Indicadores del Centro de seguridad de internet (CSI)

Acerca de los indicadores de CSI

El Centro para la seguridad de Internet es una entidad sin ánimo de lucro cuya misión es "identificar, desarrollar, validar, promover y mantener soluciones de prácticas recomendadas para la ciberdefensa". Se basa en la experiencia de los profesionales de ciberseguridad y IT de los gobiernos, las empresas y el mundo académico de todo el mundo. Para desarrollar estándares y mejores prácticas, incluyendo puntos de referencia, controles e imágenes endurecidas de la CSI, siguen un modelo de toma de decisiones consensuado.

Los indicadores de CSI son líneas de base de configuración y mejores prácticas para la configuración segura de un sistema. Cada una de las recomendaciones de la guía hace referencia a uno o más controles CSI, que fueron desarrollados para ayudar a las organizaciones a mejorar sus capacidades de ciberdefensa. Los controles CSI se ajustan a muchas normas y marcos normativos establecidos, incluidos el NIST Cybersecurity Framework (CSF) y NIST SP 800-53, la serie de normas ISO 27000, PCI DSS, HIPAA y otros.

Cada indicador pasa por dos fases de revisión de consenso. La primera ocurre durante el desarrollo inicial, cuando los expertos se reúnen para discutir, crear y probar los borradores de trabajo hasta que llegan a un consenso sobre el indicador. Durante la segunda fase, después de la publicación del indicador, el equipo de consenso revisa la retroalimentación de la comunidad de Internet para incorporarla al indicador.

Los puntos de referencia CSI proporcionan dos niveles de configuración de seguridad:

  • El nivel 1recomienda requisitos básicos de seguridad esenciales que pueden configurarse en cualquier sistema y que deberían causar poca o ninguna interrupción del servicio o una funcionalidad reducida.
  • El Nivel 2recomienda configuraciones de seguridad para entornos que requieren una mayor seguridad que podría resultar en una reducción de la funcionalidad.

Las imágenes protegidas CSIson imágenes de máquinas virtuales configuradas de forma segura basadas en los Indicadores CSI protegidos a un perfil de referencia CSI de Nivel 1 o Nivel 2. La protección es un proceso que ayuda a proteger contra el acceso no autorizado, la denegación de servicio y otras ciberamenazas al limitar los posibles puntos débiles que hacen que los sistemas sean vulnerables a los ciberataques.

Microsoft y los indicadores de CSI

El Centro para la seguridad de internet (CSI) ha publicado indicadores para los productos y servicios de Microsoft, incluyendo Microsoft Azure y Microsoft 365 Foundations Benchmarks, Windows 10 Benchmark y Windows Server 2016 Benchmark. El CIS Microsoft Azure Foundations Benchmark está pensado para los clientes que planean desarrollar, implementar, evaluar o proteger soluciones que incorporan Azure. El documento proporciona instrucciones prescriptivas para establecer una configuración de línea base segura para Azure.

Los puntos de referencia CSI son reconocidos internacionalmente como estándares de seguridad para la defensa de sistemas y datos de IT contra ciberataques. Utilizados por miles de empresas, ofrecen una guía prescriptiva para establecer una configuración de línea de base segura. Los administradores de sistemas y aplicaciones, los especialistas en seguridad y otros que desarrollan soluciones utilizando productos y servicios de Microsoft pueden utilizar estas mejores prácticas para evaluar y mejorar la seguridad de sus aplicaciones.

Como todos los indicadores de CSI, los indicadores de Microsoft se crearon mediante un proceso de revisión por consenso basado en las aportaciones de expertos en la materia con diversos antecedentes que abarcan el desarrollo de software, la auditoría y el cumplimiento, la investigación sobre seguridad, operaciones, gobierno y legislación. Microsoft fue un socio integral en estos esfuerzos de CSI. Por ejemplo, Office 365 fue probado contra los servicios listados, y el resultante Microsoft 365 Foundations Benchmark cubre un amplio rango de recomendaciones para establecer políticas de seguridad apropiadas que cubren cuentas y autenticación, administración de datos, permisos de aplicaciones, almacenamiento y otras áreas de políticas de seguridad.

Además de las pruebas comparativas para los productos y servicios de Microsoft, CSI ha publicado Las imágenes protegidas CSI en Azureconfiguradas para cumplir con las pruebas comparativas de la CSI y disponibles en Microsoft Azure Marketplace. Estas imágenes incluyen Imágenes protegidas CSI para Windows Server 2016 y Windows Server 2019, así como muchas versiones de Linux. Todas las imágenes protegidas CSI que están disponibles en Azure Marketplace están certificadas para ejecutarse en Microsoft Azure. Como indica CIS, "se han probado previamente para la preparación y compatibilidad con la nube pública de Microsoft Azure, Microsoft Cloud Platform hospedada por proveedores de servicios a través de Cloud OS Network y las implementaciones de Hyper-V de Windows Server en la nube privada local administradas por los clientes".

Imágenes protegidas CSIson imágenes de máquinas virtuales configuradas de forma segura basadas en los bancos de pruebas CSI protegidos a un perfil de referencia CSI de Nivel 1 o Nivel 2. La protección es un proceso que ayuda a proteger contra el acceso no autorizado, la denegación de servicio y otras ciberamenazas al limitar los posibles puntos débiles que hacen que los sistemas sean vulnerables a los ciberataques. Las imágenes protegidas CSI están disponibles tanto en Azure como en Azure Government.

Para obtener asistencia adicional al cliente, Microsoft proporciona Azure Blueprints, que es un servicio que le ayuda a implementar y actualizar entornos en la nube de forma repetible mediante artefactos que admiten composición como plantillas de Azure Resource Manager para aprovisionar recursos, controles de acceso basados en roles y directivas. Los recursos aprovisionados a través de Azure Blueprints cumplen los estándares, patrones y requisitos de cumplimiento de una organización. El objetivo general de Azure Blueprints es ayudar a automatizar el cumplimiento y la administración de riesgos de ciberseguridad en entornos en la nube. Para ayudarle a implementar un conjunto básico de directivas para cualquier arquitectura basada en Azure que debe implementar las recomendaciones de CIS Azure Foundations Benchmark, Microsoft ha publicado Azure Blueprint for CIS Microsoft Azure Foundations Benchmark. Cuando se asigna a una arquitectura, Azure Policy evalúa los recursos para el cumplimiento de las definiciones de directiva asignadas.

Servicios y plataformas en la nube dentro de Microsoft

Auditorías, informes y certificados

Obtenga una lista completa de indicadores de CSI para productos y servicios de Microsoft.

Cómo se debe implementar

Preguntas más frecuentes

¿Seguir las configuraciones de indicadores CSI garantizará la seguridad de mis aplicaciones?

Los indicadores CSI establecen el nivel básico de seguridad para cualquiera que adopte los productos y servicios de Microsoft incluidos en el alcance. Sin embargo, no deben considerarse como una lista exhaustiva de todas las configuraciones de seguridad y arquitectura posibles, sino como un punto de partida. Cada organización debe seguir evaluando su situación específica, sus cargas de trabajo y los requisitos de cumplimiento, y adaptar su entorno en consecuencia.

¿Con qué frecuencia se actualizan los Indicadores del CSI?

El lanzamiento de los Indicadores CSI revisados cambia en función de la comunidad de profesionales de IT que los desarrollaron y del calendario de lanzamiento de la tecnología compatible con el indicador. El CSI distribuye informes mensuales que anuncian nuevos indicadores y actualizaciones de los indicadores existentes. Para recibirlos, regístrese en el CIS Workbench (es gratuito) y compruebe la opción Recibir boletín en su perfil.

¿Quién contribuyó al desarrollo de Indicadores de CSI de Microsoft?

El CIS señala que sus "bancos de pruebas se desarrollan gracias a los generosos esfuerzos voluntarios de expertos en la materia, proveedores de tecnología, miembros de la comunidad de bancos de pruebas del CIS públicos y privados, y el equipo de desarrollo de pruebas del CIS". Por ejemplo, encontrará una lista de colaboradores de Azure en CIS Microsoft Azure Foundations Benchmark v1.0.0 Ahora disponible..

Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo

El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.

Recursos