CIS Controls: un marco de seguridad práctico para equipos de TI y proveedores de servicios gestionados (MSP)

Abril 27 2026
George Rouse
CEI, Marco / Normas, Cumplimiento de la normativa

Según el informe «State of the MSP» de Kaseya de 2026, el 71 % de los proveedores de servicios gestionados (MSP) registraron un crecimiento interanual de sus ingresos en el ámbito de la ciberseguridad, pero casi la mitad señala la complejidad de los productos de seguridad como su principal obstáculo para el crecimiento.

Cuando las organizaciones se preguntan «¿por dónde empezamos con la ciberseguridad?», la respuesta rara vez es sencilla. Existen docenas de marcos de referencia, cientos de documentos de orientación y una abrumadora variedad de controles de seguridad que hay que tener en cuenta. Los controles CIS simplifican esa complejidad con una respuesta deliberadamente práctica: estas son las 18 medidas de seguridad más importantes, ordenadas por prioridad, con directrices de implementación específicas para organizaciones de distintos tamaños.

Esa priorización es lo que distingue a los controles CIS. En lugar de constituir un catálogo exhaustivo de todo lo que una organización debería llegar a hacer, los controles se centran en las medidas fundamentales que abordan los vectores de ataque más comunes y ofrecen la mayor reducción del riesgo por unidad de esfuerzo.

Implementa y supervisa los controles CIS con Compliance Manager GRC

Compliance Manager GRC plantillas diseñadas específicamente para los tres grupos de implementación de CIS v8.1, que permiten realizar un seguimiento de la finalización de las medidas de protección, identificar deficiencias y generar automáticamente informes de pruebas listos para auditoría.

Descubre Compliance Manager GRC

¿Qué son los controles CIS?

Los controles CIS son un conjunto priorizado de buenas prácticas de ciberseguridad elaborado y actualizado por el Center for Internet Security, una organización sin ánimo de lucro. Publicados inicialmente como el «SANS Top 20» y posteriormente adoptados y perfeccionados por el CIS, estos controles representan una visión consensuada de las medidas defensivas más eficaces contra los ataques más comunes.

Este marco es ampliamente citado por los organismos reguladores y las normas de cumplimiento. El NIST, la HIPAA, el PCI DSS y numerosas normativas estatales en materia de ciberseguridad hacen referencia a los controles CIS o se ajustan a ellos. Para las organizaciones sujetas a múltiples requisitos de cumplimiento, la implementación de los controles CIS suele ofrecer una cobertura significativa que abarca varios marcos de forma simultánea.

Los controles son de uso gratuito y están a disposición del público, y cuentan con documentación de apoyo que incluye directrices de implementación, correspondencias con otros marcos y puntos de referencia para tecnologías específicas. Los puntos de referencia CIS ofrecen directrices de refuerzo de la seguridad para sistemas operativos, aplicaciones y servicios en la nube.

CIS Controls v8.1: el marco actual

CIS Controls v8.1 es la versión actual del marco. La versión 8 se lanzó en 2021 como la evolución más significativa de los últimos años, y la versión 8.1 perfeccionó y actualizó los detalles de las medidas de seguridad. Cambios clave con respecto a la versión 7:

Enfoque en la nube y los dispositivos móviles. La versión 8 se ha rediseñado para adaptarse a la realidad actual, en la que los entornos de TI abarcan ahora la infraestructura local, los servicios en la nube, los dispositivos móviles y el teletrabajo, y no se limitan al perímetro empresarial tradicional.

Se ha reducido el número de controles de 20 a 18. Se han fusionado varios controles que se solapaban y se ha reorganizado el marco en torno a tres grupos de implementación (IG1, IG2 e IG3), lo que permite a las organizaciones adaptar el alcance del marco a su tamaño y perfil de riesgo.

Modelo de medidas de seguridad. La versión 8 introdujo las «medidas de seguridad» como acciones específicas dentro de cada control, sustituyendo la terminología anterior de «subcontroles». La versión 8.1 de los controles CIS contiene 153 medidas de seguridad repartidas entre los 18 controles.

Grupos de implementación: adaptar los controles a tu organización

Una de las características más útiles desde el punto de vista práctico de los controles CIS es el modelo de grupos de implementación, que permite a las organizaciones adaptar el marco a su tamaño, sus recursos y su perfil de riesgo, en lugar de considerar las 153 medidas de seguridad como una lista homogénea.

IG1, Higiene cibernética básica (56 medidas de protección): Diseñado para pequeñas organizaciones con personal limitado en materia de TI y ciberseguridad. El IG1 representa el nivel básico que toda organización debería alcanzar, independientemente de su tamaño, y comprende los controles que abordan los ataques más comunes y de menor complejidad que afectan a la inmensa mayoría de las organizaciones. Si una organización no hace nada más, el mero hecho de cumplir con el IG1 mejora sustancialmente su nivel de seguridad.

IG2 (130 medidas de seguridad, incluye todas las de IG1): Adecuado para organizaciones que gestionan datos confidenciales y cuentan con personal dedicado a las tecnologías de la información y la seguridad. IG2 añade 74 medidas de seguridad adicionales para hacer frente a amenazas más sofisticadas, requisitos de cumplimiento normativo y entornos más complejos. Algunas medidas de seguridad de este nivel requieren tecnología de nivel empresarial y conocimientos especializados.

IG3 (las 153 medidas de seguridad, incluye IG1 e IG2): Adecuado para grandes organizaciones o aquellas que cuentan con equipos de seguridad consolidados que gestionan activos de gran valor o infraestructuras críticas. IG3 añade 23 medidas de seguridad destinadas a hacer frente a amenazas avanzadas y requiere conocimientos especializados en seguridad para su plena implementación.

Para la mayoría de las pymes y los clientes a los que prestan servicio los MSP, los niveles IG1 e IG2 son los más relevantes. El cumplimiento total del nivel IG1 cubre la inmensa mayoría de los vectores de ataque reales a los que se enfrentan las pymes.

Compliance Manager GRC incluye plantillas independientes para cada grupo de implementación, cargando automáticamente las medidas de seguridad específicas requeridas para el nivel seleccionado.

Los 18 controles CIS

Control 1: Inventario y control de los activos de la empresa. Conoce todos los dispositivos del entorno. No se puede proteger lo que no se conoce.

Medida 2: Inventario y control de los activos de software. Realice un seguimiento de todo el software y permita únicamente la ejecución del software autorizado. El software no autorizado constituye una de las principales vías de entrada del malware.

Control 3: Protección de datos. Desarrollar procesos y controles técnicos para identificar, clasificar, proteger, conservar y eliminar datos. Incluye el cifrado y la prevención de la pérdida de datos.

Control 4: Configuración segura de los activos y el software de la empresa. Establecer y mantener configuraciones seguras para todo el hardware y el software. Las configuraciones predeterminadas suelen ser inseguras.

Control 5: Gestión de cuentas. Utilizar procesos y herramientas para asignar y gestionar las credenciales de todas las cuentas, incluidas las de administrador, de servicio y de aplicaciones, siguiendo los principios del principio del mínimo privilegio.

Control 6: Gestión del control de acceso. Crear y gestionar credenciales de acceso basadas en los principios de «necesidad de conocer» y «necesidad de usar». Abarca la aplicación de la autenticación multifactorial (MFA), la gestión de privilegios y las revisiones de acceso.

Control 7: Gestión continua de vulnerabilidades. Recopilar, evaluar y actuar de forma continua ante la información sobre nuevas amenazas y vulnerabilidades para identificar y corregir los problemas, así como para reducir al mínimo las oportunidades de los atacantes.

Control 8: Gestión de registros de auditoría. Recopilar, notificar, revisar y conservar los registros de auditoría para facilitar la detección de incidentes y el análisis forense posterior a los mismos.

Medida de control 9: Protecciones para el correo electrónico y los navegadores web. Mejora las protecciones contra las amenazas que se transmiten a través del correo electrónico y los navegadores web, los dos vectores de acceso inicial más comunes.

Medida de control 10: Defensas contra el malware. Utilice herramientas automatizadas para prevenir o controlar la instalación y la ejecución de código malicioso en los dispositivos finales.

Control 11: Recuperación de datos. Establecer y mantener prácticas de recuperación de datos que permitan restaurar los datos incluidos en el ámbito de aplicación a su estado anterior al incidente, dentro de los objetivos definidos de RTO y RPO.

Control 12: Gestión de la infraestructura de red. Establecer, implementar y gestionar la infraestructura de red para evitar que los atacantes aprovechen los servicios y configuraciones vulnerables de la red.

Medida de control 13: Supervisión y defensa de la red. Supervisar la red para detectar actividades anómalas o maliciosas e implementar mecanismos para detectarlas y responder a ellas.

Medida de control 14: Formación en concienciación y habilidades de seguridad. Establecer y mantener un programa de concienciación sobre seguridad que aborde el factor de riesgo humano mediante formación y simulacros de phishing.

Medida de control 15: Gestión de proveedores de servicios. Desarrollar un proceso para evaluar y gestionar a los proveedores de servicios (incluidos los MSP) en función del riesgo que suponen para los datos y los sistemas de la organización.

Control 16: Seguridad del software de aplicación. Gestionar el ciclo de vida de la seguridad del software desarrollado internamente, alojado o adquirido para prevenir, detectar y subsanar las vulnerabilidades de seguridad.

Control 17: Gestión de la respuesta ante incidentes. Establecer un programa para desarrollar y mantener la capacidad de respuesta ante incidentes, incluyendo manuales de procedimientos definidos y procedimientos probados.

Medida de control 18: Pruebas de penetración. Comprobar la eficacia de las defensas mediante ataques simulados controlados para identificar vulnerabilidades explotables antes de que lo hagan los atacantes.

Controles CIS y otros marcos

Los controles CIS no son independientes. Se corresponden directamente con otros marcos normativos que las organizaciones deben cumplir, lo cual es una de las principales razones por las que merece la pena invertir en la implementación de los controles CIS, incluso para aquellas organizaciones a las que no se les exige específicamente seguir el CIS.

Marco de seguridad cibernética del NIST (NIST CSF): Los controles CIS se corresponden ampliamente con las funciones del NIST CSF (Identificar, Proteger, Detectar, Responder, Recuperar). Las organizaciones que utilizan el NIST CSF consideran que los controles CIS proporcionan el nivel de detalle operativo que requieren las funciones más abstractas del CSF.

PCI DSS: Los controles del 1 al 7 y del 10 al 12 se ajustan en gran medida a los requisitos de PCI DSS. La implementación de los controles CIS reduce considerablemente el esfuerzo que supone la preparación para las auditorías de PCI DSS.

HIPAA: Los controles CIS abordan muchos de los requisitos de medidas de seguridad administrativas, físicas y técnicas de la Norma de Seguridad de la HIPAA.

ISO 27001: Existe una gran coincidencia entre los controles CIS y los controles del anexo A de la norma ISO 27001. Las organizaciones que desean obtener la certificación ISO 27001 se benefician de la implementación de los controles CIS ya existentes, ya que esta sirve como prueba de la madurez de sus controles.

Esta cobertura transversal es la razón por la que los controles CIS constituyen un punto de partida práctico para la mayoría de las organizaciones: su implementación genera pruebas de cumplimiento en múltiples marcos de referencia al mismo tiempo, lo que reduce la carga que supone gestionar cada marco de forma independiente.

Implementación de los controles CIS con Kaseya

La plataforma Kaseya ofrece asistencia técnica directa para la implementación de la mayoría de los controles CIS en entornos gestionados:

Controles 1 y 2 (Inventario de activos): La detección automática de dispositivos y el inventario de software de VSA crean y mantienen los registros de activos que requieren los controles 1 y 2. IT Glue la capa de documentación para el seguimiento de activos y los registros de configuración.

Controles 4 y 5 (Configuración segura, Gestión de cuentas): La gestión de la configuración basada en políticas de VSA garantiza el cumplimiento de los estándares de configuración segura en todos los terminales gestionados. Kaseya 365 permite la aplicación de la autenticación multifactorial (MFA) y la gestión del acceso privilegiado.

Control 7 (Gestión de vulnerabilidades): El análisis de vulnerabilidades y la gestión automatizada de parches de Kaseya responden directamente a la necesidad de una gestión continua de las vulnerabilidades.

Controles 9 y 10 (protección del correo electrónico y del navegador, defensa contra el malware): Inky (seguridad del correo electrónico) y Datto EDR se encargan de los controles de seguridad del correo electrónico, del navegador y de la defensa contra el malware.

Control 11 (Recuperación de datos): Datto BCDR ofrece las funciones de copia de seguridad y recuperación que requiere Control 11, con verificación automatizada y almacenamiento en la nube inmutable.

Control 14 (Concienciación sobre seguridad): BullPhish ID ofrece formación en concienciación sobre seguridad y simulaciones de phishing.

Control 17 (Respuesta ante incidentes): El servicio MDR de Kaseya ofrece supervisión y capacidad de respuesta las 24 horas del día, los 7 días de la semana, lo que respalda un programa gestionado de respuesta ante incidentes.

Compliance Manager GRC es donde todo esto se integra con fines de cumplimiento normativo. Incluye plantillas de CIS Controls v8.1 diseñadas específicamente para los tres grupos de implementación (IG), que cargan automáticamente las medidas de seguridad específicas requeridas para el nivel de IG seleccionado. La plataforma realiza un seguimiento del progreso de la implementación en las 153 medidas de seguridad, identifica las deficiencias y genera automáticamente los manuales de cumplimiento, los informes de pruebas y la documentación de auditoría que demuestran el cumplimiento de CIS Controls ante los clientes, los auditores y las aseguradoras cibernéticas.

Para los MSP, esto convierte los controles CIS de un marco de referencia que hay que revisar en un servicio de cumplimiento gestionado que hay que prestar. Descubra Compliance Manager GRC.

Puntos clave

  • CIS Controls v8.1 ofrece 18 medidas de seguridad priorizadas, organizadas en grupos de implementación que se adaptan al tamaño de la organización. El IG1 (56 medidas de seguridad) constituye la base esencial que toda organización debería alcanzar.
  • El modelo del Grupo de Implementación hace que los controles CIS sean prácticos para organizaciones de cualquier tamaño: las pymes se centran en los grupos IG1 e IG2, mientras que las grandes empresas se centran en el grupo IG3.
  • Los controles de CIS se corresponden con el Marco de Seguridad de la Información del NIST (CSF), la norma PCI DSS, la HIPAA y la norma ISO 27001, lo que hace que su implementación resulte valiosa como prueba de cumplimiento en múltiples marcos de referencia al mismo tiempo.
  • La plataforma Kaseya implementa directamente la mayoría de los controles CIS a través de VSA, Datto EDR, IT Glue, Inky, BullPhish ID y Datto BCDR.
  • Compliance Manager GRC plantillas específicas para CIS v8.1 destinadas a los tres grupos de implementación, lo que permite realizar un seguimiento de la finalización de las medidas de protección y generar automáticamente documentación probatoria lista para auditorías.

Una plataforma completa para la gestión de TI y seguridad

Kaseya 365 la solución integral para gestionar, proteger y automatizar las TI. Gracias a sus integraciones fluidas en todas las funciones críticas de TI, simplifica las operaciones, refuerza la seguridad y aumenta la eficiencia.

Solicite una demostración Descubre Kaseya 365

Una plataforma. Todo en uno para TI.

Kaseya 365 disfrutan de las ventajas de las mejores herramientas de gestión de TI y seguridad en una única solución.

Descubre Kaseya 365

Su éxito es nuestra prioridad número 1

Partner First es un compromiso de condiciones flexibles, riesgo compartido y soporte dedicado a su empresa.

Descubre Partner First Pledge

Informe Global de Referencia para MSP 2025

El Informe Global de Referencia para MSP 2025 de Kaseya es su recurso de referencia para comprender hacia dónde se dirige la industria.

Descargar ahora

Explora las categorías

¿Qué es el cumplimiento de las normas del NIST? Una guía práctica para equipos de TI y proveedores de servicios gestionados (MSP)

El término «NIST» se utiliza para referirse a varias cosas diferentes, a menudo de forma intercambiable y no siempre con precisión. La agencia. El Marco de Ciberseguridad.

Leer la entrada del blog

Cumplimiento normativo en TI para MSP: cómo crear una empresa con capacidad de expansión

El cumplimiento normativo se ha convertido, sin hacer mucho ruido, en una de las capacidades más importantes desde el punto de vista comercial que un MSP puede desarrollar. La combinación del creciente marco normativo

Leer la entrada del blog

ISO 27001: qué es, qué requisitos exige la certificación y si tu organización la necesita

La norma ISO 27001 es la norma internacional para los sistemas de gestión de la seguridad de la información. Es la certificación de seguridad más reconocida a nivel mundial,

Leer la entrada del blog