CyberGRX

  • Artículo

La metodología de evaluación de CyberGRX identifica el riesgo inherente y residual y usa análisis de amenazas casi en tiempo real y validación de evidencia independiente para proporcionar a los clientes una visión holística de su postura de riesgo cibernético de terceros.

CyberGRX es el primer y mayor intercambio de riesgos colaborativos del mundo. La metodología analítica de CyberGRX crea inteligencia sobre amenazas y modelos de riesgo sofisticados a partir de una sola evaluación validada. Con información sobre el riesgo en la seguridad y la privacidad de los datos, la evaluación de CyberGRX no solo ofrece información detallada sobre el riesgo residual, sino que combina el modelado de escenarios de ataque y la cadena de eliminación&CK de MITRE ATT para supervisar las tácticas y técnicas en constante evolución en el panorama de amenazas.

Microsoft y CyberGRX

CyberGRX, utilizando sus socios estratégicos Deloitte y Touche y KPMG, ha validado e informado sobre la evaluación de Microsoft Cloud, que consta de más de 1000 preguntas de seguridad y respuestas de Microsoft correspondientes. CyberGRX aborda los riesgos inherentes, la inteligencia de amenazas específica del sector y los escenarios de ataque del mundo real. Esto ofrece a los clientes la capacidad de validar la posición de seguridad de Microsoft con pruebas externas con el fin de generar resultados centrados en el riesgo, en lugar de un cumplimiento sencillo.

Microsoft entiende la necesidad que tienen nuestros clientes de usar vehículos eficientes que ayudarán a su organización a evaluar rápidamente el riesgo, para incluir la evaluación de posibles riesgos que pueden asumir debido al uso de un tercero para servicios clave, como nosotros. Como uno de los mayores proveedores de servicios en la nube del mundo, Microsoft entiende que nuestra base de clientes es amplia y diversa y que estos clientes tienen prioridades diferentes y proceden de diversos sectores. El escalado a estas diversas necesidades requiere que Microsoft busque métodos eficaces para ampliar y ampliar nuestra capacidad de compartir conocimientos clave que ayudarán a todos los clientes con sus prioridades de seguridad e independientemente de los servicios de Microsoft Cloud que usen. Colaborar con empresas de evaluación de terceros como CyberGRX es una manera de ayudar a nuestros clientes a ser más ágiles en su búsqueda de la evaluación de riesgos.

El modelo de CyberGRX ofrece a las organizaciones interesadas en la implementación del control de seguridad de Microsoft Cloud la capacidad de seleccionar los controles que más les interesan y proporciona respuestas validadas para su revisión. Microsoft se beneficia de este modelo, ya que también podemos ser ágiles en nuestra capacidad de proporcionar actualizaciones y nuestras respuestas están disponibles para cualquier miembro del intercambio CyberGRX, lo que proporciona a los clientes más acceso a esta información clave. En resumen, CyberGRX ayuda a Microsoft a llegar a más clientes con necesidades de evaluación de riesgos y subraya nuestro compromiso con la transparencia y la seguridad.

Además, los clientes pueden usar la característica Framework Mapper de CyberGRX para asignar nuestros controles de evaluación y respuestas a estándares y marcos del sector conocidos, como NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, todo lo cual puede reducir significativamente la carga de diligencia debida.

Las plataformas en la nube en el ámbito de Microsoft & servicios en el ámbito

  • Azure
  • Dynamics 365
  • Microsoft 365
  • Power Platform

Para obtener una lista completa de microsoft servicios en línea en el ámbito de auditoría de CyberGRX, consulte:

Office 365 y CyberGRX

entornos de Office 365

Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.

En esta sección se tratan los siguientes entornos de Office 365:

  • Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
  • Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
  • Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
  • Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
  • Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.

Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.

Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.

Aplicabilidad y servicios dentro Office 365

Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:

Aplicabilidad Servicios incluidos
Comercial Cortana, Caja de seguridad del cliente, Archivado de Exchange Online, Exchange Online Protection, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (incluidos Bookings, Listas y Shifts), Microsoft To-Do, Microsoft Defender para Office 365, Office 365 Video, Office para la Web, OneDrive para la Empresa, Project, SharePoint Online, Skype Empresarial Online, Sway, Pizarra, Viva Engage

Auditorías, informes y certificados

Para acceder a un informe de evaluación gratuito de CyberGRX de Microsoft Cloud, rellene este formulario.

Cómo se debe implementar

Preguntas frecuentes

Para obtener más información sobre cómo la metodología de validación, el modelo de puntuación de madurez y otras áreas relacionadas de CyberGRX, consulte preguntas más frecuentes sobre la evaluación de seguridad.

Recursos