Indicadores del Centro de seguridad de internet (CSI)Center for Internet Security (CIS) Benchmarks

Acerca de los indicadores de CSIAbout CIS Benchmarks

El Centro para la seguridad de Internet es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de prácticas recomendadas para la ciberdefensa".The Center for Internet Security is a nonprofit entity whose mission is to 'identify, develop, validate, promote, and sustain best practice solutions for cyberdefense.' Se basa en la experiencia de los profesionales de ciberseguridad y IT de los gobiernos, las empresas y el mundo académico de todo el mundo.It draws on the expertise of cybersecurity and IT professionals from government, business, and academia from around the world. Para desarrollar estándares y mejores prácticas, incluyendo puntos de referencia, controles e imágenes endurecidas de la CSI, siguen un modelo de toma de decisiones consensuado.To develop standards and best practices, including CIS benchmarks, controls, and hardened images, they follow a consensus decision-making model.

Los indicadores de CSI son líneas de base de configuración y mejores prácticas para la configuración segura de un sistema.CIS benchmarks are configuration baselines and best practices for securely configuring a system. Cada una de las recomendaciones de la guía hace referencia a uno o más controles CSI, que fueron desarrollados para ayudar a las organizaciones a mejorar sus capacidades de ciberdefensa.Each of the guidance recommendations references one or more CIS controls that were developed to help organizations improve their cyberdefense capabilities. Los controles CSI se ajustan a muchas normas y marcos normativos establecidos, incluidos el NIST Cybersecurity Framework (CSF) y NIST SP 800-53, la serie de normas ISO 27000, PCI DSS, HIPAA y otros.CIS controls map to many established standards and regulatory frameworks, including the NIST Cybersecurity Framework (CSF) and NIST SP 800-53, the ISO 27000 series of standards, PCI DSS, HIPAA, and others.

Cada indicador pasa por dos fases de revisión de consenso.Each benchmark undergoes two phases of consensus review. La primera ocurre durante el desarrollo inicial, cuando los expertos se reúnen para discutir, crear y probar los borradores de trabajo hasta que llegan a un consenso sobre el indicador.The first occurs during initial development when experts convene to discuss, create, and test working drafts until they reach consensus on the benchmark. Durante la segunda fase, después de la publicación del indicador, el equipo de consenso revisa la retroalimentación de la comunidad de Internet para incorporarla al indicador.During the second phase, after the benchmark has been published, the consensus team reviews the feedback from the internet community for incorporation into the benchmark.

Los puntos de referencia CSI proporcionan dos niveles de configuración de seguridad:CIS benchmarks provide two levels of security settings:

  • El nivel 1 recomienda requisitos básicos de seguridad esenciales que pueden configurarse en cualquier sistema y que deberían causar poca o ninguna interrupción del servicio o una funcionalidad reducida.Level 1 recommends essential basic security requirements that can be configured on any system and should cause little or no interruption of service or reduced functionality.
  • El Nivel 2 recomienda configuraciones de seguridad para entornos que requieren una mayor seguridad que podría resultar en una reducción de la funcionalidad.Level 2 recommends security settings for environments requiring greater security that could result in some reduced functionality.

Las imágenes protegidas CSIson imágenes de máquinas virtuales configuradas de forma segura basadas en los Indicadores CSI protegidos a un perfil de referencia CSI de Nivel 1 o Nivel 2.CIS Hardened Images are securely configured virtual machine images based on CIS Benchmarks hardened to either a Level 1 or Level 2 CIS benchmark profile. La protección es un proceso que ayuda a proteger contra el acceso no autorizado, la denegación de servicio y otras ciberamenazas al limitar los posibles puntos débiles que hacen que los sistemas sean vulnerables a los ciberataques.Hardening is a process that helps protect against unauthorized access, denial of service, and other cyberthreats by limiting potential weaknesses that make systems vulnerable to cyberattacks.

Microsoft y los indicadores de CSIMicrosoft and the CIS Benchmarks

El Centro para la seguridad de internet (CSI) ha publicado indicadores para los productos y servicios de Microsoft, incluyendo Microsoft Azure y Microsoft 365 Foundations Benchmarks, Windows 10 Benchmark y Windows Server 2016 Benchmark.The Center for Internet Security (CIS) has published benchmarks for Microsoft products and services including the Microsoft Azure and Microsoft 365 Foundations Benchmarks, the Windows 10 Benchmark, and the Windows Server 2016 Benchmark.

Los puntos de referencia CSI son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques.CIS benchmarks are internationally recognized as security standards for defending IT systems and data against cyberattacks. Utilizados por miles de empresas, ofrecen una guía prescriptiva para establecer una configuración de línea de base segura.Used by thousands of businesses, they offer prescriptive guidance for establishing a secure baseline configuration. Los administradores de sistemas y aplicaciones, los especialistas en seguridad y otros que desarrollan soluciones utilizando productos y servicios de Microsoft pueden utilizar estas mejores prácticas para evaluar y mejorar la seguridad de sus aplicaciones.System and application administrators, security specialists, and others who develop solutions using Microsoft products and services can use these best practices to assess and improve the security of their applications.

Como todos los indicadores de CSI, los indicadores de Microsoft se crearon mediante un proceso de revisión por consenso basado en las aportaciones de expertos en la materia con diversos antecedentes que abarcan el desarrollo de software, la auditoría y el cumplimiento, la investigación sobre seguridad, operaciones, gobierno y legislación.Like all CIS benchmarks, the Microsoft benchmarks were created using a consensus review process based on input from subject matter experts with diverse backgrounds spanning software development, audit and compliance, security research, operations, government, and law. Microsoft fue un socio integral en estos esfuerzos de CSI.Microsoft was an integral partner in these CIS efforts. Por ejemplo, Office 365 fue probado contra los servicios listados, y el resultante Microsoft 365 Foundations Benchmark cubre un amplio rango de recomendaciones para establecer políticas de seguridad apropiadas que cubren cuentas y autenticación, administración de datos, permisos de aplicaciones, almacenamiento y otras áreas de políticas de seguridad.For example, Office 365 was tested against the listed services, and the resulting Microsoft 365 Foundations Benchmark covers a broad range of recommendations for setting appropriate security policies that cover account and authentication, data management, application permissions, storage, and other security policy areas.

Además de los puntos de referencia para los productos y servicios de Microsoft, CSI también ha publicado imágenes protegidas de CSI para su uso en máquinas virtuales Azureconfiguradas para cumplir con los indicadores de CSI.In addition to the benchmarks for Microsoft products and services, CIS has also published CIS Hardened Images for use on Azure virtual machines configured to meet CIS benchmarks. Estos incluyen el protector de imágenes CSI de Microsoft Windows Server 2016 certificado para funcionar en Azure.These include the CIS Hardened Image for Microsoft Windows Server 2016 certified to run on Azure. CIS declara que "todas las imágenes protegidas de CIS que están disponibles en el Azure Marketplace están certificadas para funcionar en Azure.CIS states that, 'All CIS hardened images that are available on the Azure Marketplace are certified to run on Azure. Se han sometido a pruebas previas de preparación y compatibilidad con la nube pública de Azure, la plataforma en la nube de Microsoft alojada por proveedores de servicios a través de la red Cloud OS y las implementaciones de Windows Server Hyper-V en nube privada local gestionadas por los clientes".They have been pre-tested for readiness and compatibility with the Azure public cloud, the Microsoft Cloud Platform hosted by service providers through the Cloud OS Network, and on-premise private cloud Windows Server Hyper-V deployments managed by customers.'

Servicios de la nube dentro del alcance de MicrosoftMicrosoft in-scope cloud services

Auditorías, informes y certificadosAudits, reports, and certificates

Obtenga una lista completa de indicadores de CSI para productos y servicios de Microsoft.Get a complete list of CIS benchmarks for Microsoft products and services.

Cómo se debe implementarHow to implement

Preguntas más frecuentesFrequently asked questions

¿Seguir las configuraciones de indicadores CSI garantizará la seguridad de mis aplicaciones?Will following CIS Benchmark settings ensure the security of my applications?

Los indicadores CSI establecen el nivel básico de seguridad para cualquiera que adopte los productos y servicios de Microsoft incluidos en el alcance.CIS benchmarks establish the basic level of security for anyone adopting in-scope Microsoft products and services. Sin embargo, no deben considerarse como una lista exhaustiva de todas las configuraciones y arquitecturas de seguridad posibles, sino como un punto de partida.However, they should not be considered as an exhaustive list of all possible security configurations and architecture but as a starting point. Cada organización debe seguir evaluando su situación específica, sus cargas de trabajo y los requisitos de cumplimiento, y adaptar su entorno en consecuencia.Each organization must still evaluate its specific situation, workloads, and compliance requirements and tailor its environment accordingly.

¿Con qué frecuencia se actualizan los Indicadores del CSI?How often are CIS Benchmarks updated?

El lanzamiento de los Indicadores CSI revisados cambia en función de la comunidad de profesionales de IT que los desarrollaron y del calendario de lanzamiento de la tecnología compatible con el indicador.The release of revised CIS Benchmarks changes depending on the community of IT professionals who developed it and on the release schedule of the technology the benchmark supports. El CSI distribuye informes mensuales que anuncian nuevos indicadores y actualizaciones de los indicadores existentes.CIS distributes monthly reports that announce new benchmarks and updates to existing benchmarks. Para recibirlos, regístrese en el CIS Workbench (es gratuito) y compruebe la opción Recibir boletín en su perfil.To receive these, register for the CIS Workbench (it's free) and check Receive newsletter in your profile.

¿Quién contribuyó al desarrollo de Indicadores de CSI de Microsoft?Who contributed to the development of Microsoft CIS Benchmarks?

El CIS señala que sus "bancos de pruebas se desarrollan gracias a los generosos esfuerzos voluntarios de expertos en la materia, proveedores de tecnología, miembros de la comunidad de bancos de pruebas del CIS públicos y privados, y el equipo de desarrollo de pruebas del CIS".CIS notes that its 'Benchmarks are developed through the generous volunteer efforts of subject matter experts, technology vendors, public and private CIS Benchmark community members, and the CIS Benchmark Development team.' Por ejemplo, encontrará una lista de colaboradores de Azure en CIS Microsoft Azure Foundations Benchmark v1.0.0 Ahora disponible..For example, you'll find a list of Azure contributors on CIS Microsoft Azure Foundations Benchmark v1.0.0 Now Available.

Usar el Administrador de cumplimiento de Microsoft para evaluar el riesgoUse Microsoft Compliance Manager to assess your risk

El Administrador de cumplimiento de Microsoft es una característica en el Centro de cumplimiento de Microsoft 365 que le ayuda a entender la actitud de su organización en relación con el cumplimiento normativo y a tomar medidas para contribuir a reducir los riesgos.Microsoft Compliance Manager is a feature in the Microsoft 365 compliance center to help you understand your organization's compliance posture and take actions to help reduce risks. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa.Compliance Manager offers a premium template for building an assessment for this regulation. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento.Find the template in the assessment templates page in Compliance Manager. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.Learn how to build assessments in Compliance Manager.

RecursosResources