Qué son los Controles CIS y cómo ayudan al cumplimiento de la Ley Marco de Ciberseguridad

Shape Shape
En el mundo de la ciberseguridad, los Controles CIS —también conocidos como CIS Critical Security Controls— se han consolidado como una de las guías más prácticas y reconocidas internacionalmente para proteger los sistemas, redes y datos de una organización. En Chile, su adopción es cada vez más común, especialmente entre empresas que buscan cumplir con la Ley Marco de Ciberseguridad (Ley N° 21.663) y fortalecer sus defensas frente a ciberataques.En este artículo, te explicamos en detalle qué son los Controles CIS, cómo se estructuran, su relación con la Ley Marco de Ciberseguridad y las normas ISO 27001, y cómo puedes implementarlos de forma eficiente con el acompañamiento de Confiden.cl.

🔍 ¿Qué son los Controles CIS?

Los Controles CIS son un conjunto de 18 prácticas prioritarias creadas por el Center for Internet Security (CIS), una organización sin fines de lucro reconocida a nivel global. Su propósito es establecer un marco técnico de seguridad estandarizado y accionable que ayude a las organizaciones a protegerse de las amenazas más frecuentes en el entorno digital.

A diferencia de otros marcos como ISO 27001 o NIST CSF —que son más estratégicos o normativos—, los Controles CIS se centran en la implementación técnica inmediata de medidas que reducen el riesgo real de ciberataques.

🧩 Estructura de los Controles CIS v8

La versión actual, CIS Controls v8, se compone de 18 dominios principales, agrupados en tres niveles de madurez:

  • IG1 – Basic: Controles esenciales para pequeñas organizaciones o etapas iniciales de madurez.
  • IG2 – Foundational: Controles intermedios, aplicables a empresas con procesos formales de TI.
  • IG3 – Organizational: Controles avanzados para entornos de misión crítica o alto riesgo.

Los 18 controles son:

  1. Inventario y control de activos (hardware y software)
  2. Gestión continua de vulnerabilidades
  3. Protección de datos
  4. Gestión de configuración segura
  5. Gestión de acceso y privilegios
  6. Protección contra malware
  7. Gestión de correos electrónicos y navegadores
  8. Protección de redes
  9. Monitoreo y registro de auditoría
  10. Evaluación y respuesta ante incidentes
  11. Pruebas de seguridad y pentesting
  12. Concientización y capacitación en ciberseguridad
  13. Seguridad de proveedores y servicios externos
  14. Gestión de ingeniería segura (DevSecOps)
  15. Protección en la nube
  16. Gestión de identidad y autenticación multifactor
  17. Gestión de vulnerabilidades de software
  18. Planificación y respuesta ante incidentes (IRP)

⚖️ Relación con la Ley Marco de Ciberseguridad

La Ley N° 21.663 establece que los operadores de servicios esenciales y sus proveedores críticos deberán implementar políticas, controles y mecanismos de ciberseguridad proporcionales al riesgo.
Aquí es donde los Controles CIS se convierten en una guía práctica de cumplimiento técnico.

Por ejemplo:

  • El Control 2 (Gestión de vulnerabilidades) ayuda a cumplir con la obligación de monitoreo y mitigación de amenazas exigida por la ANCI.
  • El Control 4 (Gestión de configuración segura) contribuye a demostrar evidencias técnicas de cumplimiento, como exige la fiscalización de la ANCI.
  • El Control 12 (Capacitación en ciberseguridad) respalda el componente humano que la Ley Marco requiere en su Plan de Ciberseguridad Institucional.

En conjunto, aplicar los CIS Controls permite a las organizaciones chilenas alinear su operación con la Ley Marco y con los estándares internacionales (ISO 27001, NIST, ENS, etc.).

🛠️ Cómo implementar los Controles CIS en tu empresa

La implementación debe adaptarse a la madurez, tamaño y criticidad de cada organización. En Confiden.cl aplicamos un enfoque práctico de ciberseguridad progresiva que integra CIS Controls con la gestión ISO 27001:

  1. Diagnóstico inicial: evaluación de cumplimiento CIS e identificación de brechas.
  2. Priorización de controles: se ordenan los controles según impacto, facilidad y costo.
  3. Implementación ágil: despliegue de políticas, configuraciones y medidas técnicas.
  4. Medición continua: indicadores (KPIs) de eficacia y madurez de seguridad.
  5. Auditoría y mejora: validación del cumplimiento y actualización periódica.

💡 Ejemplo práctico

Una empresa del sector energético —clasificada como servicio esencial por la Ley Marco— podría aplicar los Controles CIS de la siguiente forma:

  • 📋 Control 1: mantener un inventario actualizado de servidores y dispositivos OT.
  • 🧠 Control 12: capacitar a su personal mediante el curso gratuito de phishing básico de Confiden.
  • 🔐 Control 16: activar MFA en los sistemas SCADA y cuentas administrativas.
  • 🛡️ Control 18: documentar el plan de respuesta ante incidentes y reportar a la ANCI.

📈 Beneficios de adoptar los Controles CIS

  • ✅ Refuerzan la seguridad técnica y la trazabilidad de evidencias.
  • ✅ Alinean la organización con la Ley Marco y normas internacionales.
  • ✅ Reducen costos de auditorías y brechas de cumplimiento.
  • ✅ Mejoran la confianza de clientes, proveedores y reguladores.

🚀 Conclusión

Los Controles CIS son mucho más que una lista de buenas prácticas: son una hoja de ruta técnica para cumplir la Ley Marco de Ciberseguridad y proteger tu negocio de amenazas reales.

En Confiden.cl te ayudamos a diagnosticar, priorizar e implementar los controles necesarios para fortalecer tu sistema de seguridad y lograr el cumplimiento normativo.

📥 Descarga también nuestro eBook gratuito: “La Ciberseguridad como Requisito”, donde explicamos cómo los estándares técnicos como ISO 27001 y CIS están transformando la relación entre proveedores, licitaciones y cumplimiento legal en Chile.