Principios de diseño de seguridadSecurity design principles

Estos principios admiten estas tres estrategias clave y describen un sistema de arquitectura segura hospedado en centros de seguridad locales o en la nube (o una combinación de ambos).These principles support these three key strategies and describe a securely architected system hosted on cloud or on-premises datacenters (or a combination of both). La aplicación de estos principios aumentará drásticamente la probabilidad de que la arquitectura de seguridad mantenga las garantías de confidencialidad, integridad y disponibilidad.Application of these principles will dramatically increase the likelihood your security architecture will maintain assurances of confidentiality, integrity, and availability.

Cada recomendación de este documento incluye una descripción de por qué se recomienda, lo que se corresponde a uno o más de estos principios:Each recommendation in this document includes a description of why it is recommended, which maps to one of more of these principles:

  • Alinee las prioridades de seguridad con la misión: los recursos de seguridad casi siempre están limitados, por lo que es recomendable priorizar los esfuerzos y las garantías mediante la alineación de la estrategia de seguridad y los controles técnicos en la empresa mediante la clasificación de datos y sistemas.Align Security Priorities to Mission – Security resources are almost always limited, so prioritize efforts and assurances by aligning security strategy and technical controls to the business using classification of data and systems. Los recursos de seguridad deben centrarse primero en las personas y los recursos (sistemas, datos, cuentas, etc.) con un valor empresarial intrínseco y en los que tienen privilegios administrativos sobre los recursos críticos para la empresa.Security resources should be focused first on people and assets (systems, data, accounts, etc.) with intrinsic business value and those with administrative privileges over business critical assets.

  • Cree una estrategia completa: una estrategia de seguridad debe tener en cuenta las inversiones en los controles de seguridad, los procesos y la referencia cultural en todos los componentes del sistema.Build a Comprehensive Strategy – A security strategy should consider investments in culture, processes, and security controls across all system components. La estrategia también debe tener en cuenta la seguridad del ciclo de vida completo de los componentes del sistema, incluida la cadena de suministro del software, el hardware y los servicios.The strategy should also consider security for the full lifecycle of system components including the supply chain of software, hardware, and services.

  • Impulsar la simplicidad: la complejidad en los sistemas conlleva un aumento de la confusión humana, los errores, los errores de automatización y la dificultad de recuperarse de un problema.Drive Simplicity – Complexity in systems leads to increased human confusion, errors, automation failures, and difficulty of recovering from an issue. Favorezca las arquitecturas e implementaciones simples y coherentes.Favor simple and consistent architectures and implementations.

  • Diseño para atacantes: el diseño y la priorización de seguridad deben centrarse en la forma en que los atacantes ven su entorno, que a menudo no es la forma en que lo ven los equipos de TI y de las aplicaciones.Design for Attackers – Your security design and prioritization should be focused on the way attackers see your environment, which is often not the way IT and application teams see it. Informe sobre el diseño de seguridad y realice pruebas de penetración para simular ataques de una sola vez.Inform your security design and test it with penetration testing to simulate one-time attacks. Use equipos rojos para simular grupos de ataques persistentes a largo plazo.Use red teams to simulate long-term persistent attack groups. Diseñe la estrategia de segmentación de la empresa y otros controles de seguridad para contener el movimiento lateral del atacante dentro de su entorno.Design your enterprise segmentation strategy and other security controls to contain attacker lateral movement within your environment. Mida y reduzca activamente la potencial superficie expuesta a ataques a la que se dirigen los atacantes en busca de vulnerabilidades en los recursos del entorno.Actively measure and reduce the potential attack surface that attackers target for exploitation of resources within the environment.

  • Aproveche los controles nativos: favorezca los controles de seguridad nativos integrados en los servicios respecto a los controles externos de terceros.Leverage Native Controls – Favor native security controls built into cloud services over external controls from third parties. El proveedor de servicios mantiene y admite los controles de seguridad nativos, lo que elimina o reduce el esfuerzo necesario para integrar herramientas de seguridad externas y actualizar esas integraciones a lo largo del tiempo.Native security controls are maintained and supported by the service provider, eliminating or reducing effort required to integrate external security tooling and update those integrations over time.

  • Use la identidad como control de acceso principal: el acceso a los recursos de las arquitecturas en la nube se rige, principalmente, por la autenticación basada en identidades y la autorización para los controles de acceso.Use Identity as Primary Access Control – Access to resources in cloud architectures is primarily governed by identity-based authentication and authorization for access controls. La estrategia de control de cuentas debe basarse en sistemas de identidad para controlar el acceso, en lugar de basarse en controles de red o en el uso directo de claves criptográficas.Your account control strategy should rely on identity systems for controlling access rather than relying on network controls or direct use of cryptographic keys.

  • Responsabilidad: diseñe la propiedad clara de los recursos y las responsabilidades de seguridad y asegúrese de que las acciones sean rastreables para la imposibilidad de rechazo.Accountability – Designate clear ownership of assets and security responsibilities and ensure actions are traceable for nonrepudiation. También debe asegurarse de que se haya concedido a las entidades el menor privilegio necesario (a un nivel de granularidad administrable).You should also ensure entities have been granted the least privilege required (to a manageable level of granularity).

  • Adopción de la automatización: la automatización de las tareas reduce la probabilidad de errores humanos que pueden generar riesgos. Por lo tanto, tanto las operaciones de TI como los procedimientos recomendados de seguridad se deben automatizar tanto como sea posible para reducirlos y garantizar al mismo tiempo que expertos humanos regulen y auditen la automatización.Embrace Automation - Automation of tasks decreases the chance of human error that can create risk, so both IT operations and security best practices should be automated as much as possible to reduce human errors (while ensuring skilled humans govern and audit the automation).

  • Céntrese en Information Protection: la propiedad intelectual suele ser uno de los repositorios más importantes del valor de la organización y estos datos deben protegerse en cualquier lugar, incluidos los servicios en la nube, dispositivos móviles, estaciones de trabajo o plataformas de colaboración (sin impedir la colaboración que permita la creación de valores empresariales).Focus on Information Protection – Intellectual property is frequently one of the biggest repositories of organizational value and this data should be protected anywhere it goes including cloud services, mobile devices, workstations, or collaboration platforms (without impeding collaboration that allows for business value creation). La estrategia de seguridad se debe crear en torno a la clasificación de la información y los recursos para habilitar la priorización de seguridad, aprovechar la sólida tecnología de cifrado y control de acceso y satisfacer las necesidades empresariales como la productividad, la facilidad de uso y la flexibilidad.Your security strategy should be built around classifying information and assets to enable security prioritization, leveraging strong access control and encryption technology, and meeting business needs like productivity, usability, and flexibility.

  • Diseño de resistencia: su estrategia de seguridad debe asumir que los controles devolverán errores y se diseñarán en consecuencia.Design for Resilience – Your security strategy should assume that controls will fail and design accordingly. Para conseguir que la posición de seguridad sea más resistente, se requieren varios enfoques que funcionen en combinación:Making your security posture more resilient requires several approaches working together:

    • Inversión equilibrada: invierta en las funciones principales que abarcan el ciclo de vida completo del marco de ciberseguridad de NIST (identificar, proteger, detectar, responder y recuperar) para asegurarse de que los atacantes que consigan evadir los controles preventivos pierdan el acceso con las funcionalidades de detección, respuesta y recuperación.Balanced Investment – Invest across core functions spanning the full NIST Cybersecurity Framework lifecycle (identify, protect, detect, respond, and recover) to ensure that attackers who successfully evade preventive controls lose access from detection, response, and recovery capabilities.

    • Mantenimiento continuo: mantenga los controles de seguridad y las garantías para asegurarse de que no decaigan con el tiempo con cambios en el entorno o sin atender.Ongoing Maintenance – Maintain security controls and assurances to ensure that they don’t decay over time with changes to the environment or neglect.

    • Vigilancia continua: garantice que las anomalías y las posibles amenazas que podrían suponer riesgos a las organizaciones se tratan de manera puntual.Ongoing Vigilance – Ensure that anomalies and potential threats that could pose risks to the organizations are addressed in a timely manner.

    • Defensa en profundidad : considere el uso de controles adicionales en el diseño para mitigar el riesgo de la organización en caso de que se produzca un error en un control de seguridad principal.Defense in Depth – Consider additional controls in the design to mitigate risk to the organization in the event a primary security control fails. Este diseño debe tener en cuenta la probabilidad de que se produzca un error en el control principal, el riesgo potencial de la organización si lo hace y la eficacia del control adicional (especialmente en los casos probables en los que se produzca un error en el control principal).This design should consider how likely the primary control is to fail, the potential organizational risk if it does, and the effectiveness of the additional control (especially in the likely cases that would cause the primary control to fail).

    • Privilegios mínimos: se trata de una forma de defensa en profundidad para limitar el daño que puede realizar una cuenta.Least Privilege – This is a form of defense in depth to limit the damage that can be done by any one account. Se debe conceder a las cuentas la mínima cantidad de privilegios necesarios para realizar las tareas asignadas.Accounts should be granted the least amount of privilege required to accomplish their assigned tasks. Restrinja el acceso por nivel de permisos y por tiempo.Restrict the access by permission level and by time. Esto ayuda a mitigar el daño de un atacante externo que obtenga acceso a la cuenta o a un empleado interno que, de forma inadvertida o deliberada (por ejemplo, un ataque interno), ponga en peligro las garantías de seguridad.This helps mitigate the damage of an external attacker who gains access to the account and/or an internal employee who inadvertently or deliberately (for example, insider attack) compromises security assurances.

  • Base de referencia y prueba comparativa: para asegurarse de que la organización tiene en cuenta el pensamiento actual de orígenes externos, evalúe su estrategia y configuración con respecto a las referencias externas (incluidos los requisitos de cumplimiento).Baseline and Benchmark – To ensure your organization considers current thinking from outside sources, evaluate your strategy and configuration against external references (including compliance requirements). Esto ayuda a validar los enfoques, minimizar el riesgo de un descuido involuntario y el riesgo de multas punitivas por el incumplimiento.This helps to validate your approaches, minimize risk of inadvertent oversight, and the risk of punitive fines for noncompliance.

  • Impulso de la mejora continua: los sistemas y las prácticas existentes deben evaluarse y mejorarse periódicamente para garantizar que son y siguen siendo eficaces contra los atacantes que mejoran continuamente y la transformación digital continua de la empresa.Drive Continuous Improvement – Systems and existing practices should be regularly evaluated and improved to ensure they are and remain effective against attackers who continuously improve and the continuous digital transformation of the enterprise. Esto debe incluir los procesos que integran de forma proactiva los aprendizajes de los ataques reales, las pruebas de penetración realistas y las actividades del equipo rojo, así como otros orígenes, según disponibilidad.This should include processes that proactively integrate learnings from real world attacks, realistic penetration testing and red team activities, and other sources as available.

  • Asunción de confianza cero: al evaluar las solicitudes de acceso, todos los usuarios, dispositivos y aplicaciones solicitantes se deben considerar como de no confianza hasta que su integridad se pueda validar adecuadamente.Assume Zero Trust – When evaluating access requests, all requesting users, devices, and applications should be considered untrusted until their integrity can be sufficiently validated. Las solicitudes de acceso se deben conceder condicionalmente según el nivel de confianza de los solicitantes y la confidencialidad del recurso de destino.Access requests should be granted conditionally based on the requestor's trust level and the target resource’s sensitivity. Se deben realizar intentos razonables para ofrecer medios para aumentar la validación de confianza (por ejemplo, solicitar la autenticación multifactor) y corregir los riesgos conocidos (cambiar las contraseñas filtradas, corregir las infecciones de malware) para admitir los objetivos de productividad.Reasonable attempts should be made to offer means to increase trust validation (for example, request multi-factor authentication) and remediate known risks (change known-leaked password, remediate malware infection) to support productivity goals.

  • Aprendizaje e incentivación de la seguridad: los seres humanos que diseñan y operan las cargas de trabajo en la nube forman parte de todo el sistema.Educate and Incentivize Security – The humans that are designing and operating the cloud workloads are part of the whole system. Es fundamental asegurarse de que estas personas estén educadas, informadas e incentivadas para admitir los objetivos de seguridad del sistema.It is critical to ensure that these people are educated, informed, and incentivized to support the security assurance goals of the system. Esto es especialmente importante para las personas con cuentas que tienen concedidos amplios privilegios administrativos.This is particularly important for people with accounts granted broad administrative privileges.