Skip to main content

CISen zibersegurtasun-kontrol kritikoak

Norentzat?

Interneteko Segurtasun Zentroaren (CIS, Center for Internet Security) zibersegurtasun-kontrol kritikoak edozein erakunde publiko edo pribatuk erabil ditzake, handi edo txiki, eta haien helburua da zibereraso arruntenen aurrean defendatzeko gaitasuna hobetzea.

Zer dira?

Interneteko Segurtasun Zentroaren zibersegurtasun-kontrol kritikoak jardunbide egokien multzo bat dira, eta sistemen eta sareen aurkako eraso arruntenen inpaktua arintzeko balio dute. Hasiera batean, SANSen 20 Segurtasun Kontrol Kritikoak izenez ezagutzen ziren (SANS Top 20), eta gaur egun Interneteko Segurtasun Zentroa (CIS, Center for Internet Security) irabazi asmorik gabeko erakunde independentea arduratzen da zibersegurtasun kontrolen katalogo hori mantentzeaz eta eguneratzeaz. Hauxe ezartzen du 2021ean argitaratu zen Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolen 8. bertsioak:

  • Jardunbide hobeen egungo bertsioa osatzen duten 18 kontrolen zerrenda
  • Kontrol bakoitzak erasoen blokeoaren edo identifikazioaren ikuspegitik duen garrantziaren azalpena eta erasotzaile batek kontrol horren gabezia aktiboki nola ustiatzen duen zehazten duen azalpena.
  • Erakunde batek kontrola ezartzeko garatu beharko lituzkeen ekintza espezifikoen taula bat (“azpikontrolak”).
  • Kontrola inplementatzeko eta automatizatzeko aukera ematen duten prozedurak eta tresnak

Horrela, Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolek katalogo bat osatzen dute, eta hantxe jasotzen dira erakunde batek zibereraso arruntenetatik babesteko antolatu beharko lituzkeen ekintza, prozedura eta/edo tresna nagusiak.

Helburuak

Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolen helburuak honako puntu hauetan laburbil daitezke:

  • Babes-arloko ekintza-lehentasunak ezartzea
  • Jorratu beharreko arlo kritikoenak zehaztea
  • Jarraitu beharreko oinarrien ibilbide-orria edukitzea
  • Balio handiena duten defentsa-neurriak ezagutzea

Azken batean, Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolen helburu orokorra da erakundeek jakitea nola defendatu behar duten beren burua modu fokalizatuan, zibereraso ohikoenen aurrean.

Ezartzearen onurak

Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolak zibersegurtasunerako jardunbide egokien eredu gisa erabiltzeak zibersegurtasun-sistema eraginkor bat izateko aukera emango dio edozein erakunderi. Sistema horren oinarrian, honako printzipio hauek izango dira:

  • Erasoek gidatu behar dute defentsa: Benetako eraso arrakastatsuen gaineko ezagutza erabili behar da haietatik ikasteko oinarria ipintzeko eta ziberbabes-soluzio eraginkorrak eta praktikoak eraikitzeko.
  • Ezinbestekoa da alderdi hauek lehenestea: Lehenik eta behin, arrisku-murrizketa handiena eta eragile arriskutsuenen aurkako babes-maila handiena eskaintzen duten kontroletan inbertitu behar da, eta ingurune informatikoan modu bideragarrian ezartzeko modukoak izan behar dute.
  • Alderdi hauek neurtu behar dira: Parametro komunak ezarri behar dira, eta hizkuntza partekatu bat izan behar da eragindako profilen artean (zuzendariak, informazioaren teknologiko langileak, zibersegurtasuneko espezialistak, eta abar), erakunde baten barruan segurtasun-neurrien eraginkortasuna neurtzeko, eta, hala, behar diren doikuntzak azkar identifikatu eta inplementatu ahal izateko.
  • Diagnostiko eta arintze jarraitua: Neurketa jarraituak egin behar dira ezarritako segurtasun-neurrien eraginkortasuna probatzeko eta baliozkotzeko, eta, hala, hurrengo urratsak lehenesten laguntzeko.
  • Automatizazioa bilatu behar da: Babes-mekanismoak automatizatu behar dira, erakundeek neurketa fidagarriak, eskalagarriak eta jarraituak egin eta eraso posibleak geldiarazteko segurtasun-neurri benetan eraginkorrak lor ditzaten.

Kontuan hartu beharreko faktoreak, Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolak erreferentzia-esparru gisa hartzeko

  • Erakundearen tamaina
  • Erakundearen kultura
  • Inplikatutako azpiegitura teknologikoak eta haien ezaugarriak
  • IKTen kudeaketaren eta eragiketaren arloko heldutasun-maila
  • Lehendik abian jarritako zibersegurtasun-neurriak
  • Beste antolaketa-alderdi batzuk.

Interneteko Segurtasun Zentroaren zibersegurtasun-kontroletan oinarritutako zibersegurtasuna hobetzeko programaren faseak

1. fasea. Proiektua abiaraztea

Zibersegurtasuna hobetuko duen programa bat garatzeko, erakundeko zuzendaritzak esku hartu behar du, eta behar diren giza baliabideak, baliabide ekonomikoak eta baliabide materialak bideratu behar ditu, batetik, hobekuntza-programa garatzeko, eta, bestetik, artikulatzen diren zibersegurtasun-kontrolak mantentzeko eta abian jartzeko.

2. fasea. Autoebaluazioa

Erakundeak Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolen autoebaluazioa egin beharko du, kontrol bakoitzaren egungo ezarpen-maila zehazteko. Horretarako, zibersegurtasuneko kontrol eta azpikontrol guztiak aztertu beharko ditu, eta hainbat alderdi zehaztu beharko ditu horietako bakoitzerako:

  • Pentsaturiko azpi-kontrola artikulatuta eta/edo ezarrita daukan, eta, kasu horretan, haren ezarpen-maila.
  • Dagokion azpikontrola artikulatzeko tresnak erabiltzen dituen, edo eskuzko prozeduren bidez soilik garatzen duen. 

3. fasea. Helburuak zehaztea

Ondoren, erakundeak autoebaluazioaren emaitzak aztertu beharko ditu, eta lortu nahi duen babes-maila zehaztu. Horretarako, honako hauek hartu beharko lituzke kontuan:

  • Egungo zibersegurtasunaren eraginkortasuna, autoebaluazioaren bidez eskuratua.
  • Erakundeak jasan ditzakeen eraso orokorrak eta espezifikoak.
  • Erakundeak dituen arriskuak.
  • Hobekuntza-programarako erabili beharreko erreferentzia-epea.
  • Eskura dauden baliabideak (ekonomikoak, giza baliabideak eta baliabide materialak).

Azterketa hori egiteko, ohikoa da erakundeak eragin diezaioketen mehatxuei buruzko txostenen bat izatea, edo zerbitzu bat erabiltzea, erakundearen ezaugarriak kontuan harturik gertagarrienak diren zibererasoak deskribatu ahal izateko.

Era berean, ohikoa izaten da erakundeak aurrez adierazitako txostenaren edo zerbitzuaren emaitzak erabiltzea arriskuak aztertzen hasteko. Hala, zibersegurtasuna hobetzeko programako proiektuak lehenesteko irizpide gisa erabili ahal izango du azterketa horretatik eskuraturiko emaitza.

4. fasea. Ekintza-plana zehaztea

Babes objektiboko mailak ezarri ondoren, erakundeak azterketa espezifiko bat egin beharko du xede-maila horien eta zibersegurtasun-kontrolen egungo egoeraren artean, eta alderdi hauek zehaztu beharko ditu:

  • Erakundeak zibersegurtasunaren hobekuntza hori egiteko kontuan hartu nahi dituen kontrol espezifikoak.
  • Hautatutako kontrolak hobetzeko gauzatu behar diren proiektu zehatzak.
  • Pentsaturiko proiektu bakoitzaren tipologia espezifikoa, kontuan hartuta proiektua teknikoa edo operatiboa den edo zibersegurtasuneko tresna edo soluzio espezifikoak integratzea eskatzen duen.
  • Kontuan hartutako proiektu bakoitza ezartzeko garatu behar diren zeregin zehatzak.
  • Zeregin horiek erakundeak zehaztutako aldian zehar planifikatzea, eskura dauden baliabide ekonomikoen eta giza baliabideen arabera.

5. fasea. Inplementazioa

Azkenik, zehaztutako ekintza-plana inplementatu beharko da, eta, hala, aurreikusitako proiektuak gauzatuko dira eta hautatutako segurtasun-kontrolak hobetuko.

6. fasea. Berrebaluazioa

Ekintza-plana amaitzeak ziklo bat ixtea eta hurrengoa hastea ekarri beharko du; izan ere, zibermehatxuak etengabe aldatzen ari diren eragileak dira, eta etengabe egokitu eta hobetu beharko dira halakoei aurre egiteko zibersegurtasun-kontrolak.

Non jaso daiteke aholkularitza edo non kontratatu daiteke Interneteko Segurtasun Zentroaren zibersegurtasun-kontroletan oinarritutako zibersegurtasuna hobetzeko programa bat?

Basque Cybersecurity Centrek (BCSC) Euskadiko zibersegurtasunaren liburu zuria jarri du erakunde publikoen eta enpresa pribatuen eskura. Dokumentu horrek gure tokiko ekosistemaren ikuspegi orokorra jasotzen du hainbat ikuspegi kontuan hartuta, hala nola berrikuntza, ikerketa, ekintzailetza eta abar. Era berean, mota horretako zerbitzuak eskaintzen dituzten zibersegurtasun-hornitzaileen katalogoa jasotzen du, zerbitzu horiek eskatzeko interesa duten erakundeek erreferentzia-puntu bat izan dezaten eta, hala, lagungarri izan dakien erabakiak hartzerakoan.

Katalogoak Euskadiko zibersegurtasunaren merkatuaren laburpen edo argazki gisa balio du; zerrenda bizia da, eta aldian-aldian berrikusten eta eguneratzen da, zerbitzuen digitalizazioan eta sortzen diren aukeretan izandako etengabeko bilakaera eta aurrerapena kontuan hartuta.

BCSC Liburu Zuria

Erreferentziak

Interneteko Segurtasun Zentroaren zibersegurtasun-kontrolak: https://www.cisecurity.org/controls/ 

CIS Controls v8