Detalles de la iniciativa integrada de cumplimiento normativo de SWIFT CSP-CSCF v2022
En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.
Las siguientes asignaciones se realizan en los controles de SWIFT CSP-CSCF v2022. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de SWIFT CSP-CSCF v2022.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI
Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo.
ID: SWIFT CSCF v2022 1.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben actualizar las reglas de la lista de permitidos de la directiva de controles de aplicaciones adaptables | Supervise los cambios en el comportamiento de los grupos de máquinas configurados para la auditoría mediante controles de aplicaciones adaptables de Azure Security Center. Security Center usa el aprendizaje automático para analizar los procesos en ejecución en las máquinas y sugerir una lista de aplicaciones seguras conocidas. Estas se presentan como aplicaciones recomendadas que se deben permitir en directivas de control de aplicaciones adaptables. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador.
ID: SWIFT CSCF v2022 1.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Definición y aplicación de condiciones para las cuentas de grupo y compartidas | CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrollar y establecer un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de seguridad de la información | CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establecer un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisar la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
| Usar Privileged Identity Management | CMA_0533: Usar Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Proteja la plataforma virtual y las máquinas virtuales (VM) que hospedan componentes relacionados con SWIFT en el mismo nivel que los sistemas físicos.
ID: SWIFT CSCF v2022 1.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura.
ID: SWIFT CSCF v2022 1.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI.
ID: SWIFT CSCF v2022 1.5A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Disabled | 3.0.0-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas | Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. | AuditIfNotExists, Disabled | 3.0.0 |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| La versión de Azure DDoS Protection debe estar habilitada | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Disabled | 3.0.1 |
| Azure Key Vault debe tener el firewall habilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security | Audit, Deny, Disabled | 3.2.1 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Uso de restricciones en las interconexiones del sistema externo | CMA_C1155: Usar restricciones en las interconexiones del sistema externo | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establecer estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de nivel inferior | CMA_0298: Identificar y administrar los intercambios de información de nivel inferior | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementar una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. | AuditIfNotExists, Disabled | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Disabled | 3.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Audit, Disabled | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Disabled | 3.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
2. Reducir la superficie expuesta a ataques y vulnerabilidades
Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT.
ID: SWIFT CSCF v2022 2.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Definir el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determinar los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Uso de protección de límites para aislar sistemas de información | CMA_C1639: Usar protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicación de identificadores de sesión únicos aleatorios | CMA_0247: Aplicar identificadores de sesión únicos aleatorios | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establecer un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | CMA_C1636: Aislar sistemas SecurID, sistemas de administración de incidentes de seguridad | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emitir certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
| Administración de claves criptográficas simétricas | CMA_0367: Administrar las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringir el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Proteger la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado.
ID: SWIFT CSCF v2022 2.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las VM Windows con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. | auditIfNotExists | 2.0.0 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Difusión de alertas de seguridad al personal | CMA_C1705: Difundir alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales | Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben instalar actualizaciones del sistema en las máquinas | Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. | AuditIfNotExists, Disabled | 4.0.0 |
| Uso de mecanismos automatizados para las alertas de seguridad | CMA_C1707: Usar mecanismos automatizados para las alertas de seguridad | Manual, Deshabilitado | 1.1.0 |
Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema.
ID: SWIFT CSCF v2022 2.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatizar los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realizar un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrollar y mantener las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplicar opciones de configuración de seguridad | CMA_0249: Aplicar opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establecer y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementar una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realizar una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Conservación de las versiones anteriores de las configuraciones de línea base | CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan.
ID: SWIFT CSCF v2022 2.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Seguridad del flujo de datos administrativo
ID: SWIFT CSCF v2022 2.4A Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La autenticación en máquinas Linux debe requerir claves SSH. | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Disabled | 3.2.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos.
ID: SWIFT CSCF v2022 2.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establecer las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementar los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administrar el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Protección de datos de transmisión externa
ID: SWIFT CSCF v2022 2.5A Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. | Audit, Deny, Disabled | 1.1.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Audit, Disabled | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
| Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento | De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison | AuditIfNotExists, Disabled | 2.0.3 |
Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios
ID: SWIFT CSCF v2022 2.6 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Autorizar acceso remoto | CMA_0024: Autorizar acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documentar e implementar directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documentar las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementar controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Proteger el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Autenticación de nuevo o finalización de una sesión de usuario | CMA_0421: Volver a autenticar o finalizar una sesión de usuario | Manual, Deshabilitado | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Disabled | 4.1.1 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. | AuditIfNotExists, Disabled | 3.0.0 |
Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados.
ID: SWIFT CSCF v2022 2.7 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorporar la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Observación e informe de los puntos débiles de seguridad | CMA_0384: Observar e informar de los puntos débiles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realización del modelado de amenazas | CMA_0392: Realizar el modelado de amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse | Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. | AuditIfNotExists, Disabled | 3.0.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas | Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. | AuditIfNotExists, Disabled | 3.1.0 |
| Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales | Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. | AuditIfNotExists, Disabled | 3.0.0 |
Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes.
ID: SWIFT CSCF v2022 2.8.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evaluar el riesgo en las relaciones de terceros | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Definir y documentar la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Definir los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Someterse a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas.
ID: SWIFT CSCF v2022 2.8A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determinar las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Proteger documentos de datos personales en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal.
ID: SWIFT CSCF v2022 2.9 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Usar mecanismos de control de flujo de información cifrada | CMA_0211: Usar mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados.
ID: SWIFT CSCF v2022 2.11A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autorizar el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorización y administración del acceso | CMA_0023: Autorizar y administrar el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplicar el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplicar directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
3. Protección física del entorno
Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento.
ID: SWIFT CSCF v2022 3.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados. | auditoría | 1.0.0 |
| Controlar el acceso físico | CMA_0081: Controlar el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Definir un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento y mantenimiento de un inventario de activos | CMA_0266: Establecer y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalación de un sistema de alarma | CMA_0338: Instalar un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administración de un sistema de seguridad con cámara de vigilancia | CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
4. Impedir el riesgo de credenciales
Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva.
ID: SWIFT CSCF v2022 4.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. | AuditIfNotExists, Disabled | 3.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Disabled | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. | AuditIfNotExists, Disabled | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Disabled | 2.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administrar la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Evite que la situación de riesgo de uno de los factores de autenticación permita el acceso a los sistemas o las aplicaciones relacionados con SWIFT mediante la implementación de la autenticación multifactor.
ID: SWIFT CSCF v2022 4.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. | Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. | AuditIfNotExists, Disabled | 1.0.0 |
| Adopción de mecanismos de autenticación biométrica | CMA_0005: adopción de mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identificar y autenticar los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
5. Administrar identidades y segregar privilegios
Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador.
ID: SWIFT CSCF v2022 5.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de tres propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Disabled | 3.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Asignar administradores de cuentas | CMA_0015: Asignar administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Automatizar la administración de cuentas | CMA_0026: Automatizar la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. | Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. | Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Disabled | 1.0.0 |
| Definición de autorizaciones de acceso para admitir la separación de obligaciones | CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Definir tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseñar un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilitar los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Documentación de la separación de obligaciones | CMA_0204: Documentar la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplear el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establecer las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Disabled | 1.0.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administrar cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisar el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisar la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notificar cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Proteger la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Requerir aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringir el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisar cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisar privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revocar roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Separación de las obligaciones de las personas | CMA_0492: Separar las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Disabled | 3.0.0 |
Asegúrese de que la administración, el seguimiento y el uso correctos de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens).
ID: SWIFT CSCF v2022 5.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Distribución de autenticadores | CMA_0184: Distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establecer los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Comprobar la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal.
ID: SWIFT CSCF v2022 5.3A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borrar al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementar el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Proteger información especial | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisar individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Proteja física y lógicamente el repositorio de contraseñas grabadas.
ID: SWIFT CSCF v2022 5.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. | AuditIfNotExists, Disabled | 2.0.0 |
| Documentación de los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establecer una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementación de los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
6. Detectar actividad anómala en sistemas o registros de transacciones
Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados.
ID: SWIFT CSCF v2022 6.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| La solución de protección del punto de conexión debe instalarse en las máquinas virtuales | Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. | AuditIfNotExists, Disabled | 3.0.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Disabled | 1.1.0 |
| Supervisar la falta de Endpoint Protection en Azure Security Center | Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Observación e informe de los puntos débiles de seguridad | CMA_0384: Observar e informar de los puntos débiles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realización del modelado de amenazas | CMA_0392: Realizar el modelado de amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de los eventos de protección contra vulnerabilidades de seguridad | CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisar semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualizar las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados.
ID: SWIFT CSCF v2022 6.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Empleo del apagado o reinicio automático cuando se detectan infracciones | CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones | Manual, Deshabilitado | 1.1.0 |
| Proteger de datos en tránsito mediante cifrado | CMA_0403: Proteger los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Proteger contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Garantice la integridad de los registros de la base de datos para la interfaz de mensajería SWIFT o el conector del cliente y actúe en función de los resultados.
ID: SWIFT CSCF v2022 6.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Ver y configurar los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local de SWIFT.
ID: SWIFT CSCF v2022 6.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas | Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Disabled | 1.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | modify | 4.1.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.0.1 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Auditar funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Auditar el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción | A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. | AuditIfNotExists, Disabled | 1.0.1 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Disabled | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Disabled | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics | Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Disabled | 2.0.0 |
| Se debe implementar la solución "Security and Audit" de Azure Monitor | Esta directiva garantiza que se implementa Security and Audit. | AuditIfNotExists, Disabled | 1.0.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlacionar los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Determinar eventos auditables | CMA_0137: Determinar eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red. | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Audit, Disabled | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integrar Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas | Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. | AuditIfNotExists, Disabled | 2.0.1 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Audit, Disabled | 1.0.1 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | CMA_C1114: Proporcionar alertas en tiempo real para los errores de eventos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Disabled | 5.0.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisar los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisar las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisar los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisar la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisar eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de los eventos de protección contra vulnerabilidades de seguridad | CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisar la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisar los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | audit, Audit, deny, Deny, disabled, Disabled | 1.1.0 |
| La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. | AuditIfNotExists, Disabled | 1.0.0 |
| La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
| Las máquinas virtuales deben tener la extensión de Log Analytics instalada | Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Disabled | 1.0.1 |
Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto.
ID: SWIFT CSCF v2022 6.5A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Disabled | 1.0.2-preview |
| Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet | Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. | AuditIfNotExists, Disabled | 3.0.0 |
| Alertar al personal del volcado de información | CMA_0007: alertar al personal del volcado de información | Manual, Deshabilitado | 1.1.0 |
| Autorización, supervisión y control de VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Disabled | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Disabled | 1.0.3 |
| Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Disabled | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Disabled | 3.0.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
7. Planeamiento del uso compartido de información y respuesta a incidentes
Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos.
ID: SWIFT CSCF v2022 7.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de problemas de seguridad de la información | CMA_C1742: solucionar problemas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Disabled | 2.0.0 |
| Identificación de clases de incidentes y acciones realizadas | CMA_C1365: Identificar clases de incidentes y acciones realizadas | Manual, Deshabilitado | 1.1.0 |
| Incorporación de los eventos simulados en la formación de respuesta a los incidentes | CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Disabled | 1.0.1 |
Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios.
ID: SWIFT CSCF v2022 7.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de aprendizaje sobre seguridad y privacidad | CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación periódica de reconocimiento de seguridad | CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar entrenamiento sobre la privacidad | CMA_0415: Proporcionar entrenamiento sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de los ejercicios prácticos basados en roles | CMA_C1096: Proporcionar los ejercicios prácticos basados en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad basada en roles | CMA_C1094: Proporcionar formación de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación basada en roles para las actividades sospechosas | CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas | CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad para usuarios nuevos | CMA_0419: Proporcionar formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación actualizada en reconocimiento de la seguridad | CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
Valide la configuración de seguridad operativa e identifique las brechas en la seguridad mediante pruebas de penetración.
ID: SWIFT CSCF v2022 7.3A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Empleo de un equipo independiente para pruebas de penetración | CMA_C1171: Emplear un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles.
ID: SWIFT CSCF v2022 7.4A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de una evaluación de riesgos | CMA_C1543: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribuir sus resultados | CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentar sus resultados | CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establecer una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementar la estrategia de administración de riesgos | CMA_C1744: Implementar la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realizar una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
8. Establecer y supervisar el rendimiento
Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr.
ID: SWIFT CSCF v2022 8.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de información de supervisión según sea necesario | CMA_C1689: Proporcionar información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
Garantice la disponibilidad, la capacidad y la calidad de los servicios a los clientes
ID: SWIFT CSCF v2022 8.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización del planeamiento de capacidad | CMA_C1252: Realizar el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse.
ID: SWIFT CSCF v2022 8.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Solucionar vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establecer un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realizar exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corregir los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
9. Garantizar la disponibilidad a través de la resistencia
Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local.
ID: SWIFT CSCF v2022 9.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de directivas y procedimientos de planes de contingencia | CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuir directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación sobre contingencias | CMA_0412: Proporcionar formación sobre contingencias | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio.
ID: SWIFT CSCF v2022 9.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Creación de sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establecer un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establecer requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | CMA_C1278: Preparar el sitio de procesamiento alternativo para usarlo como sitio operativo | Manual, Deshabilitado | 1.1.0 |
| Recuperación y reconstrucción de los recursos después de una interrupción | CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción | Manual, Deshabilitado | 1.1.1 |
| Restauración de los recursos al estado operativo | CMA_C1297: Restaurar los recursos al estado operativo | Manual, Deshabilitado | 1.1.1 |
| Almacenamiento independiente de la información de copia de seguridad por separado | CMA_C1293: Almacenar la información de copia de seguridad por separado | Manual, Deshabilitado | 1.1.0 |
| Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza.
ID: SWIFT CSCF v2022 9.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Uso de iluminación de emergencia automática | CMA_0209: Usar iluminación de emergencia automática | Manual, Deshabilitado | 1.1.0 |
| Implementación de una metodología de pruebas de penetración | CMA_0306: Implementar una metodología de pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos físicos y ambientales | CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de la línea adecuado
ID: SWIFT CSCF v2022 9.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autorizar, supervisar y controlar VoIP | Manual, Deshabilitado | 1.1.0 |
| Realización del planeamiento de capacidad | CMA_C1252: Realizar el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementar protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administrar puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
10. Prepárese para los casos de desastres importantes
La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes).
ID: SWIFT CSCF v2022 10.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordinar planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de un plan de contingencia | CMA_C1244: Desarrollar un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanudar todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
11. Supervisar en caso de desastre importante
Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos.
ID: SWIFT CSCF v2022 11.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de información de supervisión según sea necesario | CMA_C1689: Proporcionar información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
Garantizar un enfoque coherente y eficaz para la administración de incidentes (administración de problemas).
ID: SWIFT CSCF v2022 11.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evaluar eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrollo de medidas de seguridad | CMA_0161: Desarrollar medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establecer un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Identificación de clases de incidentes y acciones realizadas | CMA_C1365: Identificar clases de incidentes y acciones realizadas | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Incorporación de los eventos simulados en la formación de respuesta a los incidentes | CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantener registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantener el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Proteger el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación sobre la pérdida de información | CMA_0413: Proporcionar formación sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Ejecución de los ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Garantizar una escalación adecuada de los errores operativos en caso de impacto en el cliente.
ID: SWIFT CSCF v2022 11.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatizar el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establecer y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realizar auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial.
ID: SWIFT CSCF v2022 11.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollar un plan de respuesta a incidentes | CMA_0145: Desarrollar un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documentar operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilitar la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradicar la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecutar acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Identificación del personal de respuesta a incidentes | CMA_0301: Identificar el personal de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementar el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realizar un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Vista e investigación de usuarios restringidos | CMA_0545: Ver e investigar usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
12. Asegúrese de que la información está disponible
Garantice la calidad del servicio a los clientes a través de empleados certificados de SWIFT.
ID: SWIFT CSCF v2022 12.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Ofrecimiento de formación periódica de la seguridad basada en roles | CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad basada en roles | CMA_C1094: Proporcionar formación de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de formación de seguridad antes de proporcionar acceso | CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
Pasos siguientes
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.