Recomendaciones para establecer una línea base de seguridad
Se aplica a la recomendación de lista de comprobación de seguridad de Azure Well-Architected Framework:
| SE:01 | Establezca una línea base de seguridad alineada con los requisitos de cumplimiento, los estándares del sector y las recomendaciones de la plataforma. Mida regularmente la arquitectura y las operaciones de la carga de trabajo con respecto a la línea base para mantener o mejorar la posición de seguridad con el tiempo. |
|---|
En esta guía se describen las recomendaciones para establecer una línea base de seguridad. Una línea base de seguridad es un documento que especifica los requisitos y expectativas de seguridad mínimos de su organización en una variedad de áreas. Una buena línea de base de seguridad le ayuda a:
- Mantenga seguros los datos y los sistemas.
- Cumplir los requisitos normativos.
- Minimice el riesgo de supervisión.
- Reduzca la probabilidad de infracciones y los efectos empresariales posteriores.
Las líneas base de seguridad deben publicarse ampliamente en toda la organización para que todas las partes interesadas sean conscientes de las expectativas.
En esta guía se proporcionan recomendaciones sobre cómo establecer una línea base de seguridad basada en factores internos y externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen las pruebas comparativas del sector y los estándares normativos.
Definiciones
| Término | Definición |
|---|---|
| Línea base | Nivel mínimo de prestaciones de seguridad que debe tener una carga de trabajo para evitar que se aprovechen. |
| Prueba comparativa | Estándar que significa la posición de seguridad a la que aspira la organización. Se evalúa, mide y mejora con el tiempo. |
| Controles | Controles técnicos o operativos en la carga de trabajo que ayudan a evitar ataques y aumentar los costos de los atacantes. |
| Requisitos reglamentarios | Un conjunto de requisitos empresariales, impulsados por estándares del sector, que imponen leyes y autoridades. |
Estrategias de diseño principales
Una línea base de seguridad es un documento estructurado que define un conjunto de criterios de seguridad y funcionalidades que la carga de trabajo debe cumplir para aumentar la seguridad. En un formato más maduro, puede ampliar una línea base para incluir un conjunto de directivas que se usan para establecer límites de protección.
La línea base debe considerarse el estándar para medir la posición de seguridad. El objetivo siempre debe ser completo y mantener un alcance amplio.
La línea de base de seguridad nunca debe ser un esfuerzo ad hoc. Los estándares del sector, el cumplimiento (interno o externo) o los requisitos normativos, los requisitos regionales y las pruebas comparativas de la plataforma en la nube son los principales impulsores de la línea base. Entre los ejemplos se incluyen los controles del Centro de seguridad de Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y los estándares basados en la plataforma, como el banco de pruebas de seguridad en la nube de Microsoft (MCSB). Todos estos estándares se consideran un punto de partida para la línea base. Cree la base incorporando los requisitos de seguridad de los requisitos empresariales.
Para obtener vínculos a los recursos anteriores, consulte Vínculos relacionados.
Create la línea de base al obtener consenso entre los líderes empresariales y técnicos. La línea base no debe restringirse a los controles técnicos. También debe incluir los aspectos operativos de la administración y el mantenimiento de la posición de seguridad. Por lo tanto, el documento de línea de base también actúa como compromiso de la organización con respecto a la inversión en la seguridad de las cargas de trabajo. El documento de línea de base de seguridad debe distribuirse ampliamente dentro de la organización para asegurarse de que hay conocimiento sobre la posición de seguridad de la carga de trabajo.
A medida que crece la carga de trabajo y el ecosistema evoluciona, es fundamental mantener la línea base sincronizada con los cambios para asegurarse de que los controles fundamentales siguen siendo eficaces.
La creación de una línea de base es un proceso metódico. Estas son algunas recomendaciones sobre el proceso:
Inventario de recursos. Identifique las partes interesadas de los recursos de carga de trabajo y los objetivos de seguridad de esos recursos. En el inventario de recursos, clasifique por requisitos de seguridad y importancia. Para obtener información sobre los recursos de datos, consulte Recomendaciones sobre la clasificación de datos.
Evaluación de riesgos. Identificar posibles riesgos asociados a cada recurso y priorizarlos.
Requisitos de cumplimiento. Base de referencia de cualquier normativa o cumplimiento para esos recursos y aplique los procedimientos recomendados del sector.
Estándares de configuración. Defina y documente configuraciones y opciones de seguridad específicas para cada recurso. Si es posible, template o busque una manera repetible y automatizada de aplicar la configuración de forma coherente en todo el entorno.
Control de acceso y autenticación. Especifique los requisitos de control de acceso basado en rol (RBAC) y autenticación multifactor (MFA). Documente lo que significa el acceso suficiente en el nivel de recurso. Comience siempre con el principio de privilegios mínimos.
Administración de revisiones. Aplique las versiones más recientes en todos los tipos de recursos para reforzar el ataque.
Documentación y comunicación. Documente todas las configuraciones, directivas y procedimientos. Comunique los detalles a las partes interesadas pertinentes.
Cumplimiento y responsabilidad. Establecer mecanismos de aplicación claros y consecuencias para la no conformidad con la base de referencia de seguridad. Mantenga a los usuarios y equipos responsables de mantener los estándares de seguridad.
Supervisión continua. Evalúe la eficacia de la línea de base de seguridad a través de la observabilidad y realice mejoras de horas extra.
Composición de una línea base
Estas son algunas categorías comunes que deben formar parte de una línea base. La lista siguiente no es exhaustiva. Está pensado como información general sobre el ámbito del documento.
Cumplimiento de normativas
Una carga de trabajo puede estar sujeta al cumplimiento normativo de segmentos específicos del sector, puede haber algunas restricciones geográficas, etc. Es fundamental comprender los requisitos según se indica en las especificaciones normativas, ya que estos influyen en las opciones de diseño y, en algunos casos, deben incluirse en la arquitectura.
La línea base debe incluir una evaluación regular de la carga de trabajo en función de los requisitos normativos. Aproveche las herramientas proporcionadas por la plataforma, como Microsoft Defender for Cloud, que pueden identificar áreas de incumplimiento. Trabaje con el equipo de cumplimiento de la organización para asegurarse de que se cumplen y mantienen todos los requisitos.
Componentes de la arquitectura
La línea base necesita recomendaciones prescriptivas para los componentes principales de la carga de trabajo. Normalmente se incluyen controles técnicos para redes, identidades, proceso y datos. Haga referencia a las líneas base de seguridad proporcionadas por la plataforma y agregue los controles que faltan a la arquitectura.
Consulte Ejemplo.
Procesos de desarrollo
La línea base debe tener recomendaciones sobre:
- Clasificación del sistema.
- Conjunto aprobado de tipos de recursos.
- Seguimiento de los recursos.
- Aplicación de directivas para usar o configurar recursos.
El equipo de desarrollo debe tener una comprensión clara del ámbito de las comprobaciones de seguridad. Por ejemplo, el modelado de amenazas es un requisito para asegurarse de que las posibles amenazas se identifican en el código y en las canalizaciones de implementación. Sea específico sobre las comprobaciones estáticas y el examen de vulnerabilidades en la canalización y la frecuencia con la que el equipo debe realizar esos exámenes.
Para obtener más información, consulte Recomendaciones sobre el análisis de amenazas.
El proceso de desarrollo también debe establecer estándares en diversas metodologías de prueba y su cadencia. Para obtener más información, consulte Recomendaciones sobre las pruebas de seguridad.
Operations
La línea base debe establecer estándares sobre el uso de funcionalidades de detección de amenazas y generar alertas sobre actividades anómalas que indican incidentes reales. La detección de amenazas debe incluir todas las capas de la carga de trabajo, incluidos todos los puntos de conexión accesibles desde redes hostiles.
La línea base debe incluir recomendaciones para configurar procesos de respuesta a incidentes, incluida la comunicación y un plan de recuperación, y cuál de esos procesos se puede automatizar para acelerar la detección y el análisis. Para ver ejemplos, consulte Líneas base de seguridad para información general de Azure.
La respuesta a incidentes también debe incluir un plan de recuperación y los requisitos para ese plan, como los recursos para realizar y proteger las copias de seguridad con regularidad.
Puede desarrollar planes de vulneración de datos mediante estándares y recomendaciones del sector proporcionados por la plataforma. A continuación, el equipo tiene un plan completo para seguir cuando se detecta una infracción. Además, consulte con su organización para ver si hay cobertura a través de la seguridad cibernética.
Cursos
Desarrolle y mantenga un programa de entrenamiento de seguridad para asegurarse de que el equipo de cargas de trabajo está equipado con las aptitudes adecuadas para apoyar los objetivos y requisitos de seguridad. El equipo necesita entrenamiento de seguridad fundamental, pero use lo que puede de su organización para admitir roles especializados. El cumplimiento y la participación en los simulacros de entrenamiento de seguridad basados en roles forman parte de la línea base de seguridad.
Uso de la línea base
Use la línea base para impulsar iniciativas, como:
Preparación para las decisiones de diseño. Create la línea de base de seguridad y publíquela antes de iniciar el proceso de diseño de la arquitectura. Asegúrese de que los miembros del equipo son plenamente conscientes de las expectativas de su organización al principio, lo que evita costosas reelaboraciones causadas por una falta de claridad. Puede usar los criterios de línea de base como requisitos de carga de trabajo que la organización ha confirmado y diseñado y validado controles con esas restricciones.
Mida el diseño. Calificar las decisiones actuales con respecto a la línea base actual. La línea base establece umbrales reales para los criterios. Documente las desviaciones que se aplazan o se consideran aceptables a largo plazo.
Mejoras en la unidad. Aunque la línea base establece objetivos alcanzables, siempre hay lagunas. Priorice las brechas en el trabajo pendiente y corrija en función de la priorización.
Realice un seguimiento del progreso en la línea base. La supervisión continua de medidas de seguridad en una línea base establecida es esencial. El análisis de tendencias es una buena manera de revisar el progreso de la seguridad a lo largo del tiempo y puede revelar desviaciones coherentes de la línea base. Use la automatización tanto como sea posible, extraiga datos de varios orígenes, internos y externos, para solucionar los problemas actuales y prepararse para futuras amenazas.
Establezca límites de protección. Siempre que sea posible, los criterios de línea base deben tener límites de protección. Los límites de protección aplican las configuraciones de seguridad, las tecnologías y las operaciones necesarias, en función de factores internos y factores externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen los puntos de referencia, los estándares normativos y el entorno de amenazas. Los límites de protección ayudan a minimizar el riesgo de supervisión involuntaria y multas punitivas por incumplimiento.
Explore Azure Policy para las opciones personalizadas o use iniciativas integradas, como pruebas comparativas de CIS o Azure Security Benchmark, para aplicar configuraciones de seguridad y requisitos de cumplimiento. Considere la posibilidad de crear directivas e iniciativas de Azure fuera de las líneas base.
Evaluación periódica de la línea base
Mejorar continuamente los estándares de seguridad incrementalmente hacia el estado ideal para garantizar una reducción continua del riesgo. Realice revisiones periódicas para asegurarse de que el sistema está actualizado y de conformidad con las influencias externas. Cualquier cambio en la línea base debe ser formal, acordado y enviado a través de los procesos adecuados de administración de cambios.
Mida el sistema con la nueva línea de base y dé prioridad a las correcciones en función de su relevancia y efecto en la carga de trabajo.
Asegúrese de que la posición de seguridad no se degrada con el tiempo al establecer la auditoría y supervisar el cumplimiento de los estándares de la organización.
Facilitación de Azure
La prueba comparativa de seguridad en la nube de Microsoft (MCSB) es un marco de procedimientos recomendados de seguridad completo que puede usar como punto de partida para la base de referencia de seguridad. Úselo junto con otros recursos que proporcionan entrada a la línea de base.
Para obtener más información, consulte Introducción al banco de pruebas de seguridad en la nube de Microsoft.
Use el panel de cumplimiento normativo de Microsoft Defender for Cloud (MDC) para realizar un seguimiento de esas líneas de base y recibir alertas si se detecta un patrón fuera de una línea base. Para obtener más información, consulte el panel Personalización del conjunto de estándares en el panel de cumplimiento normativo.
Otras características que ayudan a establecer y mejorar la línea base:
Ejemplo
En este diagrama lógico se muestra un ejemplo de línea base de seguridad para los componentes arquitectónicos que abarcan la red, la infraestructura, el punto de conexión, la aplicación, los datos y la identidad para demostrar cómo un entorno de TI común puede protegerse de forma segura. Otras guías de recomendaciones se basan en este ejemplo.
Infraestructura
Un entorno de TI común, con una capa local con recursos básicos.
Servicios de seguridad de Azure
Servicios y características de seguridad de Azure por los tipos de recursos que protegen.
Servicios de supervisión de seguridad de Azure
Los servicios de supervisión disponibles en Azure que van más allá de los servicios de supervisión simples, incluida la administración de eventos de información de seguridad (SIEM) y las soluciones de respuesta automatizada de orquestación de seguridad (SOAR) y Microsoft Defender for Cloud.
Amenazas
Esta capa proporciona una recomendación y un recordatorio de que las amenazas se pueden asignar de acuerdo con las preocupaciones de su organización con respecto a las amenazas, independientemente de la metodología o matriz de mitre Attack Matrix o cyber kill chain.
Vínculos relacionados
Vínculos de la comunidad
Lista de comprobación de seguridad
Consulte el conjunto completo de recomendaciones.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de