Control de seguridad V2: Gobernanza y estrategia

Nota

La versión más actualizada de Azure Security Benchmark está disponible aquí.

La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-1	2, 13	SC, AC

Asegúrese de documentar y comunicar una estrategia clara para la protección y supervisión continua de sistemas y datos. Dé prioridad a la detección, evaluación, protección y supervisión de los sistemas y datos críticos para la empresa.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Norma de clasificación de datos de acuerdo con los riesgos empresariales

• Visibilidad en la organización de seguridad de los riesgos y el inventario de recursos

• Aprobación de la organización de seguridad de los servicios de Azure para su uso

• Seguridad de los recursos durante su ciclo de vida

• Estrategia de control de acceso necesaria según la clasificación de datos de la organización

• Uso de las funcionalidades de protección de datos nativa de Azure y de terceros

• Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

• Normas criptográficas adecuadas

Para más información, consulte las siguientes referencias:

• Recomendación para la arquitectura de seguridad de Azure: almacenamiento, datos y cifrado

• Aspectos básicos de la seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure

• Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de los datos de Azure

• Azure Security Benchmark: administración de recursos

• Azure Security Benchmark: protección de datos

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-2: Definición de una estrategia de segmentación empresarial

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-2	4, 9, 16	AC, CA, SC

Establezca en toda la empresa una estrategia para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.

Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Asegúrese de que la estrategia de segmentación se implementa de forma coherente en todos los tipos de control, como la seguridad de red, los modelos de identidad y acceso, y los modelos de acceso y permisos de las aplicaciones, y los controles de los procesos humanos.

• Guía de la estrategia de segmentación en Azure (vídeo)

• Guía de la estrategia de segmentación en Azure (documento)

• Alineación de la segmentación de red con la estrategia de segmentación empresarial

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-3: Definición de la estrategia de administración de la posición de seguridad

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-3	20, 3, 5	RA, CM, SC

Mida y mitigue continuamente los riesgos de los recursos individuales y el entorno en el que se hospedan. Dé prioridad a los recursos de gran valor y a las superficies de ataque muy expuestas, como las aplicaciones publicadas, los puntos de entrada y salida de red, los puntos de conexión de usuario y administrador, etc.

• Azure Security Benchmark: administración de posturas y vulnerabilidades

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-4: Alineación de los roles y responsabilidades de la organización

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-4	N/D	PL, PM

Asegúrese de documentar y comunicar una estrategia clara para los roles y las responsabilidades de la organización de seguridad. Dé prioridad a ofrecer una responsabilidad clara en las decisiones de seguridad, a proporcionar a todos los usuarios formación sobre el modelo de responsabilidad compartida y a los equipos técnicos sobre la tecnología para proteger la nube.

• Procedimiento recomendado de seguridad de Azure 1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 2. Personas: Formación del equipo en tecnología de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-5: Definición de la estrategia de seguridad de red

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-5	9	CA, SC

Establezca un enfoque de seguridad de red de Azure como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Centralización de la responsabilidad de seguridad y la administración de redes

• Modelo de segmentación de la red virtual alineado con la estrategia de segmentación empresarial

• Estrategia de corrección en diferentes escenarios de amenazas y ataques

• Estrategia de entrada y salida y perimetral de Internet

• Estrategia de interconectividad entre el entorno local y la nube híbrida

• Artefactos de seguridad de red actualizados (por ejemplo, diagramas de red y arquitectura de red de referencia)

Para más información, consulte las siguientes referencias:

• Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única

• Azure Security Benchmark: seguridad de red

• Azure Network Security Overview (Información general sobre Azure Network Security)

• Estrategia para la arquitectura de red empresarial

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-6: Definición de la estrategia de acceso con privilegios e identidades

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-6	16, 4	AC, AU, SC

Establezca una identidad de Azure y enfoques de acceso con privilegios como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Un sistema de identidad y autenticación centralizado y su interconectividad con otros sistemas de identidad internos y externos

• Métodos de autenticación sólida en diferentes casos de uso y condiciones

• Protección de usuarios con privilegios elevados

• Supervisión y control de anomalías en las actividades de los usuarios

• Proceso de revisión y conciliación del acceso y la identidad de los usuarios

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: administración de identidades

• Azure Security Benchmark: acceso con privilegios

• Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única

• Información general sobre seguridad de administración de identidades de Azure

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-7	19	IR, AU, RA, SC

Establezca una estrategia de registro y respuesta a amenazas para detectar y corregir rápidamente las amenazas mientras cumple los requisitos de cumplimiento. Dé prioridad a ofrecer a los analistas alertas de alta calidad y experiencias fluidas para que puedan centrarse en las amenazas, en lugar de en la integración y los pasos manuales.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)

• Un proceso de respuesta a incidentes bien definido que esté alineado con NIST u otro marco del sector.

• Captura y retención de registros para admitir la detección de amenazas, la respuesta ante incidentes y las necesidades de cumplimiento

• Visibilidad y correlación centralizada de la información sobre amenazas, mediante SIEM, funcionalidades nativas de Azure y otros orígenes

• Plan de comunicación y notificación con sus clientes, proveedores y entidades públicas de interés

• Uso de plataformas nativas de Azure y de terceros para el tratamiento de incidentes, como el registro y la detección de amenazas, los análisis forenses y la corrección y erradicación de ataques

• Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: registro y detección de amenazas

• Azure Security Benchmark: respuesta a incidentes

• Procedimiento recomendado de seguridad de Azure 4: Proceso. Actualización de los procesos de respuesta a incidentes para la nube

• Guía de decisiones sobre registros e informes en Azure Adoption Framework

• Escala, administración y supervisión empresarial de Azure

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Identificador de Azure	Identificadores de CIS Controls v7.1	Identificadores de NIST SP 800-53 r4
GS-8	10	CP

Establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia de su negocio

• Diseño de redundancia en la configuración de la infraestructura y las aplicaciones

• Protección de la copia de seguridad mediante el control de acceso y el cifrado de datos

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: copia de seguridad y recuperación

• Marco de buena arquitectura de Azure: copia de seguridad y recuperación ante desastres para aplicaciones de Azure

• Azure Adoption Framework: continuidad empresarial y recuperación ante desastres

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas