Plan de acción NIST 800-53 de Microsoft 365: principales prioridades de los primeros 30 días, 90 días y el periodo posterior
Microsoft 365 le permite controlar su empresa con un marco de control en la nube, que alinea los controles con varios estándares normativos. Microsoft 365 incluye Office 365, Windows 10 y Enterprise Mobility + Security. El sistema de control interno de Microsoft se basa en la publicación especial 800-53 del National Institute of Standards and Technology (NIST, Instituto nacional de estándares y tecnología), y a Office 365 se le ha concedido el estándar NIST 800-53 más reciente.
Microsoft es reconocido como un líder de la industria en la seguridad de la nube. Gracias a los años de experiencia en la creación de software empresarial y en la ejecución de servicios en línea, nuestro equipo aprende y actualiza constantemente nuestros servicios y aplicaciones para ofrecer un servicio de productividad en la nube seguro que cumpla con los rigurosos estándares de la industria. Los servicios gubernamentales de Microsoft en la nube, incluyendo Office 365 U.S. Government, cumplen con los exigentes requisitos del Programa federal de gestión de riesgos y autorizaciones de los Estados Unidos (FedRAMP), lo que permite a las agencias federales de los Estados Unidos beneficiarse del ahorro de costes y la rigurosa seguridad de la nube de Microsoft.
Este artículo comprende un plan de acción prioritaria que se puede aplicar mientras se trabaja para cumplir con los requisitos del NIST 800-53. Este plan de acción fue desarrollado en colaboración con Protiviti, un socio de Microsoft especializado en el cumplimiento de las normativas.
Resultados del plan de acción
Estas recomendaciones se proporcionan en tres fases en un orden lógico con los siguientes resultados:
| Fase | Resultados |
|---|---|
| 30 días | * Comprender los requisitos del NIST 800-53 y considere la posibilidad de comprometerse con un Socio asesor de Microsoft. * Aprender y entender la estrategia de defensa a fondo de Microsoft 365 incorporada. * Proteger el acceso de usuarios y administradores a Office 365. * Asegurar que todo el acceso al sistema sea auditable de acuerdo con las directivas de auditoría y responsabilidad de su organización. |
| 90 días | * Mejorar su programa antimalware, de parches y de gestión de la configuración. * Utilizar las capacidades de seguridad de Microsoft 365 para controlar el acceso al entorno y para proteger la información y los activos de la organización. * Utilizar las capacidades de auditoría incorporadas para supervisar las actividades confidenciales o de riesgo dentro de Office 365. * Implemente Microsoft Defender para Office 365, tanto para los enlaces, como para los archivos adjuntos en el correo electrónico y en los documentos de Office. |
| Más de 90 días | * Utilizar las herramientas avanzadas de Microsoft 365 y la protección de la información para implementar controles continuos para los dispositivos y la protección de los datos corporativos. * Monitorear el cumplimiento continuo a través de Microsoft 365 y otras aplicaciones en la nube. * Utilizar capacidades mejoradas de detección y protección de amenazas con análisis avanzados de amenazas para proporcionar una estrategia de seguridad robusta y en capas para la organización. Desarrollar un plan de respuesta a incidentes para mitigar los efectos de los sistemas comprometidos en su organización. |
30 días: logros rápidos significativos
Estas tareas pueden realizarse rápidamente y tienen un impacto menor para los usuarios.
| Área | Tareas |
|---|---|
| Comprenda los requisitos del estándar NIST 800-53 y considere la colaboración con un Partner asesor de Microsoft. | • Colabore con el Partner de Microsoft para realizar un análisis de brechas de cumplimiento del estándar NIST 800-53 en la organización y elaborar un plan de desarrollo que trace el camino para lograr el cumplimiento normativo. • Use las instrucciones del Administrador de cumplimiento de Microsoft para definir y documentar políticas y principios tanto para el control de acceso como para compartir información que se refiera al propósito, alcance, funciones, responsabilidades, coordinación entre entidades organizativas y cumplimiento. |
| Conozca y comprenda la estrategia de defensa en profundidad integrada de Microsoft 365. | • Evalúe y administre los riesgos de cumplimiento normativo con el Administrador de cumplimiento para llevar a cabo una evaluación NIST 800-53 sobre su organización. Alinee los controles de seguridad de Microsoft 365 para administrar y mitigar los riesgos con los resultados de la evaluación. • Use la Puntuación de seguridad de Microsoft para supervisar el uso de las funciones del Centro de seguridad de Microsoft 365 de la organización a lo largo del tiempo tanto en los escritorios de Office 365 como de Windows 10. • Obtenga información sobre las tecnologías y estrategias de Microsoft que se usan para proporcionar el cifrado de datos de Office 365, así como las estrategias de protección contra ataques por denegación de servicio en Microsoft Cloud. |
| Proteja el acceso de los usuarios y el administrador a Office 365. | • Establezca la administración segura de credenciales para proteger las credenciales de cuentas de usuario. • Obtenga información sobre las directivas de acceso recomendadas de identidades y dispositivos para los servicios de Office 365. • Use los roles administrativos de Microsoft 365 para implementar el acceso basado en roles a las funciones de administración y habilitar la separación de las tareas administrativas. Nota: muchos roles de administrador en Microsoft 365 tienen un rol correspondiente en Exchange Online, SharePoint Online y Skype Empresarial Online. Segmente los permisos para asegurarse de que un único administrador no tiene más acceso del necesario. |
| Asegúrese de que todo el acceso al sistema se puede auditar según las directivas de responsabilidad y auditoría de la organización. | Habilite el registro de auditoría y la auditoría de buzón (para todos los buzones de Exchange) para supervisar Office 365 en busca de actividad potencialmente malintencionada y para habilitar el análisis detallado de vulneraciones de datos. |
90 días: protecciones mejoradas
Estas tareas tardan un poco más en planearse e implementarse.
| Área | Tareas |
|---|---|
| Mejore el programa de administración de antimalware, revisiones y configuración. | |
| • Proteja los activos y equipos de escritorio de la empresa mediante la implementación y habilitación de Antivirus de Windows Defender para la organización y aprovechar su estrecha integración con Windows 10. • Realice el seguimiento de los sistemas infectados en cuarentena y evite más daños hasta que se tomen los pasos de corrección. • Confíe en el riguroso proceso de administración de cambios estándar de Microsoft 365 para obtener actualizaciones y revisiones de confianza. |
|
| Use las funciones de seguridad de Microsoft 365 para controlar el acceso al entorno y proteger los activos y la información de la organización. | • Implemente directivas de acceso recomendadas de identidades y dispositivos para proteger las cuentas de usuario y administrativas. • Implemente las funcionalidades de Cifrado de mensajes de Office 365 (OME) para ayudar a los usuarios a cumplir las directivas de la organización al enviar datos confidenciales por correo electrónico. • Implemente la Microsoft Defender para punto de conexión en todos los equipos de escritorio para protegerlos contra código malicioso, así como prevenir y responder contra vulneraciones de datos. • Configure, pruebe e implemente directivas para identificar, supervisar y proteger automáticamente más de 80 tipos comunes de datos confidenciales dentro de documentos y correos electrónicos, como información financiera, médica y de identificación personal. • Configure las Sugerencias de directiva para informar automáticamente a los remitentes de correo electrónico de que podrían infringir una de las directivas, incluso antes de que envíen un mensaje infractor. Las Sugerencias de directiva se pueden configurar para mostrar una breve nota (en Outlook, Outlook en la Web y OWA para dispositivos) en la que se proporciona información sobre las posibles infracciones de directivas durante la creación del mensaje. • Proteja los datos corporativos confidenciales y cumpla las directivas de uso compartido de información de la organización mediante la implementación de controles para el uso compartido externo en SharePoint Online y OneDrive para la Empresa. Asegúrese de que solo los usuarios externos autenticados puedan acceder a los datos corporativos. |
| Use funciones de auditoría integradas para supervisar actividades de riesgo o confidenciales en Office 365. | • Habilite Directivas de alerta en el Centro de seguridad o cumplimiento de Microsoft 365 para generar notificaciones automáticas cuando se produzcan actividades confidenciales, como cuando se elevan los privilegios de una cuenta de usuario o cuando se accede a datos confidenciales. Todas las funciones con privilegios se deben auditar y supervisar. • Periódicamente, busque los registros de auditoría en el centro de seguridad o cumplimiento normativo para revisar los cambios realizados en la configuración de la cuenta empresarial. • Para el almacenamiento a largo plazo de datos de registro de auditoría, use la referencia de API de Actividad de administración de Office 365 para integrarse con una herramienta de Administración de eventos e información de seguridad (SIEM). |
| Implemente Microsoft Defender para Office 365, tanto para los enlaces, como para los archivos adjuntos en el correo electrónico y en los documentos de Office. | Implemente Microsoft Defender para Office 365 para ayudar a evitar los ataques más comunes como correos electrónicos de suplantación de identidad (phishing) y documentos de Office que contienen vínculos y datos adjuntos malintencionados. |
Más de 90 días: seguridad continua, gobierno de datos y creación de informes
Estas acciones tardan más y se basan en el trabajo anterior.
| Área | Tareas |
|---|---|
| Use las herramientas avanzadas de Microsoft 365 y la protección de la información para implementar controles continuados para los dispositivos y la protección de los datos corporativos. | * Utilizar Microsoft Intune para proteger los datos confidenciales almacenados y a los que se accede en los dispositivos móviles y para garantizar que se utilicen dispositivos corporativos conformes para acceder a los servicios de la nube. |
| Supervisar el cumplimiento continuo en Microsoft 365 y otras aplicaciones de la nube. | * Para evaluar el desempeño en relación con las directivas y procedimientos definidos de la organización, utilice el Administrador de cumplimiento de manera continua para realizar evaluaciones periódicas de la aplicación de las directivas de seguridad de la información por parte de la organización. * Utilizar la Azure AD Privileged Identity Management para controlar y realizar revisiones regulares de todos los usuarios y grupos con altos niveles de permisos (es decir, usuarios privilegiados o administrativos). * Implemente y configure Privileged Access Management para proporcionar control de acceso detallado sobre tareas con privilegios de administrador en Office 365. Una vez habilitado, los usuarios tendrán que solicitar el acceso cuando sea necesario para completar las tareas elevadas y con privilegios a través de un flujo de trabajo de aprobación muy limitado por tiempo y ámbito. • Auditar el acceso al buzón de personas distintas del propietario para identificar posibles fugas de información y revisar proactivamente el acceso de los no propietarios a todos los buzones de Exchange Online. • Utilizar las directivas de alerta de Office 365, los informes de prevención de pérdida de datos y Microsoft Cloud App Security para supervisar el uso de las aplicaciones de la nube por parte de su organización y para implementar directivas de alerta avanzadas basadas en la heurística y la actividad de los usuarios. • Utilizar Microsoft Cloud App Securitypara rastrear automáticamente las actividades de riesgo, identificar a los administradores potencialmente malintencionados, investigar las infracciones de datos o verificar que se cumplen los requisitos de cumplimiento. |
| Aproveche las funciones mejoradas de detección y protección contra amenazas con Advanced Threat Analytics para proporcionar una estrategia de seguridad sólida y en capas para la organización. Desarrolle un plan de respuesta a incidentes para reducir los efectos de los sistemas en peligro dentro de la organización. | • Implementar y configurar Windows Advanced Threat Analyticspara aprovechar la riqueza de los análisis y los informes para obtener conocimientos críticos sobre los usuarios a los que se dirige su organización y las metodologías de ciber ataques que se están explotando. • Aprovechar losinformes de Defender para Office 365 para analizar las amenazas a través de la comprensión de los contenidos y correos electrónicos maliciosos detectados automáticamente dentro de su organización. Utilice los informes incorporados y las capacidades de rastreo de mensajes para investigar los mensajes de correo electrónico que han sido bloqueados debido a un virus o malware desconocido. • Utilizar las funcionalidades de respuesta e investigación de amenazas de Office 365para agregar conocimientos e información de varias fuentes para obtener una visión holística del panorama de seguridad de la nube. * Integrar Microsoft Defender para Office 365 y Microsoft Defender para punto de conexión para entender rápidamente si los dispositivos de los usuarios están en peligro cuando se investigan las amenazas en Office 365. * Simular métodos de ataque comunes en el entorno de Office 365 con el Simulador de ataques de Office 365. Revise los resultados de las simulaciones de ataque para identificar oportunidades de aprendizaje para los usuarios y validar los procedimientos de respuesta a incidentes de la organización. • Configurar permisos en el centro de seguridad o cumplimiento normativopara garantizar que el acceso a los datos de monitoreo y auditoría se restrinja a los usuarios aprobados y se integre en las medidas de respuesta a incidentes de la organización. |
Obtén más información
Obtenga más información sobre Microsoft y el Marco de seguridad (CSF) de NIST, incluido el estándar NIST 800-53.