición externa. Todo lo que una organización publica en internet — dominios, aplicaciones, servicios, activos de subsidiarias y de la cadena digital de proveedores — debe ser inventariado, configurado con seguridad y monitoreado por vulnerabilidades. Es exactamente en este recorte donde la plataforma actúa.
La matriz a continuación mapea, con honestidad, los controles que la CSURFACE ayuda a sostener y el nivel de cobertura de cada uno. Donde la contribución es parcial, decimos parcial. Los controles que dependen de procesos internos, puntos finales, identidad o personas no aparecen aquí — porque la plataforma no los aborda.
COBERTURA
La selección a continuación trae solo los controles en que la plataforma contribuye de manera genuina. Los demás controles del marco permanecen bajo la responsabilidad del programa de seguridad de la organización.
| CIS Control | Cobertura | ¿Cómo contribuye la CSURFACE? |
|---|---|---|
| Control 1Inventario y control de activos corporativos | Alto | La descubierta continua con Machine Learning identifica y clasifica los activos expuestos a internet — incluyendo shadow IT y activos de subsidiarias que no constan en el inventario oficial. La cobertura es alta en la parte externa; los activos internos de la red quedan fuera del alcance. |
| Control 2Inventario y control de activos de software | Parcialmente | La plataforma fingerprinta tecnologías, servicios y versiones de software detectables en los activos expuestos. Es una visión externa y parcial — no reemplaza un inventario autorizado de software en puntos finales e servidores internos. |
| Control 4Configuración segura de activos y software | Parcialmente | La detección externa de configuraciones inadecuadas en activos expuestos — servicios innecesarios publicados, paneles administrativos accesibles, cabeceras y TLS débiles, buckets y directorios abiertos. Cubre lo que se observa desde fuera; el hardening interno permanece con la organización. |
| Control 7Gestión continua de vulnerabilidades | Alto | Monitoreo continuo de vulnerabilidades en la superficie externa, con priorización por explotabilidad real — inteligencia de amenazas e indicadores de explotación activos reconocidos por el sector. La cobertura es alta en el perímetro externo; las vulnerabilidades en activos internos requieren escaneo complementario. |
| Control 12Gestión de la infraestructura de red | Parcialmente | Mapea la presencia de red expuesta a internet — dominios, rangos de IP, servicios de borde y puertos accesibles — señalando exposiciones no documentadas. No administra la configuración interna de la infraestructura de red. |
| Control 13Monitoreo y defensa de red | Parcialmente | El monitoreo continuo del perímetro señala nuevas exposiciones y cambios relevantes en la superficie externa. Es una capa de observación externa, complementaria — no reemplaza SIEM, IDS/IPS o monitoreo de tráfico interno. |
| Control 15Gestión de proveedores de servicio | Bien | El análisis de la cadena digital de proveedores evalúa la exposición externa de terceros conectados a su entorno, ayudando a mantener el riesgo de proveedor en el programa de seguridad. El proceso contractual y de gobernanza con los proveedores sigue con la organización. |
| Control 18Pruebas de invasión | Parcialmente | La validación de explotabilidad confirma, de forma activa cuando estén disponibles módulos, si las exposiciones externas son realmente explorables — un insumo continuo que apoya el programa de pruebas. La plataforma también ayuda a definir el alcance correcto de la prueba de invasión: en lugar de repetir siempre los mismos objetivos ya conocidos, el inventario externo continuo dirige el pentest hacia los activos que están realmente expuestos — incluyendo shadow IT, subsidiarias y la cadena de proveedores. El atacante sigue el camino de menor resistencia; el alcance de la prueba debe reflejar esta realidad. No reemplaza una prueba de invasión formal y abarcadora, conducida por expertos. |
Alcance: La contribución de la CSURFACE se centra en la exposición externa — lo que su organización publica para internet. Controles relacionados con puntos finales, identidad y acceso, protección de datos, correo electrónico y navegadores, recuperación, capacitación y respuesta a incidentes no son abordados por la plataforma y permanecen bajo responsabilidad del programa interno de seguridad.
LO QUE GANHAS
La descubrimiento continua sostiene los Controles 1 y 2 en la parte expuesta: sabes lo que está publicado para internet, incluso lo que no ha sido registrado.
El Control 7 deja de ser una lista estática: la fila de corrección sigue lo que está siendo explotado ahora, en el perímetro que importa.
Cada hallazgo genera evidencia datada y auditables, útil para demostrar la evolución de los controles de exposición externa en evaluaciones de madurez de los CIS Controls.
PREGUNTAS FRECUENTES
No. La plataforma actúa en la parte de exposición externa e integra un subconjunto de controles —entre ellos los Controles 1, 2, 4, 7, 12, 13, 15 y 18. Los controles que dependen de procesos internos, endpoints, identidad o personas no son abordados por la CSURFACE y permanecen bajo responsabilidad del programa de seguridad de la organización.
No. Los Controles CIS forman un marco abarcador que incluye tecnología, procesos y personas. La CSURFACE es un componente que fortalece los controles dependientes de la exposición externa —complementa el programa, no lo reemplaza.
Porque la CSURFACE observa solo lo que está visible desde internet. En controles como el 2 (inventario de software) o el 12 (infraestructura de red), la visión externa trae parte de las informaciones, pero no alcanza endpoints, servidores internos y configuraciones que solo son visibles desde dentro de la red. Marcar "parcial" es una elección de transparencia.
El CIS publica el marco de controles, que es un modelo de adopción abierta; no hay certificación individual de productos en este modelo. La CSURFACE no está certificada por el CIS —el mapa de esta página describe con transparencia en qué controles y a qué nivel la plataforma contribuye en la superficie externa.
Indique el dominio de su empresa y reciba una análisis preliminar de su exposición externa. Sin tarjeta, sin reunión.
Recibir análisis preliminar