Tecnología

Controles CIS: qué son, cómo priorizarlos y por qué son relevantes para empresas chilenas

15 junio, 2026 por

Hoy en día, muchas empresas saben que necesitan mejorar su ciberseguridad, pero no saben por dónde empezar. Ahí es exactamente donde los Controles CIS se vuelven útiles. Los CIS Controls son el punto de partida más recomendado para cualquier organización que quiera ordenar su seguridad digital, sin importar si tiene un equipo de TI de cinco personas o de cincuenta.

A diferencia de otras guías del sector, los Controles CIS no son solo una lista de buenas prácticas. Son, en cambio, un conjunto ordenado de acciones basado en datos reales de ataques ocurridos. Es decir, cada recomendación existe porque ha demostrado reducir el riesgo frente a las amenazas más comunes. Esto los convierte en una herramienta especialmente práctica para equipos que necesitan resultados concretos con recursos limitados.

¿Su organización está lista para los Controles CIS? En Neuronet acompañamos a empresas chilenas desde el diagnóstico inicial hasta la implementación completa del framework.

Solicitar Información

¿Qué son los Controles CIS?

Los Controles CIS son publicados y mantenidos por el Center for Internet Security (CIS), una organización sin fines de lucro con sede en Estados Unidos. La versión vigente es la v8, lanzada en 2021, que redujo los anteriores 20 controles a 18. Además, esta versión reorganizó las recomendaciones en torno a actividades concretas —y no a tecnologías específicas— lo que las hace más útiles frente al cambio tecnológico constante.

En comparación con frameworks como ISO 27001 o NIST CSF, los Controles CIS son mucho más directos. No definen cómo gestionar un sistema de seguridad de forma abstracta; en cambio, indican qué hacer paso a paso. Cada control se divide en salvaguardas: acciones puntuales y verificables que un equipo puede asignar, ejecutar y medir. En total, la versión 8 contiene 153 salvaguardas repartidas en los 18 controles.

 

En palabras simples: Un Control CIS es una categoría de acción (por ejemplo, «controlar qué software puede ejecutarse en los equipos»). Dentro de ese control, hay varias salvaguardas: tareas concretas con instrucciones claras sobre cómo llevarlas a cabo.

controles cis

Los 18 Controles CIS v8: visión general

Los CIS Controls cubren un rango amplio de áreas. Por un lado, abarcan tareas básicas como saber qué equipos están conectados a la red. Por otro lado, incluyen acciones más avanzadas como simular ataques reales para encontrar brechas. A continuación, se presentan los 18 controles de la versión actual:

  1. Inventario de activos empresariales — Saber exactamente qué dispositivos están conectados a la red de la organización.
  2. Inventario de activos de software — Controlar qué programas están autorizados a ejecutarse en los equipos.
  3. Protección de datos — Clasificar y proteger adecuadamente la información sensible.
  4. Configuración segura de activos — Ajustar los sistemas y dispositivos para reducir su exposición a ataques.
  5. Gestión de cuentas — Administrar quién tiene acceso a qué, y durante cuánto tiempo.
  6. Gestión de control de acceso — Asegurarse de que cada persona acceda solo a lo que necesita para su trabajo.
  7. Gestión continua de vulnerabilidades — Detectar y corregir debilidades en los sistemas antes de que sean aprovechadas.
  8. Gestión de registros de auditoría — Registrar y revisar eventos en los sistemas para detectar comportamientos anómalos.
  9. Protección de correo y navegador web — Reducir el riesgo en los canales más usados por los atacantes para entrar a una organización.
  10. Defensas contra malware — Evitar que programas maliciosos se instalen o ejecuten en los equipos.
  11. Recuperación de datos — Hacer copias de seguridad y probar que funcionan cuando se necesitan.
  12. Gestión de infraestructura de red — Mantener y vigilar los dispositivos que forman la red (routers, switches, firewalls).
  13. Monitoreo y defensa de red — Detectar y responder a amenazas que circulan dentro del tráfico de red.
  14. Conciencia de seguridad y entrenamiento — Capacitar a las personas en hábitos seguros para reducir el error humano.
  15. Gestión de proveedores de servicios — Evaluar que los terceros con acceso a los sistemas también mantengan buenas prácticas de seguridad.
  16. Seguridad del software de aplicación — Incorporar seguridad durante el desarrollo y mantenimiento de aplicaciones propias.
  17. Gestión de respuesta a incidentes — Tener un plan probado para actuar cuando ocurre un ataque o brecha de seguridad.
  18. Pruebas de penetración — Contratar a especialistas para que simulen ataques reales e identifiquen brechas antes que los atacantes.

Grupos de implementación: cómo priorizar los Controles CIS

Uno de los aspectos más valiosos del framework CIS es que no exige implementar todo a la vez. En cambio, organiza las 153 salvaguardas en tres Grupos de Implementación (IG), según el tamaño, los recursos y el nivel de riesgo de cada organización. Esto permite avanzar de forma ordenada y sin desperdiciar esfuerzo en medidas que aún no corresponden.

  • IG1 — Higiene cibernética básica (56 salvaguardas) Este grupo está pensado para organizaciones pequeñas con recursos limitados de TI. En primer lugar, cubre los riesgos más frecuentes y de mayor impacto. Según el propio CIS, implementar correctamente IG1 protege contra más del 90% de los ataques comunes. Por eso, es el punto de partida obligatorio para cualquier empresa, sin importar su tamaño.
  • IG2 — Protección ampliada (130 salvaguardas) Este grupo está orientado a organizaciones con equipos de TI dedicados que, además, manejan datos sensibles o deben cumplir normativas sectoriales. Incluye todas las salvaguardas de IG1 más 74 adicionales, enfocadas en mayor visibilidad y control sobre los sistemas.
  • IG3 — Protección de alto valor (153 salvaguardas) Finalmente, este grupo está diseñado para organizaciones que manejan infraestructura crítica o datos de alto valor y que, por lo tanto, son objetivo de ataques sofisticados y persistentes. Incluye todas las salvaguardas anteriores más 23 de alta especialización técnica.

Advertencia frecuente: El error más común al iniciar con los Controles CIS es querer abordar los 18 controles al mismo tiempo. Sin embargo, el framework está diseñado para ser secuencial. Un IG1 completamente implementado reduce el riesgo de forma concreta y medible, mientras que un IG3 a medias no protege casi nada.

Cómo priorizar los Controles CIS en la práctica

Implementar los Controles CIS no requiere un proyecto largo ni costoso. De hecho, con una metodología ordenada, una organización puede avanzar de manera significativa en tan solo 90 días. A continuación, se explica cómo hacerlo paso a paso.

  • Paso 1: Identificar el grupo de implementación que corresponde En primer lugar, hay que determinar si la organización pertenece a IG1, IG2 o IG3. Para ello, se consideran tres factores: el tamaño del equipo de TI, el tipo de datos que maneja la empresa y su nivel de exposición al riesgo. La mayoría de las pymes y empresas medianas en Chile parten en IG1.
  • Paso 2: Hacer un diagnóstico de brechas (gap analysis) A continuación, se compara el estado actual de seguridad de la organización contra las salvaguardas del grupo elegido. El objetivo es identificar cuáles están implementadas, cuáles están parcialmente cubiertas y cuáles no existen aún. La herramienta oficial recomendada para esto es CIS-CAT Pro.
  • Paso 3: Priorizar por impacto y facilidad de implementación Con los resultados del diagnóstico, es posible ordenar las brechas según dos criterios: cuánto riesgo reduce cada mejora y cuánto esfuerzo requiere implementarla. Por ejemplo, activar la autenticación de dos factores o hacer un inventario de equipos son acciones de alto impacto y bajo costo que conviene atacar primero.
  • Paso 4: Organizar el trabajo en bloques de 30 a 45 días En lugar de abordar todo a la vez, es más efectivo organizar las salvaguardas en sprints cortos con responsables claros y criterios de éxito medibles. Además, el framework CIS incluye métricas sugeridas para cada salvaguarda, lo que facilita el seguimiento.
  • Paso 5: Medir y revisar de forma continua Finalmente, es importante recordar que la ciberseguridad no es un proyecto puntual. Por eso, se deben establecer revisiones periódicas del nivel de madurez alcanzado y actualizar el plan según los cambios en la infraestructura o en el panorama de amenazas.

Grupos de implementación IG

Por qué los Controles CIS son relevantes para empresas chilenas

Chile atraviesa un momento de cambio regulatorio importante en materia de ciberseguridad. En particular, la promulgación de la Ley Marco de Ciberseguridad (Ley 21.663) en 2024 establece obligaciones concretas para los llamados operadores de importancia vital. Sin embargo, sus efectos se extienden también al ecosistema completo de proveedores y socios tecnológicos. En ese contexto, los Controles CIS se convierten en una referencia especialmente relevante para las empresas del país.

  • Alineación con la Ley 21.663 y la normativa sectorial
  • Compatibilidad con otros frameworks
  • Escalabilidad para pymes y empresas en crecimiento
  • Diferenciador competitivo en licitaciones y homologaciones

Controles CIS versus ISO 27001: ¿cuál conviene usar?

Esta es una de las preguntas más frecuentes cuando una organización decide estructurar su programa de ciberseguridad. La respuesta corta es que no son opciones contrarias; en cambio, tienen propósitos distintos y se complementan bien.

Por un lado, ISO 27001 es un estándar de gestión. Define cómo construir, operar y mejorar un sistema formal de seguridad de la información. Es certificable, requiere auditorías externas y cubre aspectos organizacionales, legales y humanos de manera amplia.

Por otro lado, los Controles CIS son un framework técnico operativo. No son certificables por sí mismos, pero son mucho más concretos en cuanto a qué hacer técnicamente. De hecho, muchas organizaciones los usan juntos: CIS Controls como guía técnica de «qué implementar» e ISO 27001 como marco de gobernanza de «cómo gestionarlo».

Por lo tanto, la recomendación práctica para la mayoría de las empresas chilenas es comenzar con CIS IG1 e IG2 para construir una base técnica sólida. Luego, esa base facilita y acelera el camino hacia una eventual certificación ISO 27001.

Conclusión: los Controles CIS como punto de partida estratégico

En definitiva, los Controles CIS no son solo un checklist de TI. Son el resultado de años de análisis de ataques reales, diseñados para que organizaciones con recursos limitados puedan protegerse de las amenazas más probables y de mayor impacto. Para las empresas chilenas que hoy deben navegar un entorno regulatorio más exigente, un ecosistema de amenazas en expansión y expectativas crecientes de sus clientes, el framework CIS ofrece algo valioso: claridad sobre qué hacer primero.

El primer paso, además, no requiere una inversión millonaria. Es simplemente un diagnóstico honesto: ¿cuántas de las 56 salvaguardas de IG1 tiene su organización implementadas hoy?

¿Su organización está lista para los Controles CIS? En Neuronet acompañamos a empresas chilenas desde el diagnóstico inicial hasta la implementación completa del framework.

Solicitar Información

Periodista en Neuronet, especializada en gestión de comunidades digitales y planificación estratégica de comunicaciones, con foco en generación de valor de marca en entornos digitales.

Publicaciones similares

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *