Detalles de la iniciativa integrada de cumplimiento normativo de HIPAA HITRUST 9.2

En el siguiente artículo se detalla la correspondencia entre los dominios de cumplimiento y los controles de la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y el estándar HIPAA HITRUST 9.2. Para más información acerca de este estándar de cumplimiento, consulte HIPAA/HITRUST 9.2. Para entender el concepto de propiedad, consulte Definición de directivas de Azure Policy y Responsabilidad compartida en la nube.

Las asignaciones que se presentan a continuación son para los controles de HIPAA HITRUST 9.2. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. Luego, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de HIPAA HITRUST 9.2.

Esta iniciativa integrada se implementa como parte del ejemplo de plano técnico de HIPAA HITRUST 9.2.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

Administración de privilegios

Con el fin de facilitar el uso compartido de la información, la organización permite que los usuarios autorizados determinen el acceso de un asociado comercial según unos criterios permitidos definidos y el empleo de procesos manuales o mecanismos automatizados para ayudar a los usuarios a tomar decisiones de colaboración y uso compartido de la información.

Identificador: 1149.01c2System.9 - 01.c Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.3

Los contratistas únicamente reciben un nivel mínimo de acceso físico y al sistema después de que la organización evalúe la capacidad de los contratistas para cumplir los requisitos de seguridad y de que los contratistas se comprometan al cumplimiento de esos requisitos.

Identificador: 1154.01c3System.4 - 01.c Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0

Autenticación de usuario para conexiones externas

El acceso remoto por parte de proveedores y asociados comerciales (por ejemplo, con fines de mantenimiento remoto) está deshabilitado o desactivado cuando no se utiliza.

Identificador: 1117.01j1Organizational.23 - 01.j Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

Si no se utiliza el cifrado con las conexiones de acceso telefónico, el CIO, o la persona que haya designado, proporcionará una autorización específica por escrito.

Identificador: 1173.01j1Organizational.6 - 01.j Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

La organización protege el acceso inalámbrico a sistemas que contienen información confidencial mediante la autenticación de usuarios y dispositivos.

Identificador: 1174.01j1Organizational.7 - 01.j Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

La organización requiere una funcionalidad de devolución de llamada con reautenticación de usuarios para comprobar las conexiones de acceso telefónico desde ubicaciones autorizadas.

Identificador: 1176.01j2Organizational.5 - 01.j Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

Los identificadores de usuario asignados a proveedores se revisan de acuerdo con la directiva de revisión de acceso de la organización, como mínimo con carácter anual.

Identificador: 1177.01j2Organizational.6 - 01.j Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

Identificación y autenticación de usuario

Los usuarios que no pertenezcan a la organización (es decir, los demás usuarios de los sistemas de información, como pacientes, clientes, contratistas o ciudadanos extranjeros), o los procesos que representen a usuarios que no pertenecen a la organización, que necesiten acceder a la información almacenada en los sistemas de información de la organización, se identificarán y autenticarán de forma exclusiva.

Identificador: 11110.01q1Organizational.6 - 01.q Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0

La organización requiere que las firmas electrónicas, exclusivas para una persona, no se puedan reutilizar ni reasignar a otra persona.

Identificador: 11208.01q1Organizational.8 - 01.q Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0

Las firmas electrónicas y las firmas manuscritas que se ejecuten en registros electrónicos se vincularán a los respectivos registros electrónicos.

Identificador: 11210.01q2Organizational.10 - 01.q Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0

Los registros electrónicos firmados contendrán información asociada a la firma en un formato legible.

Identificador: 11211.01q2Organizational.11 - 01.q Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0

01 Programa de Information Protection

0101.00a1Organizational.123-00.a 0.01 Programa de administración de seguridad de la información

ID: 0101.00a1Organizational.123-00.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Proteger el plan del programa de seguridad de la información CMA_C1732: Proteger el plan del programa de seguridad de la información Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0102.00a2Organizational.123-00.a 0.01 Programa de administración de seguridad de la información

ID: 0102.00a2Organizational.123-00.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0103.00a3Organizational.1234567-00.a 0.01 Programa de administración de seguridad de la información

ID: 0103.00a3Organizational.1234567-00.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

0104.02a1Organizational.12-02.a 02.01 Antes del empleo

ID: 0104.02a1Organizational.12-02.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

0105.02a2Organizational.1-02.a 02.01 Antes del empleo

ID: 0105.02a2Organizational.1-02.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignación de designaciones de riesgo CMA_0016: Asignar designaciones de riesgo Manual, Deshabilitado 1.1.0
Borrado del personal con acceso a información clasificada CMA_0054: Borrar al personal con acceso a información clasificada Manual, Deshabilitado 1.1.0
Implementación del filtrado de personal CMA_0322: Implementar el filtrado de personal Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Revisión de individuos con una frecuencia definida CMA_C1512: Revisar individuos con una frecuencia definida Manual, Deshabilitado 1.1.0

0106.02a2Organizational.23-02.a 02.01 Antes del empleo

ID: 0106.02a2Organizational.23-02.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Borrado del personal con acceso a información clasificada CMA_0054: Borrar al personal con acceso a información clasificada Manual, Deshabilitado 1.1.0
Implementación del filtrado de personal CMA_0322: Implementar el filtrado de personal Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Revisión de individuos con una frecuencia definida CMA_C1512: Revisar individuos con una frecuencia definida Manual, Deshabilitado 1.1.0

0107.02d1Organizational.1-02.d 02.03 Durante el empleo

ID: 0107.02d1Organizational.1-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer el programa de desarrollo y mejora de personal de seguridad de la información CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información Manual, Deshabilitado 1.1.0

0108.02d1Organizational.23-02.d 02.03 Durante el empleo

ID: 0108.02d1Organizational.23-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Implementación de planes de supervisión, entrenamiento y pruebas de seguridad CMA_C1753: implementar planes de supervisión, entrenamiento y pruebas de seguridad Manual, Deshabilitado 1.1.0
Supervisión de la finalización de la formación de seguridad y privacidad CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que proporcionen formación CMA_C1611: Requerir a los desarrolladores que proporcionen formación Manual, Deshabilitado 1.1.0
Conservación de registros de formación CMA_0456: Conservar registros de formación Manual, Deshabilitado 1.1.0
Revisión de los planes de supervisión, entrenamiento y pruebas de seguridad CMA_C1754: revisar los planes de supervisión, entrenamiento y pruebas de seguridad Manual, Deshabilitado 1.1.0

0109.02d1Organizational.4-02.d 02.03 Durante el empleo

ID: 0109.02d1Organizational.4-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación basada en roles para las actividades sospechosas CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

0110.02d2Organizational.1-02.d 02.03 Durante el empleo

ID: 0110.02d2Organizational.1-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Establecer el programa de desarrollo y mejora de personal de seguridad de la información CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información Manual, Deshabilitado 1.1.0

0111.02d2Organizational.2-02.d 02.03 Durante el empleo

ID: 0111.02d2Organizational.2-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

01110.05a1Organizational.5-05.a 05.01 Organización interna

ID: 01110.05a1Organizational.5-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

01111.05a2Organizational.5-05.a 05.01 Organización interna

ID: 01111.05a2Organizational.5-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0

0112.02d2Organizational.3-02.d 02.03 Durante el empleo

ID: 0112.02d2Organizational.3-02.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Exigencia del uso adecuado de todas las cuentas CMA_C1023: Exigir el uso adecuado de todas las cuentas Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Establecimiento de restricciones de uso para las tecnologías de código móvil CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Requerimiento del cumplimiento de los derechos de propiedad intelectual CMA_0432: Requerir el cumplimiento de los derechos de propiedad intelectual Manual, Deshabilitado 1.1.0
Seguimiento del uso de licencias de software CMA_C1235: Realizar un seguimiento del uso de licencias de software Manual, Deshabilitado 1.1.0

0113.04a1Organizational.123-04.a 04.01 Directiva de seguridad de la información

ID: 0113.04a1Organizational.123-04.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Proteger el plan del programa de seguridad de la información CMA_C1732: Proteger el plan del programa de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0114.04b1Organizational.1-04.b 04.01 Directiva de seguridad de la información

ID: 0114.04b1Organizational.1-04.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de auditoría y responsabilidad CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Control de directivas y procedimientos CMA_0292: Control de directivas y procedimientos Manual, Deshabilitado 1.1.0
Revisión de directivas y procedimientos de control de acceso CMA_0457: Revisar las directivas y procedimientos de control de acceso Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios Manual, Deshabilitado 1.1.0
Revisión y actualización de procedimientos y directivas de mantenimiento del sistema CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0115.04b2Organizational.123-04.b 04.01 Directiva de seguridad de la información

ID: 0115.04b2Organizational.123-04.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de auditoría y responsabilidad CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Control de directivas y procedimientos CMA_0292: Control de directivas y procedimientos Manual, Deshabilitado 1.1.0
Revisión de directivas y procedimientos de control de acceso CMA_0457: Revisar las directivas y procedimientos de control de acceso Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de administración de configuración CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de los planes de contingencia CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de identificación y autenticación CMA_C1299: Revisar y actualizar directivas y procedimientos de identificación y autenticación Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de integridad de la información CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección de elementos multimedia CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de seguridad del personal CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos físicos y ambientales CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de planeación CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de evaluación de riesgos CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios Manual, Deshabilitado 1.1.0
Revisión y actualización de procedimientos y directivas de mantenimiento del sistema CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema Manual, Deshabilitado 1.1.0
Revisión de la evaluación de seguridad y las directivas y procedimientos de autorización CMA_C1143: Revisar la evaluación de seguridad y las directivas y procedimientos de autorización Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0116.04b3Organizational.1-04.b 04.01 Directiva de seguridad de la información

ID: 0116.04b3Organizational.1-04.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de las directivas y procedimientos de administración de configuración CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de integridad de la información CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de planeación CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación Manual, Deshabilitado 1.1.0
Revisión y actualización de procedimientos y directivas de mantenimiento del sistema CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema Manual, Deshabilitado 1.1.0

0117.05a1Organizational.1-05.a 05.01 Organización interna

ID: 0117.05a1Organizational.1-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0

0118.05a1Organizational.2-05.a 05.01 Organización interna

ID: 0118.05a1Organizational.2-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Establecer el programa de desarrollo y mejora de personal de seguridad de la información CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

0119.05a1Organizational.3-05.a 05.01 Organización interna

ID: 0119.05a1Organizational.3-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

0120.05a1Organizational.4-05.a 05.01 Organización interna

ID: 0120.05a1Organizational.4-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alineación de los objetivos de negocio y de TI CMA_0008: Alinear los objetivos de negocios y de TI Manual, Deshabilitado 1.1.0
Asignación de recursos para determinar los requisitos del sistema de información CMA_C1561: Asignar recursos para determinar los requisitos del sistema de información Manual, Deshabilitado 1.1.0
Emplear casos empresariales para registrar los recursos necesarios CMA_C1735: Emplear casos empresariales para registrar los recursos necesarios Manual, Deshabilitado 1.1.0
Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios CMA_C1734: Garantizar que las solicitudes de inversión y planeamiento de capital incluyan los recursos necesarios Manual, Deshabilitado 1.1.0
Establecimiento de un elemento de línea discreto en la documentación de presupuestos CMA_C1563: Establecer un elemento de línea discreto en la documentación de presupuestos Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Control de la asignación de recursos CMA_0293: Controlar la asignación de recursos Manual, Deshabilitado 1.1.0
Garantía del compromiso de la dirección CMA_0489: Asegurar el compromiso de la dirección Manual, Deshabilitado 1.1.0

0121.05a2Organizational.12-05.a 05.01 Organización interna

ID: 0121.05a2Organizational.12-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Implementar la estrategia de administración de riesgos CMA_C1744: Implementar la estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de evaluación de riesgos CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos Manual, Deshabilitado 1.1.0

0122.05a2Organizational.3-05.a 05.01 Organización interna

ID: 0122.05a2Organizational.3-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0

0123.05a2Organizational.4-05.a 05.01 Organización interna

ID: 0123.05a2Organizational.4-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Administrar contactos para las autoridades y los grupos de interés especial CMA_0359: Administrar contactos para las autoridades y los grupos de interés especial Manual, Deshabilitado 1.1.0

0124.05a3Organizational.1-05.a 05.01 Organización interna

ID: 0124.05a3Organizational.1-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0

0125.05a3Organizational.2-05.a 05.01 Organización interna

ID: 0125.05a3Organizational.2-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aceptación de resultados de la valoración CMA_C1150 - Aceptar resultados de la valoración Manual, Deshabilitado 1.1.0
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

0135.02f1Organizational.56-02.d 02.03 Durante el empleo

ID: 0135.02f1Organizational.56-02.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer el programa de desarrollo y mejora de personal de seguridad de la información CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

0137.02a1Organizational.3-02.a 02.01 Antes del empleo

ID: 0137.02a1Organizational.3-02.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de seguridad del personal CMA_C1507: Revisar y actualizar directivas y procedimientos de seguridad del personal Manual, Deshabilitado 1.1.0

0162.04b1Organizational.2-04.b 04.01 Directiva de seguridad de la información

ID: 0162.04b1Organizational.2-04.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de integridad de la información CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información Manual, Deshabilitado 1.1.0

0165.05a3Organizational.3-05.a 05.01 Organización interna

ID: 0165.05a3Organizational.3-05.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de planeación CMA_C1491: Revisar y actualizar directivas y procedimientos de planeación Manual, Deshabilitado 1.1.0

0177.05h1Organizational.12-05.h 05.01 Organización interna

ID: 0177.05h1Organizational.12-05.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aceptación de resultados de la valoración CMA_C1150 - Aceptar resultados de la valoración Manual, Deshabilitado 1.1.0
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0

0178.05h1Organizational.3-05.h 05.01 Organización interna

ID: 0178.05h1Organizational.3-05.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0

0179.05h1Organizational.4-05.h 05.01 Organización interna

ID: 0179.05h1Organizational.4-05.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Implementar los planes de acción e hitos para el proceso del programa de seguridad CMA_C1737: Implementar planes de acción e hitos para el proceso del programa de seguridad Manual, Deshabilitado 1.1.0

0180.05h2Organizational.1-05.h 05.01 Organización interna

ID: 0180.05h2Organizational.1-05.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0

02 Endpoint Protection

0201.09j1Organizational.124-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0201.09j1Organizational.124-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Implementar la extensión IaaSAntimalware predeterminada de Microsoft para Windows Server Esta directiva implementa una extensión de Microsoft IaaSAntimalware con una configuración predeterminada cuando una VM no está configurada con la extensión de antimalware. deployIfNotExists 1.1.0
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
La solución de protección del punto de conexión debe instalarse en las máquinas virtuales Audite la existencia y el estado de una solución de protección de puntos de conexión en los conjuntos de escalado de máquinas virtuales para protegerlos frente a amenazas y vulnerabilidades. AuditIfNotExists, Disabled 3.0.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
Supervisar la falta de Endpoint Protection en Azure Security Center Azure Security Center supervisará los servidores sin un agente de Endpoint Protection instalado como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Se deben instalar actualizaciones del sistema en las máquinas Azure Security Center supervisará las actualizaciones del sistema de seguridad que faltan en los servidores como recomendaciones. AuditIfNotExists, Disabled 4.0.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0202.09j1Organizational.3-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0202.09j1Organizational.3-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ajuste del nivel de revisión, análisis y creación de informes de auditoría CMA_C1123: Ajustar el nivel de revisión, análisis y creación de informes de auditoría Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Integración del análisis del registro de auditoría CMA_C1120: Integrar el análisis del registro de auditoría Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Especificación de acciones permitidas asociadas con la información de auditoría del cliente CMA_C1122 - Especificar acciones permitidas asociadas con la información de auditoría del cliente Manual, Deshabilitado 1.1.0

0204.09j2Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0204.09j2Organizational.1-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Creación de acciones alternativas para las anomalías identificadas CMA_C1711: Crear acciones alternativas para las anomalías identificadas Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Notificación al personal de cualquier prueba de comprobación de seguridad con errores CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización de una comprobación de la función de seguridad con una frecuencia definida CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Comprobar las funciones de seguridad CMA_C1708: Comprobar las funciones de seguridad Manual, Deshabilitado 1.1.0

0205.09j2Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0205.09j2Organizational.2-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0206.09j2Organizational.34-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0206.09j2Organizational.34-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0207.09j2Organizational.56-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0207.09j2Organizational.56-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0208.09j2Organizational.7-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0208.09j2Organizational.7-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Separación de la función de administración de usuarios y de sistemas de información CMA_0493: Separar la función de administración de usuarios y de sistemas de información Manual, Deshabilitado 1.1.0
Uso de máquinas dedicadas a tareas administrativas CMA_0527: Usar máquinas dedicadas a tareas administrativas Manual, Deshabilitado 1.1.0

0209.09m3Organizational.7-09.m 09.06 Administración de seguridad de red

ID: 0209.09m3Organizational.7-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las decisiones de uso compartido de la información CMA_0028: Automatizar las decisiones de uso compartido de la información Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Facilitación del uso compartido de la información CMA_0284 - Facilitar el uso compartido de la información Manual, Deshabilitado 1.1.0
Divulgar los registros de información de identificación personal a terceros CMA_0422: Divulgar los registros de información de identificación personal a terceros Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

0214.09j1Organizational.6-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0214.09j1Organizational.6-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Limitación de los privilegios para realizar cambios en el entorno de producción CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0215.09j2Organizational.8-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0215.09j2Organizational.8-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0216.09j2Organizational.9-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0216.09j2Organizational.9-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0

0217.09j2Organizational.10-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0217.09j2Organizational.10-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de los eventos de protección contra vulnerabilidades de seguridad CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0219.09j2Organizational.12-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0219.09j2Organizational.12-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0225.09k1Organizational.1-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0225.09k1Organizational.1-09.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control del uso de tecnologías de código móvil CMA_C1653: Autorizar, supervisar y controlar el uso de tecnologías de código móvil Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Definición de las tecnologías de código móvil aceptables e inaceptables CMA_C1651: Definir las tecnologías de código móvil aceptables e inaceptables Manual, Deshabilitado 1.1.0
Establecimiento de restricciones de uso para las tecnologías de código móvil CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0226.09k1Organizational.2-09.j 09.04 Protección contra código malintencionado y móvil

ID: 0226.09k1Organizational.2-09.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control del uso de tecnologías de código móvil CMA_C1653: Autorizar, supervisar y controlar el uso de tecnologías de código móvil Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Definición de las tecnologías de código móvil aceptables e inaceptables CMA_C1651: Definir las tecnologías de código móvil aceptables e inaceptables Manual, Deshabilitado 1.1.0
Establecimiento de restricciones de uso para las tecnologías de código móvil CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0227.09k2Organizational.12-09.k 09.04 Protección contra código malintencionado y móvil

ID: 0227.09k2Organizational.12-09.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Autorización, supervisión y control del uso de tecnologías de código móvil CMA_C1653: Autorizar, supervisar y controlar el uso de tecnologías de código móvil Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Definición de las tecnologías de código móvil aceptables e inaceptables CMA_C1651: Definir las tecnologías de código móvil aceptables e inaceptables Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Establecimiento de restricciones de uso para las tecnologías de código móvil CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0228.09k2Organizational.3-09.k 09.04 Protección contra código malintencionado y móvil

ID: 0228.09k2Organizational.3-09.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización del proceso para resaltar las propuestas de cambio no vistas CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

03 Seguridad de elementos multimedia portables

0301.09o1Organizational.123-09.q 09.07 Control de elementos multimedia

ID: 0301.09o1Organizational.123-09.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección de elementos multimedia CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia Manual, Deshabilitado 1.1.0
El cifrado de datos transparente en bases de datos SQL debe estar habilitado El cifrado de datos transparente debe estar habilitado para proteger los datos en reposo y satisfacer los requisitos de cumplimiento. AuditIfNotExists, Disabled 2.0.0

0302.09o2Organizational.1-09.q 09.07 Control de elementos multimedia

ID: 0302.09o2Organizational.1-09.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben cifrar los discos temporales, las cachés y los flujos de datos entre los recursos de Proceso y Almacenamiento De manera predeterminada, los discos del sistema operativo y de datos de una máquina virtual se cifran en reposo mediante claves administradas por la plataforma. Los discos temporales, las memorias caché de datos y los datos que fluyen entre el proceso y el almacenamiento no se cifran. Ignore esta recomendación si: 1. Se utiliza el cifrado en el host, o 2. El cifrado del lado servidor en Managed Disks cumple sus requisitos de seguridad. Obtenga más información en: Cifrado del lado servidor de Azure Disk Storage: https://aka.ms/disksse, Diferentes ofertas de cifrado de disco: https://aka.ms/diskencryptioncomparison AuditIfNotExists, Disabled 2.0.3

0303.09o2Organizational.2-09.q 09.07 Control de elementos multimedia

ID: 0303.09o2Organizational.2-09.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0

0304.09o3Organizational.1-09.q 09.07 Control de elementos multimedia

ID: 0304.09o3Organizational.1-09.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Requerir cifrado en cuentas de Data Lake Store. Esta directiva garantiza que el cifrado está habilitado en todas las cuentas de Data Lake Store. deny 1.0.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0
Las instancias administradas de SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.0
Los servidores SQL deben usar claves administradas por el cliente para cifrar los datos en reposo La implementación de Cifrado de datos transparente (TDE) con una clave propia proporciona una mayor transparencia y control sobre el protector de TDE, ofrece mayor seguridad con un servicio externo respaldado con HSM y permite la separación de tareas. Esta recomendación se aplica a las organizaciones con un requisito de cumplimiento relacionado. Audit, Deny, Disabled 2.0.1

0305.09q1Organizational.12-09.q 09.07 Control de elementos multimedia

ID: 0305.09q1Organizational.12-09.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0

0306.09q1Organizational.3-09.q 09.07 Control de elementos multimedia

ID: 0306.09q1Organizational.3-09.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las decisiones de uso compartido de la información CMA_0028: Automatizar las decisiones de uso compartido de la información Manual, Deshabilitado 1.1.0
Garantía de que los usuarios autorizados protejan los autenticadores proporcionados CMA_C1339: Garantizar que los usuarios autorizados protejan los autenticadores proporcionados Manual, Deshabilitado 1.1.0
Garantía de que no haya autenticadores estáticos sin cifrar CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar Manual, Deshabilitado 1.1.0
Facilitación del uso compartido de la información CMA_0284 - Facilitar el uso compartido de la información Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0

0307.09q2Organizational.12-09.q 09.07 Control de elementos multimedia

ID: 0307.09q2Organizational.12-09.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0

0308.09q3Organizational.1-09.q 09.07 Control de elementos multimedia

ID: 0308.09q3Organizational.1-09.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0

0314.09q3Organizational.2-09.q 09.07 Control de elementos multimedia

ID: 0314.09q3Organizational.2-09.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0

04 Seguridad de dispositivos móviles

0401.01x1System.124579-01.x 01.07 Informática móvil y teletrabajo

ID: 0401.01x1System.124579-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control del uso de tecnologías de código móvil CMA_C1653: Autorizar, supervisar y controlar el uso de tecnologías de código móvil Manual, Deshabilitado 1.1.0
Definición de las tecnologías de código móvil aceptables e inaceptables CMA_C1651: Definir las tecnologías de código móvil aceptables e inaceptables Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Establecimiento de restricciones de uso para las tecnologías de código móvil CMA_C1652: Establecer restricciones de uso para las tecnologías de código móvil Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Prohibición de la activación remota de dispositivos informáticos de colaboración CMA_C1648: Prohibir la activación remota de dispositivos informáticos de colaboración Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0403.01x1System.8-01.x 01.07 Informática móvil y teletrabajo

ID: 0403.01x1System.8-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0405.01y1Organizational.12345678-01.y 01.07 Informática móvil y teletrabajo

ID: 0405.01y1Organizational.12345678-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0

0407.01y2Organizational.1-01.y 01.07 Informática móvil y teletrabajo

ID: 0407.01y2Organizational.1-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0

0408.01y3Organizational.12-01.y 01.07 Informática móvil y teletrabajo

ID: 0408.01y3Organizational.12-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0

0409.01y3Organizational.3-01.y 01.07 Informática móvil y teletrabajo

ID: 0409.01y3Organizational.3-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0

0410.01x1System.12-01.xMobileComputingandCommunications 01.07 Informática móvil y teletrabajo

ID: 0410.01x1System.12-01.xMobileComputingandCommunications Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0415.01y1Organizational.10-01.y 01.07 Informática móvil y teletrabajo

ID: 0415.01y1Organizational.10-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0

0416.01y3Organizational.4-01.y 01.07 Informática móvil y teletrabajo

ID: 0416.01y3Organizational.4-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0417.01y3Organizational.5-01.y 01.07 Informática móvil y teletrabajo

ID: 0417.01y3Organizational.5-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0

0425.01x1System.13-01.x 01.07 Informática móvil y teletrabajo

ID: 0425.01x1System.13-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0

0426.01x2System.1-01.x 01.07 Informática móvil y teletrabajo

ID: 0426.01x2System.1-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0427.01x2System.2-01.x 01.07 Informática móvil y teletrabajo

ID: 0427.01x2System.2-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0428.01x2System.3-01.x 01.07 Informática móvil y teletrabajo

ID: 0428.01x2System.3-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0

0429.01x1System.14-01.x 01.07 Informática móvil y teletrabajo

ID: 0429.01x1System.14-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Definición de requisitos de los dispositivos móviles CMA_0122: Definir requisitos de los dispositivos móviles Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0

No se permite el acceso a la información y a los sistemas de la organización por parte de entidades externas hasta que se haya llevado a cabo la diligencia debida, se hayan implementado los controles adecuados, y se haya firmado un contrato o un acuerdo que refleje los requisitos de seguridad, con el fin de reconocer y aceptar sus obligaciones.

Identificador: 1401.05i1Organizational.1239 - 05.i Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0

Las conexiones de acceso remoto entre la organización y las entidades externas se cifran.

Identificador: 1402.05i1Organizational.45 - 05.i Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0

El acceso concedido a entidades externas se limita al mínimo necesario y únicamente se concede por el tiempo necesario.

Identificador: 1403.05i1Organizational.67 - 05.i Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0

Identificador: 1418.05i1Organizational.8 - 05.i Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1

05 Seguridad inalámbrica

0504.09m2Organizational.5-09.m 09.06 Administración de seguridad de red

ID: 0504.09m2Organizational.5-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0

0505.09m2Organizational.3-09.m 09.06 Administración de seguridad de red

ID: 0505.09m2Organizational.3-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Definición de los requisitos para administrar recursos CMA_0125: Definir los requisitos para administrar recursos Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0

06 Administración de la configuración

0601.06g1Organizational.124-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 0601.06g1Organizational.124-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Actualizar elementos poA&M CMA_C1157 - Actualizar elementos poA&M Manual, Deshabilitado 1.1.0

0602.06g1Organizational.3-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 0602.06g1Organizational.3-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Actualizar elementos poA&M CMA_C1157 - Actualizar elementos poA&M Manual, Deshabilitado 1.1.0

0603.06g2Organizational.1-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 0603.06g2Organizational.1-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0604.06g2Organizational.2-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 0604.06g2Organizational.2-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Análisis de los datos obtenidos de la supervisión continua CMA_C1169: Analizar los datos obtenidos de la supervisión continua Manual, Deshabilitado 1.1.0
Configuración de la lista de permitidos para la detección CMA_0068: Configurar la lista de permitidos para la detección Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Contratación de evaluadores independientes para que hagan una supervisión continua CMA_C1168: Contratar a evaluadores independientes para que hagan una supervisión continua Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

0605.10h1System.12-10.h 10.04 Seguridad de archivos del sistema

ID: 0605.10h1System.12-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Limitación de los privilegios para realizar cambios en el entorno de producción CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción Manual, Deshabilitado 1.1.0
Revisión y reevaluación de los privilegios CMA_C1207: Revisar y reevaluar los privilegios Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Auditoría" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Auditar" para aplicar la subcategoría de la directiva de auditoría y apagar si no es posible registrar las auditorías de seguridad. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Administración de cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Administración de cuentas" para auditar la aplicación, la seguridad y la administración de grupos de usuarios, así como otros eventos de administración. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0613.06h1Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico

ID: 0613.06h1Organizational.12-06.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

0614.06h2Organizational.12-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico

ID: 0614.06h2Organizational.12-06.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0

0615.06h2Organizational.3-06.h 06.02 Cumplimiento de directivas y estándares de seguridad, y cumplimiento técnico

ID: 0615.06h2Organizational.3-06.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0

0618.09b1System.1-09.b 09.01 Procedimientos operativos documentados

ID: 0618.09b1System.1-09.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la solicitud de aprobación para los cambios propuestos CMA_C1192: Automatizar la solicitud de aprobación para los cambios propuestos Manual, Deshabilitado 1.1.0
Automatización de la implementación de notificaciones de cambio aprobadas CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0
Conservación de las versiones anteriores de las configuraciones de línea base CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0626.10h1System.3-10.h 10.04 Seguridad de archivos del sistema

ID: 0626.10h1System.3-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0627.10h1System.45-10.h 10.04 Seguridad de archivos del sistema

ID: 0627.10h1System.45-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Garantía de que no se necesitan protecciones de seguridad cuando las personas regresen CMA_C1183: Asegurarse de que no se necesitan protecciones de seguridad cuando las personas regresen Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Denegación de que los sistemas de información acompañen a las personas CMA_C1182: No permitir que los sistemas de información acompañen a las personas Manual, Deshabilitado 1.1.0
Conservación de las versiones anteriores de las configuraciones de línea base CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0628.10h1System.6-10.h 10.04 Seguridad de archivos del sistema

ID: 0628.10h1System.6-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

0635.10k1Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0635.10k1Organizational.12-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisión del proceso de desarrollo, los estándares y las herramientas CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0636.10k2Organizational.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0636.10k2Organizational.1-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de la protección del plan de configuración CMA_C1233: Crear la protección del plan de configuración Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de administración de configuración CMA_C1175: Revisar y actualizar las directivas y procedimientos de administración de configuración Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0637.10k2Organizational.2-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0637.10k2Organizational.2-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de la protección del plan de configuración CMA_C1233: Crear la protección del plan de configuración Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0638.10k2Organizational.34569-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0638.10k2Organizational.34569-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la implementación de notificaciones de cambio aprobadas CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas Manual, Deshabilitado 1.1.0
Automatización del proceso para documentar los cambios implementados CMA_C1195: Automatizar el proceso para documentar los cambios implementados Manual, Deshabilitado 1.1.0
Automatización del proceso para resaltar las propuestas de cambio no vistas CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas Manual, Deshabilitado 1.1.0
Automatización del proceso para prohibir la implementación de cambios no aprobados CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados Manual, Deshabilitado 1.1.0
Automatización de los cambios documentados propuestos CMA_C1191: Automatizar los cambios documentados propuestos Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0639.10k2Organizational.78-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0639.10k2Organizational.78-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0640.10k2Organizational.1012-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0640.10k2Organizational.1012-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0641.10k2Organizational.11-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0641.10k2Organizational.11-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Revisión del proceso de desarrollo, los estándares y las herramientas CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0642.10k3Organizational.12-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0642.10k3Organizational.12-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0643.10k3Organizational.3-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0643.10k3Organizational.3-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Conservación de las versiones anteriores de las configuraciones de línea base CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0644.10k3Organizational.4-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0644.10k3Organizational.4-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Directivas de auditoría del sistema - Seguimiento detallado" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Directivas de auditoría del sistema - Seguimiento detallado" para auditar la API de protección de datos, la creación o terminación de procesos, los eventos de RPC y la actividad PNP. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0662.09sCSPOrganizational.2-09.s 09.08 Intercambio de información

ID: 0662.09sCSPOrganizational.2-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0

0663.10h1System.7-10.h 10.04 Seguridad de archivos del sistema

ID: 0663.10h1System.7-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0669.10hCSPSystem.1-10.h 10.04 Seguridad de archivos del sistema

ID: 0669.10hCSPSystem.1-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0

0670.10hCSPSystem.2-10.h 10.04 Seguridad de archivos del sistema

ID: 0670.10hCSPSystem.2-10.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

0671.10k1System.1-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0671.10k1System.1-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Automatización de la implementación de notificaciones de cambio aprobadas CMA_C1196: Automatizar la implementación de notificaciones de cambio aprobadas Manual, Deshabilitado 1.1.0
Automatización del proceso para resaltar las propuestas de cambio no vistas CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas Manual, Deshabilitado 1.1.0
Automatización del proceso para prohibir la implementación de cambios no aprobados CMA_C1194: Automatizar el proceso para prohibir la implementación de cambios no aprobados Manual, Deshabilitado 1.1.0
Automatización de los cambios documentados propuestos CMA_C1191: Automatizar los cambios documentados propuestos Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores implementen solo los cambios aprobados CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0

0672.10k3System.5-10.k 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 0672.10k3System.5-10.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Prohibición de código ejecutable binario o máquina CMA_C1717: Prohibir código ejecutable binario o máquina Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

068.06g2Organizational.34-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 068.06g2Organizational.34-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Contratación de evaluadores independientes para que hagan una supervisión continua CMA_C1168: Contratar a evaluadores independientes para que hagan una supervisión continua Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0

069.06g2Organizational.56-06.g 06.02 Cumplimiento con directivas y estándares de seguridad, y cumplimiento técnico

ID: 069.06g2Organizational.56-06.g Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Configuración de la lista de permitidos para la detección CMA_0068: Configurar la lista de permitidos para la detección Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

07 Administración de vulnerabilidades

0701.07a1Organizational.12-07.a 07.01 Responsabilidad de recursos

ID: 0701.07a1Organizational.12-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

0702.07a1Organizational.3-07.a 07.01 Responsabilidad de recursos

ID: 0702.07a1Organizational.3-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0

0703.07a2Organizational.1-07.a 07.01 Responsabilidad de recursos

ID: 0703.07a2Organizational.1-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0

0704.07a3Organizational.12-07.a 07.01 Responsabilidad de recursos

ID: 0704.07a3Organizational.12-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0

0705.07a3Organizational.3-07.a 07.01 Responsabilidad de recursos

ID: 0705.07a3Organizational.3-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0

0706.10b1System.12-10.b 10.02 Procesamiento correcto en aplicaciones

ID: 0706.10b1System.12-10.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0
Realización de la validación de la entrada de información CMA_C1723: Realizar la validación de la entrada de información Manual, Deshabilitado 1.1.0

0708.10b2System.2-10.b 10.02 Procesamiento correcto en aplicaciones

ID: 0708.10b2System.2-10.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de integridad de la información CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

0709.10m1Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0709.10m1Organizational.1-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.1.0
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1
La evaluación de vulnerabilidades debe estar activada en sus servidores de SQL Server Auditoría de los servidores Azure SQL que no tienen configurada correctamente la evaluación de vulnerabilidades. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 3.0.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Servidor de red Microsoft" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Servidor de red Microsoft" para deshabilitar el servidor SMB v1. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0710.10m2Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0710.10m2Organizational.1-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1

0711.10m2Organizational.23-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0711.10m2Organizational.23-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0

0712.10m2Organizational.4-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0712.10m2Organizational.4-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Empleo de un equipo independiente para pruebas de penetración CMA_C1171: Emplear un equipo independiente para pruebas de penetración Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0

0713.10m2Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0713.10m2Organizational.5-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la corrección de errores CMA_0027: Automatizar la corrección de errores Manual, Deshabilitado 1.1.0
Establecimiento de puntos de referencia para la corrección de errores CMA_C1675: Establecer puntos de referencia para la corrección de errores Manual, Deshabilitado 1.1.0
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0
Medición del tiempo entre la identificación y la corrección de errores CMA_C1674: Medir el tiempo entre la identificación y la corrección de errores Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0

0714.10m2Organizational.7-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0714.10m2Organizational.7-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de los eventos de protección contra vulnerabilidades de seguridad CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

0715.10m2Organizational.8-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0715.10m2Organizational.8-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0

0716.10m3Organizational.1-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0716.10m3Organizational.1-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Las bases de datos SQL deben tener resueltos los hallazgos de vulnerabilidades. Permite supervisar los resultados del examen de evaluación de puntos vulnerables y las recomendaciones para solucionar los de las bases de datos. AuditIfNotExists, Disabled 4.1.0

0717.10m3Organizational.2-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0717.10m3Organizational.2-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

0718.10m3Organizational.34-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0718.10m3Organizational.34-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la corrección de errores CMA_0027: Automatizar la corrección de errores Manual, Deshabilitado 1.1.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0

0719.10m3Organizational.5-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0719.10m3Organizational.5-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
La evaluación de vulnerabilidades debe estar habilitada en Instancia administrada de SQL Audita cada servicio SQL Managed Instance que no tiene habilitado los exámenes de evaluación de vulnerabilidades periódicos. La evaluación de vulnerabilidades permite detectar las vulnerabilidades potenciales de la base de datos, así como hacer un seguimiento y ayudar a corregirlas. AuditIfNotExists, Disabled 1.0.1

0720.07a1Organizational.4-07.a 07.01 Responsabilidad de recursos

ID: 0720.07a1Organizational.4-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0

0722.07a1Organizational.67-07.a 07.01 Responsabilidad de recursos

ID: 0722.07a1Organizational.67-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Requerir el cumplimiento de los derechos de propiedad intelectual CMA_0432: Requerir el cumplimiento de los derechos de propiedad intelectual Manual, Deshabilitado 1.1.0
Restricción del uso de software de código abierto CMA_C1237 - Restringir el uso de software de código abierto Manual, Deshabilitado 1.1.0
Seguimiento del uso de licencias de software CMA_C1235: Realizar un seguimiento del uso de licencias de software Manual, Deshabilitado 1.1.0

0723.07a1Organizational.8-07.a 07.01 Responsabilidad de recursos

ID: 0723.07a1Organizational.8-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de protección de elementos multimedia CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia Manual, Deshabilitado 1.1.0

0724.07a3Organizational.4-07.a 07.01 Responsabilidad de recursos

ID: 0724.07a3Organizational.4-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Habilitación de la detección de dispositivos de red CMA_0220: Habilitar la detección de dispositivos de red Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0

0725.07a3Organizational.5-07.a 07.01 Responsabilidad de recursos

ID: 0725.07a3Organizational.5-07.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0

0733.10b2System.4-10.b 10.02 Procesamiento correcto en aplicaciones

ID: 0733.10b2System.4-10.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de la validación de la entrada de información CMA_C1723: Realizar la validación de la entrada de información Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

0786.10m2Organizational.13-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0786.10m2Organizational.13-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0

0787.10m2Organizational.14-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0787.10m2Organizational.14-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la corrección de errores CMA_0027: Automatizar la corrección de errores Manual, Deshabilitado 1.1.0
Establecimiento de puntos de referencia para la corrección de errores CMA_C1675: Establecer puntos de referencia para la corrección de errores Manual, Deshabilitado 1.1.0
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0
Medición del tiempo entre la identificación y la corrección de errores CMA_C1674: Medir el tiempo entre la identificación y la corrección de errores Manual, Deshabilitado 1.1.0

0788.10m3Organizational.20-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0788.10m3Organizational.20-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Empleo de un equipo independiente para pruebas de penetración CMA_C1171: Emplear un equipo independiente para pruebas de penetración Manual, Deshabilitado 1.1.0

0790.10m3Organizational.22-10.m 10.06 Administración de vulnerabilidades técnicas

ID: 0790.10m3Organizational.22-10.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de los eventos de protección contra vulnerabilidades de seguridad CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0

0791.10b2Organizational.4-10.b 10.02 Procesamiento correcto en aplicaciones

ID: 0791.10b2Organizational.4-10.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores implementen solo los cambios aprobados CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

Protección de red

0805.01m1Organizational.12-01.m 01.04 Control de acceso a redes

ID: 0805.01m1Organizational.12-01.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. deny 1.0.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0806.01m2Organizational.12356-01.m 01.04 Control de acceso a redes

ID: 0806.01m2Organizational.12356-01.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. deny 1.0.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad CMA_C1636: Aislar sistemas SecurID, sistemas de administración de incidentes de seguridad Manual, Deshabilitado 1.1.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0808.10b2System.3-10.b 10.02 Procesamiento correcto en aplicaciones

ID: 0808.10b2System.3-10.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0

0809.01n2Organizational.1234-01.n 01.04 Control de acceso a redes

ID: 0809.01n2Organizational.1234-01.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0810.01n2Organizational.5-01.n 01.04 Control de acceso a redes

ID: 0810.01n2Organizational.5-01.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Producir, controlar y distribuir claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

08101.09m2Organizational.14-09.m 09.06 Administración de seguridad de red

ID: 08101.09m2Organizational.14-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

08102.09nCSPOrganizational.1-09.n 09.06 Administración de seguridad de red

ID: 08102.09nCSPOrganizational.1-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0811.01n2Organizational.6-01.n 01.04 Control de acceso a redes

ID: 0811.01n2Organizational.6-01.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Determinación de las necesidades de protección de la información CMA_C1750: Determinar las necesidades de protección de la información Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0812.01n2Organizational.8-01.n 01.04 Control de acceso a redes

ID: 0812.01n2Organizational.8-01.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Impedir tunelización dividida para dispositivos remotos CMA_C1632: Impedir la tunelización dividida para dispositivos remotos Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0814.01n1Organizational.12-01.n 01.04 Control de acceso a redes

ID: 0814.01n1Organizational.12-01.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

0815.01o2Organizational.123-01.o 01.04 Control de acceso a redes

ID: 0815.01o2Organizational.123-01.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

0816.01w1System.1-01.w 01.06 Control de acceso a aplicaciones e información

ID: 0816.01w1System.1-01.w Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Distribución de la documentación del sistema de información CMA_C1584: Distribuir la documentación del sistema de información Manual, Deshabilitado 1.1.0
Acciones definidas del cliente del documento CMA_C1582: Acciones definidas del cliente del documento Manual, Deshabilitado 1.1.0
Obtención de documentación para administradores CMA_C1580: Obtener documentación para administradores Manual, Deshabilitado 1.1.0
Obtención de la documentación de la función de seguridad del usuario CMA_C1581: Obtener la documentación de la función de seguridad del usuario Manual, Deshabilitado 1.1.0
Protección de la documentación del administrador y del usuario CMA_C1583: Proteger la documentación del administrador y del usuario Manual, Deshabilitado 1.1.0

0817.01w2System.123-01.w 01.06 Control de acceso a aplicaciones e información

ID: 0817.01w2System.123-01.w Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Garantía de que el sistema pueda aislar dinámicamente los recursos CMA_C1638: Garantizar que el sistema pueda aislar dinámicamente los recursos Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad CMA_C1636: Aislar sistemas SecurID, sistemas de administración de incidentes de seguridad Manual, Deshabilitado 1.1.0
Mantenimiento de dominios de ejecución independientes para los procesos en ejecución CMA_C1665: Mantener dominios de ejecución independientes para los procesos en ejecución Manual, Deshabilitado 1.1.0
Separación de la función de administración de usuarios y de sistemas de información CMA_0493: Separar la función de administración de usuarios y de sistemas de información Manual, Deshabilitado 1.1.0
Uso de máquinas dedicadas a tareas administrativas CMA_0527: Usar máquinas dedicadas a tareas administrativas Manual, Deshabilitado 1.1.0

0818.01w3System.12-01.w 01.06 Control de acceso a aplicaciones e información

ID: 0818.01w3System.12-01.w Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de la asignación de recursos CMA_0293: Controlar la asignación de recursos Manual, Deshabilitado 1.1.0
Mantenimiento de dominios de ejecución independientes para los procesos en ejecución CMA_C1665: Mantener dominios de ejecución independientes para los procesos en ejecución Manual, Deshabilitado 1.1.0
Administración de la disponibilidad y la capacidad CMA_0356: Administrar la disponibilidad y la capacidad Manual, Deshabilitado 1.1.0
Garantía del compromiso de la dirección CMA_0489: Asegurar el compromiso de la dirección Manual, Deshabilitado 1.1.0

0819.09m1Organizational.23-09.m 09.06 Administración de seguridad de red

ID: 0819.09m1Organizational.23-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0821.09m2Organizational.2-09.m 09.06 Administración de seguridad de red

ID: 0821.09m2Organizational.2-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Creación de la protección del plan de configuración CMA_C1233: Crear la protección del plan de configuración Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Revisión de los cambios en busca de cambios no autorizados CMA_C1204: Revisar los cambios en busca de cambios no autorizados Manual, Deshabilitado 1.1.0

0822.09m2Organizational.4-09.m 09.06 Administración de seguridad de red

ID: 0822.09m2Organizational.4-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

0824.09m3Organizational.1-09.m 09.06 Administración de seguridad de red

ID: 0824.09m3Organizational.1-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Configuración de la lista de permitidos para la detección CMA_0068: Configurar la lista de permitidos para la detección Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

0825.09m3Organizational.23-09.m 09.06 Administración de seguridad de red

ID: 0825.09m3Organizational.23-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Obtención de opinión legal sobre la supervisión de las actividades del sistema CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema Manual, Deshabilitado 1.1.0
Ofrecimiento de información de supervisión según sea necesario CMA_C1689: Proporcionar información de supervisión según sea necesario Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

0826.09m3Organizational.45-09.m 09.06 Administración de seguridad de red

ID: 0826.09m3Organizational.45-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0828.09m3Organizational.8-09.m 09.06 Administración de seguridad de red

ID: 0828.09m3Organizational.8-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión de los cambios en busca de cambios no autorizados CMA_C1204: Revisar los cambios en busca de cambios no autorizados Manual, Deshabilitado 1.1.0

0829.09m3Organizational.911-09.m 09.06 Administración de seguridad de red

ID: 0829.09m3Organizational.911-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0

0830.09m3Organizational.1012-09.m 09.06 Administración de seguridad de red

ID: 0830.09m3Organizational.1012-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

0832.09m3Organizational.14-09.m 09.06 Administración de seguridad de red

ID: 0832.09m3Organizational.14-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de un servicio de nombre o dirección tolerante a errores CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0835.09n1Organizational.1-09.n 09.06 Administración de seguridad de red

ID: 0835.09n1Organizational.1-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Configuración de la lista de permitidos para la detección CMA_0068: Configurar la lista de permitidos para la detección Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Se deben migrar las máquinas virtuales a nuevos recursos de Azure Resource Manager Use el nuevo Azure Resource Manager para las máquinas virtuales a fin de proporcionar mejoras de seguridad como las siguientes: mayor control de acceso (RBAC), mejor auditoría, gobernanza e implementación basados en Azure Resource Manager, acceso a identidades administradas, acceso a secretos de Key Vault, autenticación basada en Azure AD y compatibilidad con etiquetas y grupos de recursos para facilitar la administración de seguridad. Audit, Deny, Disabled 1.0.0

0836.09.n2Organizational.1-09.n 09.06 Administración de seguridad de red

ID: 0836.09.n2Organizational.1-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0837.09.n2Organizational.2-09.n 09.06 Administración de seguridad de red

ID: 0837.09.n2Organizational.2-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0850.01o1Organizational.12-01.o 01.04 Control de acceso a redes

ID: 0850.01o1Organizational.12-01.o Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0

0858.09m1Organizational.4-09.m 09.06 Administración de seguridad de red

ID: 0858.09m1Organizational.4-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Propiedades de Firewall de Windows" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Propiedades de Firewall de Windows" para el estado del firewall, las conexiones, la administración de reglas y las notificaciones. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0859.09m1Organizational.78-09.m 09.06 Administración de seguridad de red

ID: 0859.09m1Organizational.78-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las recomendaciones de protección de red adaptable se deben aplicar en las máquinas virtuales accesibles desde Internet Azure Security Center analiza los patrones de tráfico de máquinas virtuales orientadas a Internet y proporciona recomendaciones de reglas de grupo de seguridad de red que reducen la superficie de ataque potencial. AuditIfNotExists, Disabled 3.0.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

0860.09m1Organizational.9-09.m 09.06 Administración de seguridad de red

ID: 0860.09m1Organizational.9-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementar la configuración de diagnóstico para grupos de seguridad de red Esta directiva implementa automáticamente la configuración de diagnóstico en los grupos de seguridad de red. Se creará automáticamente una cuenta de almacenamiento con el nombre "{ParámetroPrefijoAlmacenamiento}{UbicaciónDeNSG}". deployIfNotExists 2.0.1
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0

0861.09m2Organizational.67-09.m 09.06 Administración de seguridad de red

ID: 0861.09m2Organizational.67-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Identificación y autenticación de usuarios que no son de la organización CMA_C1346: Identificar y autenticar usuarios que no son de la organización Manual, Deshabilitado 1.1.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Acceso a la red" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Acceso a la red" para incluir el acceso de usuarios anónimos, cuentas locales y acceso remoto al Registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

0862.09m2Organizational.8-09.m 09.06 Administración de seguridad de red

ID: 0862.09m2Organizational.8-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0

0863.09m2Organizational.910-09.m 09.06 Administración de seguridad de red

ID: 0863.09m2Organizational.910-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0

0864.09m2Organizational.12-09.m 09.06 Administración de seguridad de red

ID: 0864.09m2Organizational.12-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Establecimiento de las restricciones de uso de VoIP CMA_0280: Establecer las restricciones de uso de VoIP Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0865.09m2Organizational.13-09.m 09.06 Administración de seguridad de red

ID: 0865.09m2Organizational.13-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas Manual, Deshabilitado 1.1.0
Uso de restricciones en las interconexiones del sistema externo CMA_C1155: Usar restricciones en las interconexiones del sistema externo Manual, Deshabilitado 1.1.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Requerir acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0866.09m3Organizational.1516-09.m 09.06 Administración de seguridad de red

ID: 0866.09m3Organizational.1516-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1

0868.09m3Organizational.18-09.m 09.06 Administración de seguridad de red

ID: 0868.09m3Organizational.18-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0869.09m3Organizational.19-09.m 09.06 Administración de seguridad de red

ID: 0869.09m3Organizational.19-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Creación de la protección del plan de configuración CMA_C1233: Crear la protección del plan de configuración Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de un plan de identificación de elementos de configuración CMA_C1231: Desarrollar un plan de identificación de elementos de configuración Manual, Deshabilitado 1.1.0
Desarrollo de un plan de administración de configuración CMA_C1232: Desarrollar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0

0870.09m3Organizational.20-09.m 09.06 Administración de seguridad de red

ID: 0870.09m3Organizational.20-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de usuarios que no son de la organización CMA_C1346: Identificar y autenticar usuarios que no son de la organización Manual, Deshabilitado 1.1.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

0871.09m3Organizational.22-09.m 09.06 Administración de seguridad de red

ID: 0871.09m3Organizational.22-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Implementación de un servicio de nombre o dirección tolerante a errores CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores Manual, Deshabilitado 1.1.0
Ofrecimiento de servicios seguros para resolver nombres y direcciones CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

0885.09n2Organizational.3-09.n 09.06 Administración de seguridad de red

ID: 0885.09n2Organizational.3-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

0886.09n2Organizational.4-09.n 09.06 Administración de seguridad de red

ID: 0886.09n2Organizational.4-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de restricciones en las interconexiones del sistema externo CMA_C1155: Usar restricciones en las interconexiones del sistema externo Manual, Deshabilitado 1.1.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0

0887.09n2Organizational.5-09.n 09.06 Administración de seguridad de red

ID: 0887.09n2Organizational.5-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC CMA_C1578: Requerir al desarrollador que identifique los puertos, protocolos y servicios SDLC Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0888.09n2Organizational.6-09.n 09.06 Administración de seguridad de red

ID: 0888.09n2Organizational.6-09.n Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

0894.01m2Organizational.7-01.m 01.04 Control de acceso a redes

ID: 0894.01m2Organizational.7-01.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Container Registry debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Container Registry no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0-preview
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Cosmos DB debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Cosmos DB no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Implementar Network Watcher al crear redes virtuales. Esta directiva crea un recurso de Network Watcher en las regiones con redes virtuales. Debe asegurarse de la existencia de un grupo de recursos denominado networkWatcherRG, que se usará para implementar las instancias de Network Watcher. DeployIfNotExists 1.0.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
El centro de eventos debe usar un punto de conexión del servicio de red virtual Esta directiva audita todo centro de eventos no configurado para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las subredes de la puerta de enlace no se deben configurar con un grupo de seguridad de red Esta directiva deniega el acceso si una subred de puerta de enlace está configurada con un grupo de seguridad de red. La asignación de un grupo de seguridad de red a una subred de puerta de enlace hará que la puerta de enlace deje de funcionar. deny 1.0.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Enrutamiento del tráfico mediante la red proxy autenticada CMA_C1633: Enrutar el tráfico mediante la red proxy autenticada Manual, Deshabilitado 1.1.0
SQL Server debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de SQL Server no configurada para usar un punto de conexión del servicio de red virtual. AuditIfNotExists, Disabled 1.0.0
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales deben estar conectadas a una red virtual aprobada Esta directiva audita cualquier máquina virtual conectada a una red virtual que no esté aprobada. Audit, Deny, Disabled 1.0.0

Copia de seguridad

Los roles y responsabilidades de los miembros del personal en el proceso de copia de seguridad de los datos se identifican y se comunican al personal; en concreto, los usuarios del programa Bring Your Own Device (BYOD) deben realizar copias de seguridad de los datos de clientes o de la organización en sus dispositivos.

Identificador: 1699.09l1Organizational.10 - 09.l Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0

Controles de red

Los puntos de acceso inalámbricos se colocan en áreas seguras y se apagan cuando no se usan (por ejemplo, noches, fines de semana).

Identificador: 0867.09m3Organizational.17 - 09.m Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0

Transacciones en línea

La organización requiere el uso de cifrado entre las partes involucradas en la transacción y el uso de firmas electrónicas por parte de cada una de ellas.

Identificador: 0946.09y2Organizational.14 - 09.y Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0

09 Protección de transmisión

0901.09s1Organizational.1-09.s 09.08 Intercambio de información

ID: 0901.09s1Organizational.1-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Clasificación de la información CMA_0052: Clasificar la información Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Desarrollo de esquemas de clasificación empresarial CMA_0155: Desarrollar esquemas de clasificación empresarial Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Garantía de que se aprueba la categorización de seguridad CMA_C1540: Asegurarse de que se aprueba la categorización de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Realización de la validación de la entrada de información CMA_C1723: Realizar la validación de la entrada de información Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

0902.09s2Organizational.13-09.s 09.08 Intercambio de información

ID: 0902.09s2Organizational.13-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Autorización del acceso remoto a comandos con privilegios CMA_C1064: Autorizar el acceso remoto a comandos con privilegios Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para acceder a los recursos CMA_C1076: Establecer los términos y condiciones para acceder a los recursos Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Ofrecimiento de la opción de desconectar o deshabilitar el acceso remoto CMA_C1066: Proporcionar la opción de desconectar o deshabilitar el acceso remoto Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

0903.10f1Organizational.1-10.f 10.03 Controles criptográficos

ID: 0903.10f1Organizational.1-10.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

0904.10f2Organizational.1-10.f 10.03 Controles criptográficos

ID: 0904.10f2Organizational.1-10.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autenticación para el módulo criptográfico CMA_0021: Autenticar para el módulo criptográfico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas simétricas CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0

0912.09s1Organizational.4-09.s 09.08 Intercambio de información

ID: 0912.09s1Organizational.4-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

0913.09s1Organizational.5-09.s 09.08 Intercambio de información

ID: 0913.09s1Organizational.5-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada. La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

0914.09s1Organizational.6-09.s 09.08 Intercambio de información

ID: 0914.09s1Organizational.6-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de protección del sistema y de las comunicaciones CMA_C1616: Revisar y actualizar directivas y procedimientos de protección del sistema y de las comunicaciones Manual, Deshabilitado 1.1.0

0915.09s2Organizational.2-09.s 09.08 Intercambio de información

ID: 0915.09s2Organizational.2-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. AuditIfNotExists, Disabled 1.0.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para acceder a los recursos CMA_C1076: Establecer los términos y condiciones para acceder a los recursos Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0

0916.09s2Organizational.4-09.s 09.08 Intercambio de información

ID: 0916.09s2Organizational.4-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Notificación explícita del uso de dispositivos informáticos con fines de colaboración CMA_C1649: Notificar explícitamente el uso de dispositivos informáticos con fines de colaboración Manual, Deshabilitado 1.1.1
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Prohibición de la activación remota de dispositivos informáticos de colaboración CMA_C1648: Prohibir la activación remota de dispositivos informáticos de colaboración Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0

0926.09v1Organizational.2-09.v 09.08 Intercambio de información

ID: 0926.09v1Organizational.2-09.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Implementación de un servicio de nombre o dirección tolerante a errores CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Ofrecimiento de servicios seguros para resolver nombres y direcciones CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones Manual, Deshabilitado 1.1.0

0927.09v1Organizational.3-09.v 09.08 Intercambio de información

ID: 0927.09v1Organizational.3-09.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

0928.09v1Organizational.45-09.v 09.08 Intercambio de información

ID: 0928.09v1Organizational.45-09.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0

0929.09v1Organizational.6-09.v 09.08 Intercambio de información

ID: 0929.09v1Organizational.6-09.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementación de un servicio de nombre o dirección tolerante a errores CMA_0305: Implementar un servicio de nombre o dirección tolerante a errores Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Ofrecimiento de servicios seguros para resolver nombres y direcciones CMA_0416: Proporcionar servicios seguros para resolver nombres y direcciones Manual, Deshabilitado 1.1.0

0943.09y1Organizational.1-09.y 09.09 Servicios de comercio electrónico

ID: 0943.09y1Organizational.1-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Documentación del proceso para garantizar la integridad de la información de identificación personal CMA_C1827: Proceso de documento para garantizar la integridad de la información de identificación personal Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0

0944.09y1Organizational.2-09.y 09.09 Servicios de comercio electrónico

ID: 0944.09y1Organizational.2-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0

0945.09y1Organizational.3-09.y 09.09 Servicios de comercio electrónico

ID: 0945.09y1Organizational.3-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que no contengan los certificados especificados en la raíz de confianza Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el almacén de certificados raíz de confianza de la máquina (Cert:\LocalMachine\Root) no contiene uno o varios de los certificados enumerados por el parámetro de directiva. auditIfNotExists 3.0.0
Autenticación para el módulo criptográfico CMA_0021: Autenticar para el módulo criptográfico Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

0947.09y2Organizational.2-09.y 09.09 Servicios de comercio electrónico

ID: 0947.09y2Organizational.2-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de sitios de almacenamiento alternativos y primarios independientes CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario Manual, Deshabilitado 1.1.0
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Restricción de la ubicación de los servicios, el almacenamiento y procesamiento de la información CMA_C1593: Restringir la ubicación de los servicios, el almacenamiento y procesamiento de la información Manual, Deshabilitado 1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0

0948.09y2Organizational.3-09.y 09.09 Servicios de comercio electrónico

ID: 0948.09y2Organizational.3-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Distribución de autenticadores CMA_0184: Distribuir autenticadores Manual, Deshabilitado 1.1.0
Aplicación de identificadores de sesión únicos aleatorios CMA_0247: Aplicar identificadores de sesión únicos aleatorios Manual, Deshabilitado 1.1.0
Exigir una conexión SSL debe estar habilitado en los servidores de bases de datos MySQL Azure Database for MySQL permite conectar el servidor de Azure Database for MySQL con aplicaciones cliente mediante Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Satisfacer los requisitos de calidad del token CMA_0487: Satisfacer los requisitos de calidad del token Manual, Deshabilitado 1.1.0

0949.09y2Organizational.5-09.y 09.09 Servicios de comercio electrónico

ID: 0949.09y2Organizational.5-09.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 4.0.0
Las aplicaciones de App Service deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. Audit, Disabled, Deny 5.0.0
Las aplicaciones de funciones deben usar la última versión de TLS Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. AuditIfNotExists, Disabled 2.0.1
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC CMA_C1578: Requerir al desarrollador que identifique los puertos, protocolos y servicios SDLC Manual, Deshabilitado 1.1.0

0960.09sCSPOrganizational.1-09.s 09.08 Intercambio de información

ID: 0960.09sCSPOrganizational.1-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. AuditIfNotExists, Disabled 2.0.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0

099.09m2Organizational.11-09.m 09.06 Administración de seguridad de red

ID: 099.09m2Organizational.11-09.m Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Control del software operativo

Las aplicaciones y los sistemas operativos se someten a prueba satisfactoriamente en términos de facilidad de uso, seguridad y efecto antes de pasar a producción.

Identificador: 0606.10h2System.1 - 10.h Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las vulnerabilidades en las configuraciones de seguridad de contenedor deben corregirse Audite las vulnerabilidades en la configuración de seguridad de las máquinas con Docker instalado y muéstrelas como recomendaciones en Azure Security Center. AuditIfNotExists, Disabled 3.0.0

La organización utiliza su programa de control de la configuración para mantener bajo control todo el software implementado y la documentación del sistema, y archiva las versiones anteriores del software implementado y la correspondiente documentación del sistema.

Identificador: 0607.10h2System.23 - 10.h Propiedad: Customer

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0
Se deben corregir las vulnerabilidades en la configuración de seguridad de los conjuntos de escalado de máquinas virtuales Audite las vulnerabilidades del sistema operativo en los conjuntos de escalado de máquinas virtuales para protegerlos frente a ataques. AuditIfNotExists, Disabled 3.0.0

10 Administración de contraseñas

1002.01d1System.1-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1002.01d1System.1-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ocultación de información de comentarios durante el proceso de autenticación CMA_C1344: Ocultar información de comentarios durante el proceso de autenticación Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

1003.01d1System.3-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1003.01d1System.3-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1004.01d1System.8913-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1004.01d1System.8913-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Administración de la duración y reutilización del autenticador CMA_0355: Administrar la duración y reutilización del autenticador Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1005.01d1System.1011-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1005.01d1System.1011-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autenticación para el módulo criptográfico CMA_0021: Autenticar para el módulo criptográfico Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas simétricas CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas Manual, Deshabilitado 1.1.0

1006.01d2System.1-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1006.01d2System.1-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Garantía de que no haya autenticadores estáticos sin cifrar CMA_C1340: Garantizar que no haya autenticadores estáticos sin cifrar Manual, Deshabilitado 1.1.0
Generación de mensajes de error CMA_C1724: Generar mensajes de error Manual, Deshabilitado 1.1.0
Identificación y autenticación de usuarios que no son de la organización CMA_C1346: Identificar y autenticar usuarios que no son de la organización Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Ocultación de información de comentarios durante el proceso de autenticación CMA_C1344: Ocultar información de comentarios durante el proceso de autenticación Manual, Deshabilitado 1.1.0

1007.01d2System.2-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1007.01d2System.2-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0

1008.01d2System.3-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1008.01d2System.3-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de los contratos de acceso de la organización CMA_0192: Documentar los contratos de acceso de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Requerimiento a los usuarios de que firmen acuerdos de acceso CMA_0440: Requerir a los usuarios que firmen acuerdos de acceso Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de los contratos de acceso de la organización CMA_0520: Actualizar los contratos de acceso de la organización Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1009.01d2System.4-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1009.01d2System.4-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0

1014.01d1System.12-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1014.01d1System.12-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Administración de la duración y reutilización del autenticador CMA_0355: Administrar la duración y reutilización del autenticador Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1015.01d1System.14-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1015.01d1System.14-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1022.01d1System.15-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1022.01d1System.15-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0

1031.01d1System.34510-01.d 01.02 Acceso autorizado a sistemas de información

ID: 1031.01d1System.34510-01.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Actualización de autenticadores CMA_0425: Actualizar autenticadores Manual, Deshabilitado 1.1.0

11 Control de acceso

1106.01b1System.1-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1106.01b1System.1-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1107.01b1System.2-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1107.01b1System.2-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1108.01b1System.3-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1108.01b1System.3-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0

1109.01b1System.479-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1109.01b1System.479-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Inicio de acciones de transferencia o reasignación CMA_0333: Iniciar acciones de transferencia o reasignación Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Modificación de autorizaciones de acceso tras la transferencia del personal CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Reevaluación del acceso tras la transferencia del personal CMA_0424: Reevaluar el acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1110.01b1System.5-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1110.01b1System.5-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

11109.01q1Organizational.57-01.q 01.05 Control de acceso al sistema operativo

ID: 11109.01q1Organizational.57-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Asignación de identificadores del sistema CMA_0018: Asignar identificadores del sistema Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación del estado de los usuarios individuales CMA_C1316: Identificar el estado de los usuarios individuales Manual, Deshabilitado 1.1.0
Impedimento de la reutilización de identificadores para el periodo de tiempo definido CMA_C1314: Impedir la reutilización de identificadores para el periodo de tiempo definido Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

1111.01b2System.1-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1111.01b2System.1-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0

11111.01q2System.4-01.q 01.05 Control de acceso al sistema operativo

ID: 11111.01q2System.4-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

11112.01q2Organizational.67-01.q 01.05 Control de acceso al sistema operativo

ID: 11112.01q2Organizational.67-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Satisfacer los requisitos de calidad del token CMA_0487: Satisfacer los requisitos de calidad del token Manual, Deshabilitado 1.1.0

1112.01b2System.2-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1112.01b2System.2-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignación de un oficial de autorización (AO) CMA_C1158: Asignar un oficial de autorización (AO) Manual, Deshabilitado 1.1.0
Distribución de autenticadores CMA_0184: Distribuir autenticadores Manual, Deshabilitado 1.1.0
Garantía de que los recursos están autorizados CMA_C1159: Asegurarse de que los recursos están autorizados Manual, Deshabilitado 1.1.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Satisfacer los requisitos de calidad del token CMA_0487: Satisfacer los requisitos de calidad del token Manual, Deshabilitado 1.1.0
Actualización de la autorización de seguridad CMA_C1160: Actualizar la autorización de seguridad Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

11126.01t1Organizational.12-01.q 01.05 Control de acceso al sistema operativo

ID: 11126.01t1Organizational.12-01.t Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autenticación de nuevo o finalización de una sesión de usuario CMA_0421: Volver a autenticar o finalizar una sesión de usuario Manual, Deshabilitado 1.1.0

1114.01h1Organizational.123-01.h 01.03 Responsabilidades del usuario

ID: 1114.01h1Organizational.123-01.h Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y aplicación del límite de sesiones simultáneas CMA_C1050: Definir y aplicar el límite de sesiones simultáneas Manual, Deshabilitado 1.1.0
Finalizar sesión de usuario automáticamente CMA_C1054: Finalizar la sesión de usuario automáticamente Manual, Deshabilitado 1.1.0

11154.02i1Organizational.5-02.i 02.04 Terminación o cambio de empleo

ID: 11154.02i1Organizational.5-02.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Inicio de acciones de transferencia o reasignación CMA_0333: Iniciar acciones de transferencia o reasignación Manual, Deshabilitado 1.1.0
Modificación de autorizaciones de acceso tras la transferencia del personal CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Reevaluación del acceso tras la transferencia del personal CMA_0424: Reevaluar el acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

11155.02i2Organizational.2-02.i 02.04 Terminación o cambio de empleo

ID: 11155.02i2Organizational.2-02.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

1116.01j1Organizational.145-01.j 01.04 Control de acceso a redes

ID: 1116.01j1Organizational.145-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1118.01j2Organizational.124-01.j 01.04 Control de acceso a redes

ID: 1118.01j2Organizational.124-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

11180.01c3System.6-01.c 01.02 Acceso autorizado a sistemas de información

ID: 11180.01c3System.6-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0

1119.01j2Organizational.3-01.j 01.04 Control de acceso a redes

ID: 1119.01j2Organizational.3-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Habilitación de la detección de dispositivos de red CMA_0220: Habilitar la detección de dispositivos de red Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

11190.01t1Organizational.3-01.q 01.05 Control de acceso al sistema operativo

ID: 11190.01t1Organizational.3-01.t Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0

1120.09ab3System.9-09.ab 09.10 Supervisión

ID: 1120.09ab3System.9-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0

1121.01j3Organizational.2-01.j 01.04 Control de acceso a redes

ID: 1121.01j3Organizational.2-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

11219.01b1Organizational.10-01.b 01.02 Acceso autorizado a sistemas de información

ID: 11219.01b1Organizational.10-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1122.01q1System.1-01.q 01.05 Control de acceso al sistema operativo

ID: 1122.01q1System.1-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aceptación de solo credenciales de terceros aprobadas por FICAM CMA_C1348: Aceptar solo credenciales de terceros aprobadas por FICAM Manual, Deshabilitado 1.1.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Conformidad con los perfiles emitidos por FICAM CMA_C1350 - Ajustarse a los perfiles emitidos por FICAM Manual, Deshabilitado 1.1.0
Uso de recursos aprobados por FICAM para aceptar credenciales de terceros CMA_C1349: Usar recursos aprobados por FICAM para aceptar credenciales de terceros Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de usuarios que no son de la organización CMA_C1346: Identificar y autenticar usuarios que no son de la organización Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

11220.01b1System.10-01.b 01.02 Acceso autorizado a sistemas de información

ID: 11220.01b1System.10-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Inicio de acciones de transferencia o reasignación CMA_0333: Iniciar acciones de transferencia o reasignación Manual, Deshabilitado 1.1.0
Administración de autenticadores CMA_C1321: Administrar autenticadores Manual, Deshabilitado 1.1.0
Modificación de autorizaciones de acceso tras la transferencia del personal CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Reevaluación del acceso tras la transferencia del personal CMA_0424: Reevaluar el acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0

1123.01q1System.2-01.q 01.05 Control de acceso al sistema operativo

ID: 1123.01q1System.2-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que tengan cuentas adicionales en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene miembros que no se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

1124.01q1System.34-01.q 01.05 Control de acceso al sistema operativo

ID: 1124.01q1System.34-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0

1125.01q2System.1-01.q 01.05 Control de acceso al sistema operativo

ID: 1125.01q2System.1-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Auditar las máquinas Windows que tengan los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales contiene uno o varios de los miembros enumerados en el parámetro de la directiva. auditIfNotExists 2.0.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

1127.01q2System.3-01.q 01.05 Control de acceso al sistema operativo

ID: 1127.01q2System.3-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que no tengan ninguno de los miembros especificados en el grupo de administradores Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el grupo de administradores locales no contiene uno o más miembros de los que se enumeran en el parámetro de la directiva. auditIfNotExists 2.0.0
Distribución de autenticadores CMA_0184: Distribuir autenticadores Manual, Deshabilitado 1.1.0

1128.01q2System.5-01.q 01.05 Control de acceso al sistema operativo

ID: 1128.01q2System.5-01.q Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0

1129.01v1System.12-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1129.01v1System.12-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1130.01v2System.1-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1130.01v2System.1-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0

1131.01v2System.2-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1131.01v2System.2-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0

1132.01v2System.3-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1132.01v2System.3-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0

1133.01v2System.4-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1133.01v2System.4-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Identificación de las acciones permitidas sin autenticación CMA_0295: Identificar las acciones permitidas sin autenticación Manual, Deshabilitado 1.1.0

1134.01v3System.1-01.v 01.06 Control de acceso a aplicaciones e información

ID: 1134.01v3System.1-01.v Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Limitación de los privilegios para realizar cambios en el entorno de producción CMA_C1206: Limitar los privilegios para realizar cambios en el entorno de producción Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0

1135.02i1Organizational.1234-02.i 02.04 Terminación o cambio de empleo

ID: 1135.02i1Organizational.1234-02.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Inicio de acciones de transferencia o reasignación CMA_0333: Iniciar acciones de transferencia o reasignación Manual, Deshabilitado 1.1.0
Modificación de autorizaciones de acceso tras la transferencia del personal CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Reevaluación del acceso tras la transferencia del personal CMA_0424: Reevaluar el acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0

1136.02i2Organizational.1-02.i 02.04 Terminación o cambio de empleo

ID: 1136.02i2Organizational.1-02.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una entrevista de salida tras la finalización de contrato CMA_0058: Realizar una entrevista de salida tras la finalización de contrato Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Deshabilitación de cuentas de usuario que suponen un riesgo significativo CMA_C1026: Deshabilitar las cuentas de usuario que suponen un riesgo significativo Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Protección e impedimento de los robos de datos de los empleados que se marchan CMA_0398: Protegerse y evitar los robos de datos de los empleados que se marchan Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0

ID: 1137.06e1Organizational.1-06.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1139.01b1System.68-01.b 01.02 Acceso autorizado a sistemas de información

ID: 1139.01b1System.68-01.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Emisión de nuevo de los autenticadores de las cuentas y los grupos modificados CMA_0426: Volver a emitir los autenticadores de las cuentas y los grupos modificados Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0

1143.01c1System.123-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1143.01c1System.123-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0

1144.01c1System.4-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1144.01c1System.4-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

1145.01c2System.1-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1145.01c2System.1-01.c Ownership: Shared

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1146.01c2System.23-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1146.01c2System.23-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Aplicación de los privilegios de ejecución de software CMA_C1041: Aplicar privilegios de ejecución de software Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0

1147.01c2System.456-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1147.01c2System.456-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0

1148.01c2System.78-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1148.01c2System.78-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el uso de roles RBAC personalizados Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.1
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Cuentas" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Cuentas" para limitar el uso de contraseñas en blanco por parte de cuentas locales y el estado de la cuenta de invitado. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

1150.01c2System.10-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1150.01c2System.10-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0

1151.01c3System.1-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1151.01c3System.1-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1152.01c3System.2-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1152.01c3System.2-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1153.01c3System.35-01.c 01.02 Acceso autorizado a sistemas de información

ID: 1153.01c3System.35-01.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.3
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0

1166.01e1System.12-01.e 01.02 Acceso autorizado a sistemas de información

ID: 1166.01e1System.12-01.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Inicio de acciones de transferencia o reasignación CMA_0333: Iniciar acciones de transferencia o reasignación Manual, Deshabilitado 1.1.0
Modificación de autorizaciones de acceso tras la transferencia del personal CMA_0374: Modificar autorizaciones de acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Notificación a los administradores de cuentas controladas por clientes CMA_C1009: Notificar a los administradores de cuentas controladas por clientes Manual, Deshabilitado 1.1.0
Notificación tras la finalización de contrato o transferencia CMA_0381: Notificar tras la finalización de contrato o transferencia Manual, Deshabilitado 1.1.0
Reevaluación del acceso tras la transferencia del personal CMA_0424: Reevaluar el acceso tras la transferencia del personal Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0

1167.01e2System.1-01.e 01.02 Acceso autorizado a sistemas de información

ID: 1167.01e2System.1-01.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Asignación de identificadores del sistema CMA_0018: Asignar identificadores del sistema Manual, Deshabilitado 1.1.0
Identificación del estado de los usuarios individuales CMA_C1316: Identificar el estado de los usuarios individuales Manual, Deshabilitado 1.1.0

1168.01e2System.2-01.e 01.02 Acceso autorizado a sistemas de información

ID: 1168.01e2System.2-01.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0

1175.01j1Organizational.8-01.j 01.04 Control de acceso a redes

ID: 1175.01j1Organizational.8-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

1178.01j2Organizational.7-01.j 01.04 Control de acceso a redes

ID: 1178.01j2Organizational.7-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Requerimiento del uso de autenticadores individuales CMA_C1305: Requerir el uso de autenticadores individuales Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0

1179.01j3Organizational.1-01.j 01.04 Control de acceso a redes

ID: 1179.01j3Organizational.1-01.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0

1192.01l1Organizational.1-01.l 01.04 Control de acceso a redes

ID: 1192.01l1Organizational.1-01.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0

1193.01l2Organizational.13-01.l 01.04 Control de acceso a redes

ID: 1193.01l2Organizational.13-01.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Se deben cerrar los puertos de administración en las máquinas virtuales Los puertos de administración remota abiertos exponen la máquina virtual a un alto nivel de riesgo de recibir ataques basados en Internet. Estos ataques intentan averiguar las credenciales por medio de fuerza bruta a fin de obtener acceso de administrador a la máquina AuditIfNotExists, Disabled 3.0.0

1194.01l2Organizational.2-01.l 01.04 Control de acceso a redes

ID: 1194.01l2Organizational.2-01.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0

1195.01l3Organizational.1-01.l 01.04 Control de acceso a redes

ID: 1195.01l3Organizational.1-01.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de funciones deben tener la depuración remota desactivada La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0

1197.01l3Organizational.3-01.l 01.04 Control de acceso a redes

ID: 1197.01l3Organizational.3-01.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Los controles de aplicaciones adaptables para definir aplicaciones seguras deben estar habilitados en las máquinas Habilite controles de aplicaciones para definir la lista de aplicaciones seguras conocidas que se ejecutan en las máquinas, y recibir avisos cuando se ejecuten otras aplicaciones. Esta directiva también ayuda a proteger las máquinas frente al malware. Para simplificar el proceso de configuración y mantenimiento de las reglas, Security Center usa el aprendizaje automático para analizar las aplicaciones que se ejecutan en cada máquina y sugerir la lista de aplicaciones seguras conocidas. AuditIfNotExists, Disabled 3.0.0

12 Auditoría de registro y supervisión

ID: 1201.06e1Organizational.2-06.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1202.09aa1System.1-09.aa 09.10 Supervisión

ID: 1202.09aa1System.1-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Los registros de recursos de Azure Data Lake Store deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Revisión y actualización de los eventos definidos en AU-02 CMA_C1106: Revisar y actualizar los eventos definidos en AU-02 Manual, Deshabilitado 1.1.0
Se deben instalar las actualizaciones del sistema en los conjuntos de escalado de máquinas virtuales Audite si falta alguna actualización de seguridad del sistema o actualización crítica que deba instalarse para garantizar que los conjuntos de escalado de máquinas virtuales Windows y Linux sean seguros. AuditIfNotExists, Disabled 3.0.0

1203.09aa1System.2-09.aa 09.10 Supervisión

ID: 1203.09aa1System.2-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Los registros de recursos de Logic Apps deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.1.0

1204.09aa1System.3-09.aa 09.10 Supervisión

ID: 1204.09aa1System.3-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Los registros de recursos de IoT Hub deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 3.1.0

1205.09aa2System.1-09.aa 09.10 Supervisión

ID: 1205.09aa2System.1-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Garantía de que no se modifican los registros de auditoría CMA_C1125: Asegurarse de que no se modifican los registros de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de capacidad de revisión, análisis e informes de auditoría CMA_C1124: Proporcionar capacidad de revisión, análisis e informes de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente Manual, Deshabilitado 1.1.0
Los registros de recursos de las cuentas de Batch deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0

1206.09aa2System.23-09.aa 09.10 Supervisión

ID: 1206.09aa2System.23-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Prohibición de código ejecutable binario o máquina CMA_C1717: Prohibir código ejecutable binario o máquina Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

1207.09aa2System.4-09.aa 09.10 Supervisión

ID: 1207.09aa2System.4-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Habilitar la autorización doble o conjunta CMA_0226: Habilitar la autorización doble o conjunta Manual, Deshabilitado 1.1.0
Control y supervisión de las actividades de procesamiento de auditoría CMA_0289: Controlar y supervisar las actividades de procesamiento de auditoría Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Los registros de recursos de Azure Stream Analytics deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de la instancia de Event Hubs deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0

1208.09aa3System.1-09.aa 09.10 Supervisión

ID: 1208.09aa3System.1-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Los registros de recursos de los servicios Search deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Service Bus deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

1209.09aa3System.2-09.aa 09.10 Supervisión

ID: 1209.09aa3System.2-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Las aplicaciones de App Service deben tener activados los registros de recursos Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 2.0.1
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0

1210.09aa3System.3-09.aa 09.10 Supervisión

ID: 1210.09aa3System.3-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Audite la configuración de diagnóstico para los tipos de recursos seleccionados. Asegúrese de seleccionar solo los tipos de recursos que admiten la configuración de diagnóstico. AuditIfNotExists 2.0.1
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Los registros de recursos de Data Lake Analytics deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisión y actualización de los eventos definidos en AU-02 CMA_C1106: Revisar y actualizar los eventos definidos en AU-02 Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Uso de los relojes del sistema para registros de auditoría CMA_0535: Usar los relojes del sistema para los registros de auditoría Manual, Deshabilitado 1.1.0

12100.09ab2System.15-09.ab 09.10 Supervisión

ID: 12100.09ab2System.15-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Detección de cualquier indicador de compromiso CMA_C1702: Descubrir cualquier indicador de compromiso Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben tener la extensión de Log Analytics instalada Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1

12101.09ab1Organizational.3-09.ab 09.10 Supervisión

ID: 12101.09ab1Organizational.3-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ajuste del nivel de revisión, análisis y creación de informes de auditoría CMA_C1123: Ajustar el nivel de revisión, análisis y creación de informes de auditoría Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de auditoría y responsabilidad CMA_0154: Desarrollar directivas y procedimientos de auditoría y responsabilidad Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Control de directivas y procedimientos CMA_0292: Control de directivas y procedimientos Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Especificación de acciones permitidas asociadas con la información de auditoría del cliente CMA_C1122 - Especificar acciones permitidas asociadas con la información de auditoría del cliente Manual, Deshabilitado 1.1.0
La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0

12102.09ab1Organizational.4-09.ab 09.10 Supervisión

ID: 12102.09ab1Organizational.4-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 2.0.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Selección de pruebas adicionales para evaluaciones de control de seguridad CMA_C1149: Seleccionar pruebas adicionales para las evaluaciones de control de seguridad Manual, Deshabilitado 1.1.0
Actualizar elementos poA&M CMA_C1157 - Actualizar elementos poA&M Manual, Deshabilitado 1.1.0

12103.09ab1Organizational.5-09.ab 09.10 Supervisión

ID: 12103.09ab1Organizational.5-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0

1211.09aa3System.4-09.aa 09.10 Supervisión

ID: 1211.09aa3System.4-09.aa Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
La auditoría de SQL Server debe estar habilitada La auditoría debe estar habilitada en SQL Server para realizar un seguimiento de las actividades de todas las bases de datos del servidor y guardarlas en un registro de auditoría. AuditIfNotExists, Disabled 2.0.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Los registros de recursos del HSM administrado de Azure Key Vault deben estar habilitados. Para volver a crear seguimientos de actividad con fines de investigación cuando se produce un incidente de seguridad o cuando la red se ve comprometida, es posible que desee realizar auditorías habilitando los registros de recursos en HSM administrados. Siga las instrucciones que encontrará aquí: https://docs.microsoft.com/azure/key-vault/managed-hsm/logging. AuditIfNotExists, Disabled 1.1.0
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

1212.09ab1System.1-09.ab 09.10 Supervisión

ID: 1212.09ab1System.1-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Recibir opinión legal sobre la supervisión de las actividades del sistema CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema Manual, Deshabilitado 1.1.0
Ofrecimiento de información de supervisión según sea necesario CMA_C1689: Proporcionar información de supervisión según sea necesario Manual, Deshabilitado 1.1.0

1213.09ab2System.128-09.ab 09.10 Supervisión

ID: 1213.09ab2System.128-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. AuditIfNotExists, Disabled 1.0.1
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

1214.09ab2System.3456-09.ab 09.10 Supervisión

ID: 1214.09ab2System.3456-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1215.09ab2System.7-09.ab 09.10 Supervisión

ID: 1215.09ab2System.7-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Garantía de que no se modifican los registros de auditoría CMA_C1125: Asegurarse de que no se modifican los registros de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de capacidad de revisión, análisis e informes de auditoría CMA_C1124: Proporcionar capacidad de revisión, análisis e informes de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente Manual, Deshabilitado 1.1.0
Las máquinas virtuales deben tener la extensión de Log Analytics instalada Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1

1216.09ab3System.12-09.ab 09.10 Supervisión

ID: 1216.09ab3System.12-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisión y actualización de los eventos definidos en AU-02 CMA_C1106: Revisar y actualizar los eventos definidos en AU-02 Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

1217.09ab3System.3-09.ab 09.10 Supervisión

ID: 1217.09ab3System.3-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Auditar las máquinas Windows en las que el agente de Log Analytics no esté conectado como se esperaba Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si el agente no está instalado o si está instalado, pero el objeto COM AgentConfigManager.MgmtSvcCfg devuelve que está registrado en un área de trabajo distinta del identificador especificado en el parámetro de la directiva. auditIfNotExists 2.0.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

1218.09ab3System.47-09.ab 09.10 Supervisión

ID: 1218.09ab3System.47-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

1219.09ab3System.10-09.ab 09.10 Supervisión

ID: 1219.09ab3System.10-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Garantía de que no se modifican los registros de auditoría CMA_C1125: Asegurarse de que no se modifican los registros de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de capacidad de revisión, análisis e informes de auditoría CMA_C1124: Proporcionar capacidad de revisión, análisis e informes de auditoría Manual, Deshabilitado 1.1.0
Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente Manual, Deshabilitado 1.1.0

1220.09ab3System.56-09.ab 09.10 Supervisión

ID: 1220.09ab3System.56-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
El aprovisionamiento automático del agente de Log Analytics debe estar habilitado en la suscripción A fin de supervisar las amenazas y vulnerabilidades de seguridad, Azure Security Center recopila datos de las máquinas virtuales de Azure. El agente de Log Analytics, anteriormente conocido como Microsoft Monitoring Agent (MMA), recopila los datos al leer distintas configuraciones relacionadas con la seguridad y distintos registros de eventos de la máquina y copiar los datos en el área de trabajo de Log Analytics para analizarlos. Se recomienda habilitar el aprovisionamiento automático para implementar automáticamente el agente en todas las máquinas virtuales de Azure admitidas y en las nuevas que se creen. AuditIfNotExists, Disabled 1.0.1
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

1222.09ab3System.8-09.ab 09.10 Supervisión

ID: 1222.09ab3System.8-09.ab Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Difusión de alertas de seguridad al personal CMA_C1705: Difundir alertas de seguridad al personal Manual, Deshabilitado 1.1.0
Establecimiento de un programa de inteligencia sobre amenazas CMA_0260: Establecer un programa de inteligencia sobre amenazas Manual, Deshabilitado 1.1.0
Generación de alertas de seguridad internas CMA_C1704: Generar alertas de seguridad internas Manual, Deshabilitado 1.1.0
Implementación de directivas de seguridad CMA_C1706: Implementar directivas de seguridad Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

1229.09c1Organizational.1-09.c 09.01 Procedimientos operativos documentados

ID: 1229.09c1Organizational.1-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El control de acceso basado en roles (RBAC) de Azure debe usarse en los servicios de Kubernetes Para proporcionar un filtrado detallado de las acciones que los usuarios pueden realizar, use el control de acceso basado en rol (RBAC) de Azure para administrar los permisos en los clústeres de Kubernetes Service y configurar las directivas de autorización correspondientes. Audit, Disabled 1.0.3
Definir autorizaciones de acceso para admitir la separación de tareas CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1230.09c2Organizational.1-09.c 09.01 Procedimientos operativos documentados

ID: 1230.09c2Organizational.1-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el uso de roles RBAC personalizados Permite auditar roles integrados, como "propietario, colaborador, lector" en lugar de roles RBAC personalizados, que son propensos a errores de auditoría. El uso de roles personalizados se trata como una excepción y requiere una revisión rigurosa y el modelado de amenazas. Audit, Disabled 1.0.1
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Configuración de las funcionalidades de auditoría de Azure CMA_C1108: Configurar la funcionalidad de auditoría de Azure Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1231.09c2Organizational.23-09.c 09.01 Procedimientos operativos documentados

ID: 1231.09c2Organizational.23-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1232.09c3Organizational.12-09.c 09.01 Procedimientos operativos documentados

ID: 1232.09c3Organizational.12-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Habilitar la autorización doble o conjunta CMA_0226: Habilitar la autorización doble o conjunta Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Aplicación de los privilegios de ejecución de software CMA_C1041: Aplicar privilegios de ejecución de software Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Asignación de derechos de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Asignación de derechos de usuario" para permitir el inicio de sesión local, el protocolo RDP, el acceso desde la red y muchas otras actividades de usuario. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

1233.09c3Organizational.3-09.c 09.01 Procedimientos operativos documentados

ID: 1233.09c3Organizational.3-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1270.09ad1System.12-09.ad 09.10 Supervisión

ID: 1270.09ad1System.12-09.ad Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1271.09ad1System.1-09.ad 09.10 Supervisión

ID: 1271.09ad1System.1-09.ad Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe existir una alerta de registro de actividad para operaciones administrativas específicas Esta directiva audita operaciones administrativas específicas sin alertas de registro de actividad configuradas. AuditIfNotExists, Disabled 1.0.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1271.09ad2System.1 09.10 Supervisión

ID: 1271.09ad2System.1 Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1276.09c2Organizational.2-09.c 09.01 Procedimientos operativos documentados

ID: 1276.09c2Organizational.2-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Aplicación de los privilegios de ejecución de software CMA_C1041: Aplicar privilegios de ejecución de software Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1277.09c2Organizational.4-09.c 09.01 Procedimientos operativos documentados

ID: 1277.09c2Organizational.4-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Control de cuentas de usuario" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Control de cuentas de usuario" para el modo de administradores, el comportamiento de la petición de elevación y la virtualización de errores de escritura de archivos y del registro. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

1278.09c2Organizational.56-09.c 09.01 Procedimientos operativos documentados

ID: 1278.09c2Organizational.56-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1279.09c3Organizational.4-09.c 09.01 Procedimientos operativos documentados

ID: 1279.09c3Organizational.4-09.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

13 Educación, entrenamiento y concienciación

1301.02e1Organizational.12-02.f 02.03 Durante el empleo

ID: 1301.02e1Organizational.12-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación basada en roles para las actividades sospechosas CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1302.02e2Organizational.134-02.f 02.03 Durante el empleo

ID: 1302.02e2Organizational.134-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Implementación de un programa de reconocimiento de amenazas CMA_C1758: implementar un programa de reconocimiento de amenazas Manual, Deshabilitado 1.1.0
Implementación de un programa de amenazas internas CMA_C1751: Implementar un programa de amenazas internas Manual, Deshabilitado 1.1.0
Supervisión de la finalización de la formación de seguridad y privacidad CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Conservación de registros de formación CMA_0456: Conservar registros de formación Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1303.02e2Organizational.2-02.f 02.03 Durante el empleo

ID: 1303.02e2Organizational.2-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1304.02e3Organizational.1-02.f 02.03 Durante el empleo

ID: 1304.02e3Organizational.1-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación sobre contingencias CMA_0412: Proporcionar formación sobre contingencias Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que proporcionen formación CMA_C1611: Requerir a los desarrolladores que proporcionen formación Manual, Deshabilitado 1.1.0
Formación del personal sobre la divulgación de la información no pública CMA_C1084: Formar al personal sobre la divulgación de la información no pública Manual, Deshabilitado 1.1.0

1305.02e3Organizational.23-02.f 02.03 Durante el empleo

ID: 1305.02e3Organizational.23-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Supervisión de la finalización de la formación de seguridad y privacidad CMA_0379: Supervisar la finalización de la formación de seguridad y privacidad Manual, Deshabilitado 1.1.0
Conservación de registros de formación CMA_0456: Conservar registros de formación Manual, Deshabilitado 1.1.0

ID: 1306.06e1Organizational.5-06.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1307.07c1Organizational.124-07.c 07.01 Responsabilidad de recursos

ID: 1307.07c1Organizational.124-07.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las directivas de seguridad de la información CMA_0518: Actualizar las directivas de seguridad de la información Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1308.09j1Organizational.5-09.j 09.04 Protección contra código malintencionado y móvil

ID: 1308.09j1Organizational.5-09.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de directivas y procedimientos de uso aceptables CMA_0143: Desarrollar directivas y procedimientos de uso aceptables Manual, Deshabilitado 1.1.0
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Aplicación de reglas de comportamiento y contratos de acceso CMA_0248: Aplicar reglas de comportamiento y contratos de acceso Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Revisar semanalmente el estado de protección contra amenazas CMA_0479: Revisar semanalmente el estado de protección contra amenazas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1309.01x1System.36-01.x 01.07 Informática móvil y teletrabajo

ID: 1309.01x1System.36-01.x Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

1310.01y1Organizational.9-01.y 01.07 Informática móvil y teletrabajo

ID: 1310.01y1Organizational.9-01.y Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación basada en roles para las actividades sospechosas CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

1311.12c2Organizational.3-12.c 12.01 Aspectos de seguridad de la información de la administración de continuidad empresarial

ID: 1311.12c2Organizational.3-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Incorporación de formación de contingencia simulada CMA_C1260: Incorporar formación de contingencia simulada Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre contingencias CMA_0412: Proporcionar formación sobre contingencias Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0

1313.02e1Organizational.3-02.f 02.03 Durante el empleo

ID: 1313.02e1Organizational.3-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación sobre contingencias CMA_0412: Proporcionar formación sobre contingencias Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0

1314.02e2Organizational.5-02.f 02.03 Durante el empleo

ID: 1314.02e2Organizational.5-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0

1315.02e2Organizational.67-02.f 02.03 Durante el empleo

ID: 1315.02e2Organizational.67-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0

1324.07c1Organizational.3-07.c 07.01 Responsabilidad de recursos

ID: 1324.07c1Organizational.3-07.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1325.09s1Organizational.3-09.s 09.08 Intercambio de información

ID: 1325.09s1Organizational.3-09.s Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de la directiva de código de conducta de la organización CMA_0159: Desarrollar la directiva de código de conducta de la organización Manual, Deshabilitado 1.1.0
Documentación de la aceptación por parte del personal de los requisitos de privacidad CMA_0193: Documentar la aceptación por parte del personal de los requisitos de privacidad Manual, Deshabilitado 1.1.0
Las aplicaciones de funciones deben tener la depuración remota desactivada. La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. AuditIfNotExists, Disabled 2.0.0
Prohibición de prácticas ilegales CMA_0396: Prohibir prácticas ilegales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0
Revisión y firma de reglas de comportamiento revisadas CMA_0465: Revisar y firmar reglas de comportamiento revisadas Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso CMA_0521: Actualizar las reglas de comportamiento y los contratos de acceso Manual, Deshabilitado 1.1.0
Actualización de las reglas de comportamiento y los contratos de acceso cada 3 años CMA_0522: Actualizar las reglas de comportamiento y los contratos de acceso cada 3 años Manual, Deshabilitado 1.1.0

1327.02e2Organizational.8-02.f 02.03 Durante el empleo

ID: 1327.02e2Organizational.8-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

1331.02e3Organizational.4-02.f 02.03 Durante el empleo

ID: 1331.02e3Organizational.4-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1334.02e2Organizational.12-02.f 02.03 Durante el empleo

ID: 1334.02e2Organizational.12-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

1336.02e1Organizational.5-02.f 02.03 Durante el empleo

ID: 1336.02e1Organizational.5-02.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación basada en roles para las actividades sospechosas CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

14 Garantía de terceros

1404.05i2Organizational.1-05.i 05.02 Entidades externas

ID: 1404.05i2Organizational.1-05.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de adquisición de sistemas y servicios CMA_C1560: Revisar y actualizar directivas y procedimientos de adquisición de sistemas y servicios Manual, Deshabilitado 1.1.0

1406.05k1Organizational.110-05.k 05.02 Entidades externas

ID: 1406.05k1Organizational.110-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1407.05k2Organizational.1-05.k 05.02 Entidades externas

ID: 1407.05k2Organizational.1-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1408.09e1System.1-09.e 09.02 Control de la entrega de servicios de terceros

ID: 1408.09e1System.1-09.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de acuerdos de seguridad de interconexión CMA_C1151: Requerir acuerdos de seguridad de interconexión Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Actualización de los contratos de seguridad de interconexión CMA_0519: Actualizar los contratos de seguridad de interconexión Manual, Deshabilitado 1.1.0

1409.09e2System.1-09.e 09.02 Control de la entrega de servicios de terceros

ID: 1409.09e2System.1-09.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1410.09e2System.23-09.e 09.02 Control de la entrega de servicios de terceros

ID: 1410.09e2System.23-09.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1411.09f1System.1-09.f 09.02 Control de la entrega de servicios de terceros

ID: 1411.09f1System.1-09.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Difusión de alertas de seguridad al personal CMA_C1705: Difundir alertas de seguridad al personal Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Establecimiento de un programa de inteligencia sobre amenazas CMA_0260: Establecer un programa de inteligencia sobre amenazas Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1416.10l1Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 1416.10l1Organizational.1-10.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1417.10l2Organizational.1-10.l 10.05 Seguridad en los procesos de desarrollo y soporte técnico

ID: 1417.10l2Organizational.1-10.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad Manual, Deshabilitado 1.1.0

1419.05j1Organizational.12-05.j 05.02 Entidades externas

ID: 1419.05j1Organizational.12-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1421.05j2Organizational.12-05.j 05.02 Entidades externas

ID: 1421.05j2Organizational.12-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1422.05j2Organizational.3-05.j 05.02 Entidades externas

ID: 1422.05j2Organizational.3-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Obtención de aprobaciones para adquisiciones y externalizaciones CMA_C1590: Obtener aprobaciones para adquisiciones y externalizaciones Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1423.05j2Organizational.4-05.j 05.02 Entidades externas

ID: 1423.05j2Organizational.4-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para acceder a los recursos CMA_C1076: Establecer los términos y condiciones para acceder a los recursos Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Comprobación de los controles de seguridad de sistemas de información externos CMA_0541: Comprobar los controles de seguridad de sistemas de información externos Manual, Deshabilitado 1.1.0

1424.05j2Organizational.5-05.j 05.02 Entidades externas

ID: 1424.05j2Organizational.5-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aceptación de solo credenciales de terceros aprobadas por FICAM CMA_C1348: Aceptar solo credenciales de terceros aprobadas por FICAM Manual, Deshabilitado 1.1.0
Aceptación de credenciales de PIV CMA_C1347: Aceptar credenciales de PIV Manual, Deshabilitado 1.1.0
Conformidad con los perfiles emitidos por FICAM CMA_C1350 - Ajustarse a los perfiles emitidos por FICAM Manual, Deshabilitado 1.1.0
Uso de recursos aprobados por FICAM para aceptar credenciales de terceros CMA_C1349: Usar recursos aprobados por FICAM para aceptar credenciales de terceros Manual, Deshabilitado 1.1.0
Exigir la existencia de usuario único CMA_0250: Exigir la existencia de usuario único Manual, Deshabilitado 1.1.0
Identificación y autenticación de usuarios que no son de la organización CMA_C1346: Identificar y autenticar usuarios que no son de la organización Manual, Deshabilitado 1.1.0
Admitir credenciales de comprobación personal emitidas por autoridades legales CMA_0507: Admitir credenciales de comprobación personal emitidas por autoridades legales Manual, Deshabilitado 1.1.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

1429.05k1Organizational.34-05.k 05.02 Entidades externas

ID: 1429.05k1Organizational.34-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1430.05k1Organizational.56-05.k 05.02 Entidades externas

ID: 1430.05k1Organizational.56-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1431.05k1Organizational.7-05.k 05.02 Entidades externas

ID: 1431.05k1Organizational.7-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1432.05k1Organizational.89-05.k 05.02 Entidades externas

ID: 1432.05k1Organizational.89-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Borrado del personal con acceso a información clasificada CMA_0054: Borrar al personal con acceso a información clasificada Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecer los requisitos de privacidad para los contratistas y proveedores de servicios CMA_C1810: Establecer los requisitos de privacidad para los contratistas y proveedores de servicios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Implementación del filtrado de personal CMA_0322: Implementar el filtrado de personal Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1438.09e2System.4-09.e 09.02 Control de la entrega de servicios de terceros

ID: 1438.09e2System.4-09.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1450.05i2Organizational.2-05.i 05.02 Entidades externas

ID: 1450.05i2Organizational.2-05.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
La aplicación de la conexión SSL debe estar habilitada para los servidores de base de datos PostgreSQL Azure Database for PostgreSQL permite conectar el servidor de Azure Database for PostgreSQL a las aplicaciones cliente mediante la Capa de sockets seguros (SSL). La aplicación de conexiones SSL entre el servidor de bases de datos y las aplicaciones cliente facilita la protección frente a ataques de tipo "Man in the middle" al cifrar el flujo de datos entre el servidor y la aplicación. Esta configuración exige que SSL esté siempre habilitado para el acceso al servidor de bases de datos. Audit, Disabled 1.0.1
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Identificación del personal de respuesta a incidentes CMA_0301: Identificar el personal de respuesta a incidentes Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1451.05iCSPOrganizational.2-05.i 05.02 Entidades externas

ID: 1451.05iCSPOrganizational.2-05.i Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Realización de un análisis de texto completo de los comandos con privilegios registrados CMA_0056: Realizar un análisis de texto completo de los comandos con privilegios registrados Manual, Deshabilitado 1.1.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Aplicación de los privilegios de ejecución de software CMA_C1041: Aplicar privilegios de ejecución de software Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Solo se deben habilitar las conexiones seguras a la instancia de Azure Cache for Redis. Permite auditar la habilitación solo de conexiones a Azure Cache for Redis a través de SSL. El uso de conexiones seguras garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como "man in-the-middle", interceptación y secuestro de sesión Audit, Deny, Disabled 1.0.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

1452.05kCSPOrganizational.1-05.k 05.02 Entidades externas

ID: 1452.05kCSPOrganizational.1-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0

1453.05kCSPOrganizational.2-05.k 05.02 Entidades externas

ID: 1453.05kCSPOrganizational.2-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1454.05kCSPOrganizational.3-05.k 05.02 Entidades externas

ID: 1454.05kCSPOrganizational.3-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1455.05kCSPOrganizational.4-05.k 05.02 Entidades externas

ID: 1455.05kCSPOrganizational.4-05.k Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad del personal de terceros CMA_C1531: Documentar los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad del personal de terceros CMA_C1529: Establecer los requisitos de seguridad del personal de terceros Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de notificación de finalización de contrato o transferencia de personal de terceros CMA_C1532: Requerir notificación de finalización de contrato o transferencia de personal de terceros Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal CMA_C1530: Requerir que los proveedores de terceros cumplan con los procedimientos y directivas de seguridad del personal Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

1464.09e2Organizational.5-09.e 09.02 Control de la entrega de servicios de terceros

ID: 1464.09e2Organizational.5-09.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de sitios de almacenamiento alternativos y primarios independientes CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes Manual, Deshabilitado 1.1.0
Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0
Recuperación y reconstrucción de los recursos después de una interrupción CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción Manual, Deshabilitado 1.1.1

15 Administración de incidentes

1501.02f1Organizational.123-02.f 02.03 Durante el empleo

ID: 1501.02f1Organizational.123-02.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1503.02f2Organizational.12-02.f 02.03 Durante el empleo

ID: 1503.02f2Organizational.12-02.f Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Implementación de la capacidad de control de incidentes CMA_C1367: Implementar la capacidad de control de incidentes Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

ID: 1504.06e1Organizational.34-06.e Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitación de la detección de dispositivos de red CMA_0220: Habilitar la detección de dispositivos de red Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0

1505.11a1Organizational.13-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1505.11a1Organizational.13-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Identificación del personal de respuesta a incidentes CMA_0301: Identificar el personal de respuesta a incidentes Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1506.11a1Organizational.2-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1506.11a1Organizational.2-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Administrar contactos para las autoridades y los grupos de interés especial CMA_0359: Administrar contactos para las autoridades y los grupos de interés especial Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1507.11a1Organizational.4-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1507.11a1Organizational.4-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de un programa de amenazas internas CMA_C1751: Implementar un programa de amenazas internas Manual, Deshabilitado 1.1.0
Implementación de la capacidad de control de incidentes CMA_C1367: Implementar la capacidad de control de incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0

1508.11a2Organizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1508.11a2Organizational.1-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1509.11a2Organizational.236-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1509.11a2Organizational.236-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1510.11a2Organizational.47-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1510.11a2Organizational.47-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1511.11a2Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1511.11a2Organizational.5-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1512.11a2Organizational.8-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1512.11a2Organizational.8-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

1515.11a3Organizational.3-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1515.11a3Organizational.3-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1516.11c1Organizational.12-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1516.11c1Organizational.12-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1517.11c1Organizational.3-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1517.11c1Organizational.3-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0

1518.11c2Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1518.11c2Organizational.13-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0

1519.11c2Organizational.2-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1519.11c2Organizational.2-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Integración del análisis del registro de auditoría CMA_C1120: Integrar el análisis del registro de auditoría Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Ofrecimiento de la capacidad para procesar los registros de auditoría controlados por el cliente CMA_C1126: Proporcionar la capacidad para procesar los registros de auditoría controlados por el cliente Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0

1520.11c2Organizational.4-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1520.11c2Organizational.4-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1521.11c2Organizational.56-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1521.11c2Organizational.56-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Implementación de la capacidad de control de incidentes CMA_C1367: Implementar la capacidad de control de incidentes Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1522.11c3Organizational.13-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1522.11c3Organizational.13-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1523.11c3Organizational.24-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1523.11c3Organizational.24-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos Manual, Deshabilitado 1.1.0
Identificación del personal de respuesta a incidentes CMA_0301: Identificar el personal de respuesta a incidentes Manual, Deshabilitado 1.1.0
Uso de mecanismos automatizados para las alertas de seguridad CMA_C1707: Usar mecanismos automatizados para las alertas de seguridad Manual, Deshabilitado 1.1.0

1524.11a1Organizational.5-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1524.11a1Organizational.5-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación con organizaciones externas para lograr una perspectiva entre organizaciones CMA_C1368: Coordinar con las organizaciones externas para lograr una perspectiva entre organizaciones Manual, Deshabilitado 1.1.0
Obtención de opinión legal sobre la supervisión de las actividades del sistema CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0

1525.11a1Organizational.6-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1525.11a1Organizational.6-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecer el programa de desarrollo y mejora de personal de seguridad de la información CMA_C1752: Establecer el programa de desarrollo y mejora de personal de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación de un programa de amenazas internas CMA_C1751: Implementar un programa de amenazas internas Manual, Deshabilitado 1.1.0
Implementación del proceso formal de sanción CMA_0317: Implementar el proceso formal de sanción Manual, Deshabilitado 1.1.0
Implementación de la capacidad de control de incidentes CMA_C1367: Implementar la capacidad de control de incidentes Manual, Deshabilitado 1.1.0
Notificación al personal sobre las sanciones CMA_0380: Notificar al personal sobre las sanciones Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0

1560.11d1Organizational.1-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1560.11d1Organizational.1-11.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1561.11d2Organizational.14-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1561.11d2Organizational.14-11.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1562.11d2Organizational.2-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1562.11d2Organizational.2-11.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de problemas de seguridad de la información CMA_C1742: solucionar problemas de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1563.11d2Organizational.3-11.d 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1563.11d2Organizational.3-11.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1577.11aCSPOrganizational.1-11.a 11.01 Informes de incidentes y puntos débiles de seguridad de la información

ID: 1577.11aCSPOrganizational.1-11.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Identificación del personal de respuesta a incidentes CMA_0301: Identificar el personal de respuesta a incidentes Manual, Deshabilitado 1.1.0

1587.11c2Organizational.10-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1587.11c2Organizational.10-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

1589.11c1Organizational.5-11.c 11.02 Administración de incidentes y mejoras de seguridad de la información

ID: 1589.11c1Organizational.5-11.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

16 Continuidad empresarial y recuperación ante desastres

1601.12c1Organizational.1238-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1601.12c1Organizational.1238-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Prueba del plan de continuidad empresarial y recuperación ante desastres CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0

1602.12c1Organizational.4567-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1602.12c1Organizational.4567-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización del planeamiento de capacidad CMA_C1252: Realizar el planeamiento de capacidad Manual, Deshabilitado 1.1.0
Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0

1603.12c1Organizational.9-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1603.12c1Organizational.9-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comunicación de los cambios del plan de contingencia CMA_C1249: Comunicar los cambios del plan de contingencia Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de planes de contingencia CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia Manual, Deshabilitado 1.1.0
Distribución de directivas y procedimientos CMA_0185: Distribuir directivas y procedimientos Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de los planes de contingencia CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia Manual, Deshabilitado 1.1.0

1604.12c2Organizational.16789-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1604.12c2Organizational.16789-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de sitios de almacenamiento alternativos y primarios independientes CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes Manual, Deshabilitado 1.1.0
Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para los proveedores de servicios de Internet CMA_0278: Establecer requisitos para los proveedores de servicios de Internet Manual, Deshabilitado 1.1.0

1607.12c2Organizational.4-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1607.12c2Organizational.4-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de los planes de contingencia CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia Manual, Deshabilitado 1.1.0

1608.12c2Organizational.5-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1608.12c2Organizational.5-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0

1609.12c3Organizational.12-12.c 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1609.12c3Organizational.12-12.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecimiento de requisitos para los proveedores de servicios de Internet CMA_0278: Establecer requisitos para los proveedores de servicios de Internet Manual, Deshabilitado 1.1.0

1616.09l1Organizational.16-09.l 09.05 Copia de seguridad de la información

ID: 1616.09l1Organizational.16-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. AuditIfNotExists, Disabled 2.0.0

1617.09l1Organizational.23-09.l 09.05 Copia de seguridad de la información

ID: 1617.09l1Organizational.23-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1

1618.09l1Organizational.45-09.l 09.05 Copia de seguridad de la información

ID: 1618.09l1Organizational.45-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de sitios de almacenamiento alternativos y primarios independientes CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes Manual, Deshabilitado 1.1.0
Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0

1619.09l1Organizational.7-09.l 09.05 Copia de seguridad de la información

ID: 1619.09l1Organizational.7-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecimiento de requisitos para los proveedores de servicios de Internet CMA_0278: Establecer requisitos para los proveedores de servicios de Internet Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1

1620.09l1Organizational.8-09.l 09.05 Copia de seguridad de la información

ID: 1620.09l1Organizational.8-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0

1621.09l2Organizational.1-09.l 09.05 Copia de seguridad de la información

ID: 1621.09l2Organizational.1-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Creación de un inventario de datos CMA_0096: Crear un inventario de datos Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica a largo plazo debe estar habilitada para las instancias de Azure SQL Database Esta directiva audita cualquier instancia de Azure SQL Database que no tenga la copia de seguridad con redundancia geográfica habilitada. AuditIfNotExists, Disabled 2.0.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0

1622.09l2Organizational.23-09.l 09.05 Copia de seguridad de la información

ID: 1622.09l2Organizational.23-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MySQL Azure Database for MySQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0

1623.09l2Organizational.4-09.l 09.05 Copia de seguridad de la información

ID: 1623.09l2Organizational.4-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1

1624.09l3Organizational.12-09.l 09.05 Copia de seguridad de la información

ID: 1624.09l3Organizational.12-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1

1625.09l3Organizational.34-09.l 09.05 Copia de seguridad de la información

ID: 1625.09l3Organizational.34-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0

1626.09l3Organizational.5-09.l 09.05 Copia de seguridad de la información

ID: 1626.09l3Organizational.5-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for PostgreSQL Azure Database for PostgreSQL le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1

1627.09l3Organizational.6-09.l 09.05 Copia de seguridad de la información

ID: 1627.09l3Organizational.6-09.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La copia de seguridad con redundancia geográfica debe estar habilitada para Azure Database for MariaDB Azure Database for MariaDB le permite elegir la opción de redundancia para el servidor de bases de datos. Se puede establecer en un almacenamiento de copia de seguridad con redundancia geográfica donde los datos no solo se almacenan dentro de la región en la que se hospeda el servidor, sino que también se replican en una región emparejada para proporcionar la opción de recuperación en caso de que se produzca un error en la región. La configuración de almacenamiento con redundancia geográfica para copia de seguridad solo se permite durante la creación del servidor. Audit, Disabled 1.0.1
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0

1634.12b1Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1634.12b1Organizational.1-12.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de planes de contingencia CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia Manual, Deshabilitado 1.1.0
Distribución de directivas y procedimientos CMA_0185: Distribuir directivas y procedimientos Manual, Deshabilitado 1.1.0

1635.12b1Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1635.12b1Organizational.2-12.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
El HSM administrado de Azure Key Vault debe tener habilitada la protección contra purgas. La eliminación malintencionada de un HSM administrado de Azure Key Vault puede provocar una pérdida de datos permanente. Un usuario malintencionado de la organización puede eliminar y purgar HSM administrados de Azure Key Vault. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para HSM administrados de Azure Key Vault eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar HSM administrados de Azure Key Vault durante el período de retención de eliminación temporal. Audit, Deny, Disabled 1.0.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Los almacenes de claves deben tener habilitada la protección contra eliminación La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. Audit, Deny, Disabled 2.1.0
Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación CMA_0386: Realizar una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0

1636.12b2Organizational.1-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1636.12b2Organizational.1-12.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación CMA_0386: Realizar una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación Manual, Deshabilitado 1.1.0

1637.12b2Organizational.2-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1637.12b2Organizational.2-12.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Consola de recuperación" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Consola de recuperación" para permitir la copia de disquetes y el acceso a todas las unidades y carpetas. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

1638.12b2Organizational.345-12.b 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1638.12b2Organizational.345-12.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Realización del planeamiento de capacidad CMA_C1252: Realizar el planeamiento de capacidad Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0

1666.12d1Organizational.1235-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1666.12d1Organizational.1235-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comunicación de los cambios del plan de contingencia CMA_C1249: Comunicar los cambios del plan de contingencia Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0

1667.12d1Organizational.4-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1667.12d1Organizational.4-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comunicación de los cambios del plan de contingencia CMA_C1249: Comunicar los cambios del plan de contingencia Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0

1668.12d1Organizational.67-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1668.12d1Organizational.67-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de los planes de contingencia CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia Manual, Deshabilitado 1.1.0

1669.12d1Organizational.8-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1669.12d1Organizational.8-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Realización de una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación CMA_0386: Realizar una evaluación del impacto empresarial y una evaluación de la importancia de la aplicación Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre contingencias CMA_0412: Proporcionar formación sobre contingencias Manual, Deshabilitado 1.1.0
Prueba del plan de continuidad empresarial y recuperación ante desastres CMA_0509: Probar el plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0

1670.12d2Organizational.1-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1670.12d2Organizational.1-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0

1671.12d2Organizational.2-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1671.12d2Organizational.2-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comunicación de los cambios del plan de contingencia CMA_C1249: Comunicar los cambios del plan de contingencia Manual, Deshabilitado 1.1.0
Revisión del plan de contingencia CMA_C1247: Revisar el plan de contingencia Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0

1672.12d2Organizational.3-12.d 12.01 Aspectos de seguridad de la información de la administración de la continuidad empresarial

ID: 1672.12d2Organizational.3-12.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comunicación de los cambios del plan de contingencia CMA_C1249: Comunicar los cambios del plan de contingencia Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de los planes de contingencia CMA_C1243: Revisar y actualizar directivas y procedimientos de los planes de contingencia Manual, Deshabilitado 1.1.0
Actualización del plan de contingencia CMA_C1248: Actualizar el plan de contingencia Manual, Deshabilitado 1.1.0

17 Administración de riesgos

1704.03b1Organizational.12-03.b 03.01 Programa de administración de riesgos

ID: 1704.03b1Organizational.12-03.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0

1705.03b2Organizational.12-03.b 03.01 Programa de administración de riesgos

ID: 1705.03b2Organizational.12-03.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0

1707.03c1Organizational.12-03.c 03.01 Programa de administración de riesgos

ID: 1707.03c1Organizational.12-03.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0

1708.03c2Organizational.12-03.c 03.01 Programa de administración de riesgos

ID: 1708.03c2Organizational.12-03.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar POA&M CMA_C1156 - Desarrollar POA&M Manual, Deshabilitado 1.1.0
Actualizar elementos poA&M CMA_C1157 - Actualizar elementos poA&M Manual, Deshabilitado 1.1.0

17100.10a3Organizational.5 10.01 Requisitos de seguridad de los sistemas de información

ID: 17100.10a3Organizational.5 Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

17101.10a3Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 17101.10a3Organizational.6-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Obtención de información de diseño e implementación para los controles de seguridad CMA_C1576: Obtener información de diseño e implementación para los controles de seguridad Manual, Deshabilitado 1.1.1
Obtención de propiedades funcionales de controles de seguridad CMA_C1575: Obtener propiedades funcionales de controles de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores implementen solo los cambios aprobados CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0

17120.10a3Organizational.5-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 17120.10a3Organizational.5-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0
Obtención de aprobaciones para adquisiciones y externalizaciones CMA_C1590: Obtener aprobaciones para adquisiciones y externalizaciones Manual, Deshabilitado 1.1.0

17126.03c1System.6-03.c 03.01 Programa de administración de riesgos

ID: 17126.03c1System.6-03.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar la evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Implementar la estrategia de administración de riesgos CMA_C1744: Implementar la estrategia de administración de riesgos Manual, Deshabilitado 1.1.0

1713.03c1Organizational.3-03.c 03.01 Programa de administración de riesgos

ID: 1713.03c1Organizational.3-03.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Emisión de guías para garantizar la calidad y la integridad de los datos CMA_C1824: Enviar instrucciones para garantizar la calidad e integridad de los datos Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Divulgar los registros de información de identificación personal a terceros CMA_0422: Divulgar los registros de información de identificación personal a terceros Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

1733.03d1Organizational.1-03.d 03.01 Programa de administración de riesgos

ID: 1733.03d1Organizational.1-03.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0

1734.03d2Organizational.1-03.d 03.01 Programa de administración de riesgos

ID: 1734.03d2Organizational.1-03.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0

1735.03d2Organizational.23-03.d 03.01 Programa de administración de riesgos

ID: 1735.03d2Organizational.23-03.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0

1736.03d2Organizational.4-03.d 03.01 Programa de administración de riesgos

ID: 1736.03d2Organizational.4-03.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realizar la evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0

1737.03d2Organizational.5-03.d 03.01 Programa de administración de riesgos

ID: 1737.03d2Organizational.5-03.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0

1780.10a1Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1780.10a1Organizational.1-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de control de acceso CMA_0144: Desarrollar directivas y procedimientos de control de acceso Manual, Deshabilitado 1.1.0
Control de directivas y procedimientos CMA_0292: Control de directivas y procedimientos Manual, Deshabilitado 1.1.0

1781.10a1Organizational.23-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1781.10a1Organizational.23-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0

1782.10a1Organizational.4-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1782.10a1Organizational.4-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

1783.10a1Organizational.56-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1783.10a1Organizational.56-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

1784.10a1Organizational.7-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1784.10a1Organizational.7-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de tecnología aprobada por FIPS 201 para PIV CMA_C1579: Usar tecnología aprobada por FIPS 201 para PIV Manual, Deshabilitado 1.1.0

1785.10a1Organizational.8-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1785.10a1Organizational.8-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Creación de acciones alternativas para las anomalías identificadas CMA_C1711: Crear acciones alternativas para las anomalías identificadas Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores describan la función de seguridad precisa CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa Manual, Deshabilitado 1.1.0
Separación de la función de administración de usuarios y de sistemas de información CMA_0493: Separar la función de administración de usuarios y de sistemas de información Manual, Deshabilitado 1.1.0
Uso de máquinas dedicadas a tareas administrativas CMA_0527: Usar máquinas dedicadas a tareas administrativas Manual, Deshabilitado 1.1.0

1786.10a1Organizational.9-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1786.10a1Organizational.9-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Identificación de proveedores de servicios externos CMA_C1591: Identificar proveedores de servicios externos Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Requerimiento al desarrollador de que identifique los puertos, protocolos y servicios SDLC CMA_C1578: Requerir al desarrollador que identifique los puertos, protocolos y servicios SDLC Manual, Deshabilitado 1.1.0

1787.10a2Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1787.10a2Organizational.1-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de controles de privacidad CMA_C1817: Automatización de controles de privacidad Manual, Deshabilitado 1.1.0
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0

1788.10a2Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1788.10a2Organizational.2-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores implementen solo los cambios aprobados CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0

1789.10a2Organizational.3-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1789.10a2Organizational.3-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0

1790.10a2Organizational.45-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1790.10a2Organizational.45-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0
Revisión del proceso de desarrollo, los estándares y las herramientas CMA_C1610: Revisar el proceso de desarrollo, los estándares y las herramientas Manual, Deshabilitado 1.1.0

1791.10a2Organizational.6-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1791.10a2Organizational.6-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de la corrección de errores CMA_0027: Automatizar la corrección de errores Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Control del cumplimiento de los proveedores de servicios en la nube CMA_0290: Controlar el cumplimiento de los proveedores de servicios en la nube Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

1792.10a2Organizational.7814-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1792.10a2Organizational.7814-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definición de roles y responsabilidades de seguridad de la información CMA_C1565: Definir roles y responsabilidades de seguridad de la información Manual, Deshabilitado 1.1.0
Identificación de personas con roles y responsabilidades de seguridad CMA_C1566: Identificar las personas con roles y responsabilidades de seguridad Manual, Deshabilitado 1.1.1
Implementar la estrategia de administración de riesgos CMA_C1744: Implementar la estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Integración del proceso de administración de riesgos en SDLC CMA_C1567: Integrar el proceso de administración de riesgos en SDLC Manual, Deshabilitado 1.1.0

1793.10a2Organizational.91011-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1793.10a2Organizational.91011-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0

1794.10a2Organizational.12-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1794.10a2Organizational.12-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad Manual, Deshabilitado 1.1.0

1795.10a2Organizational.13-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1795.10a2Organizational.13-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad Manual, Deshabilitado 1.1.0

1796.10a2Organizational.15-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1796.10a2Organizational.15-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Aceptación de resultados de la valoración CMA_C1150 - Aceptar resultados de la valoración Manual, Deshabilitado 1.1.0
Evaluación de los controles de seguridad CMA_C1145: Evaluar los controles de seguridad Manual, Deshabilitado 1.1.0
Entrega de los resultados de la evaluación de seguridad CMA_C1147: Entregar los resultados de la evaluación de seguridad Manual, Deshabilitado 1.1.0
Desarrollo del plan de evaluación de seguridad CMA_C1144: Desarrollar el plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Uso de evaluadores independientes para valorar el control de seguridad CMA_C1148: Usar evaluadores independientes para valorar el control de seguridad Manual, Deshabilitado 1.1.0
Generación de informe de evaluación de seguridad CMA_C1146: Generar informe de evaluación de seguridad Manual, Deshabilitado 1.1.0

1797.10a3Organizational.1-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1797.10a3Organizational.1-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo de una arquitectura empresarial CMA_C1741: desarrollar una arquitectura empresarial Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores compilen una arquitectura de seguridad CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores describan la función de seguridad precisa CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad CMA_C1614: Requerir que los desarrolladores proporcionen un enfoque unificado de protección de seguridad Manual, Deshabilitado 1.1.0

1798.10a3Organizational.2-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1798.10a3Organizational.2-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo de una arquitectura empresarial CMA_C1741: desarrollar una arquitectura empresarial Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores compilen una arquitectura de seguridad CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0

1799.10a3Organizational.34-10.a 10.01 Requisitos de seguridad de los sistemas de información

ID: 1799.10a3Organizational.34-10.a Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo de un concepto de operaciones (CONOPS) CMA_0141: Desarrollar un concepto de operaciones (CONOPS) Manual, Deshabilitado 1.1.0
Desarrollo de una arquitectura empresarial CMA_C1741: desarrollar una arquitectura empresarial Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores compilen una arquitectura de seguridad CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores describan la función de seguridad precisa CMA_C1613: Requerir que los desarrolladores describan la función de seguridad precisa Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores proporcionen un enfoque unificado de protección de seguridad CMA_C1614: Requerir que los desarrolladores proporcionen un enfoque unificado de protección de seguridad Manual, Deshabilitado 1.1.0
Revisión y actualización de la arquitectura de seguridad de la información CMA_C1504: Revisar y actualizar la arquitectura de seguridad de la información Manual, Deshabilitado 1.1.0

18 Seguridad física y ambiental

1801.08b1Organizational.124-08.b 08.01 Áreas seguras

ID: 1801.08b1Organizational.124-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Supervisión del cumplimiento de los proveedores de terceros CMA_C1533: Supervisar el cumplimiento de los proveedores de terceros Manual, Deshabilitado 1.1.0

1802.08b1Organizational.3-08.b 08.01 Áreas de seguridad

ID: 1802.08b1Organizational.3-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

1803.08b1Organizational.5-08.b 08.01 Áreas seguras

ID: 1803.08b1Organizational.5-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las actividades de mantenimiento remoto CMA_C1402: Automatizar las actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Generación de registros completos de actividades de mantenimiento remoto CMA_C1403: Generar registros completos de actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0

1804.08b2Organizational.12-08.b 08.01 Áreas seguras

ID: 1804.08b2Organizational.12-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0

1805.08b2Organizational.3-08.b 08.01 Áreas seguras

ID: 1805.08b2Organizational.3-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

1806.08b2Organizational.4-08.b 08.01 Áreas seguras

ID: 1806.08b2Organizational.4-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

1807.08b2Organizational.56-08.b 08.01 Áreas seguras

ID: 1807.08b2Organizational.56-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

1808.08b2Organizational.7-08.b 08.01 Áreas seguras

ID: 1808.08b2Organizational.7-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0

1810.08b3Organizational.2-08.b 08.01 Áreas seguras

ID: 1810.08b3Organizational.2-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

18108.08j1Organizational.1-08.j 08.02 Seguridad de los equipos

ID: 18108.08j1Organizational.1-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Revisión y actualización de directivas y procedimientos de protección de elementos multimedia CMA_C1427: Revisar y actualizar directivas y procedimientos de protección de elementos multimedia Manual, Deshabilitado 1.1.0
Revisión y actualización de procedimientos y directivas de mantenimiento del sistema CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema Manual, Deshabilitado 1.1.0

18109.08j1Organizational.4-08.j 08.02 Seguridad de los equipos

ID: 18109.08j1Organizational.4-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designación de personal para supervisar las actividades de mantenimiento no autorizadas CMA_C1422: Designar personal para supervisar las actividades de mantenimiento no autorizadas Manual, Deshabilitado 1.1.0
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0
Conservación de una lista de personal de mantenimiento remoto autorizado CMA_C1420: Mantener una lista de personal de mantenimiento remoto autorizado Manual, Deshabilitado 1.1.0
Administración del personal de mantenimiento CMA_C1421: Administrar el personal de mantenimiento Manual, Deshabilitado 1.1.0

1811.08b3Organizational.3-08.b 08.01 Áreas seguras

ID: 1811.08b3Organizational.3-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0

18110.08j1Organizational.5-08.j 08.02 Seguridad de los equipos

ID: 18110.08j1Organizational.5-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Implementación de mecanismos criptográficos CMA_C1419: Implementar mecanismos criptográficos Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Realización de todo el mantenimiento no local CMA_C1417: Realizar todo el mantenimiento no local Manual, Deshabilitado 1.1.0

18111.08j1Organizational.6-08.j 08.02 Seguridad de los equipos

ID: 18111.08j1Organizational.6-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de soporte técnico de mantenimiento oportuno CMA_C1425: Proporcionar soporte técnico de mantenimiento oportuno Manual, Deshabilitado 1.1.0

18112.08j3Organizational.4-08.j 08.02 Seguridad de los equipos

ID: 18112.08j3Organizational.4-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de integridad de la información CMA_C1667: Revisar y actualizar directivas y procedimientos de integridad de la información Manual, Deshabilitado 1.1.0
Revisión y actualización de procedimientos y directivas de mantenimiento del sistema CMA_C1395: Revisar y actualizar procedimientos y directivas de mantenimiento del sistema Manual, Deshabilitado 1.1.0

1812.08b3Organizational.46-08.b 08.01 Áreas seguras

ID: 1812.08b3Organizational.46-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de controles de seguridad de acceso inalámbrico CMA_C1695: Documentar controles de seguridad de acceso inalámbrico Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0

18127.08l1Organizational.3-08.l 08.02 Seguridad de los equipos

ID: 18127.08l1Organizational.3-08.l Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0

1813.08b3Organizational.56-08.b 08.01 Áreas seguras

ID: 1813.08b3Organizational.56-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0

18130.09p1Organizational.24-09.p 09.07 Control de elementos multimedia

ID: 18130.09p1Organizational.24-09.p Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Uso de un mecanismo de saneamiento de elementos multimedia CMA_0208: Usar un mecanismo de saneamiento de elementos multimedia Manual, Deshabilitado 1.1.0

1814.08d1Organizational.12-08.d 08.01 Áreas seguras

ID: 1814.08d1Organizational.12-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

18145.08b3Organizational.7-08.b 08.01 Áreas seguras

ID: 18145.08b3Organizational.7-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0

18146.08b3Organizational.8-08.b 08.01 Áreas seguras

ID: 18146.08b3Organizational.8-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0

1815.08d2Organizational.123-08.d 08.01 Áreas seguras

ID: 1815.08d2Organizational.123-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1816.08d2Organizational.4-08.d 08.01 Áreas seguras

ID: 1816.08d2Organizational.4-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0

1817.08d3Organizational.12-08.d 08.01 Áreas seguras

ID: 1817.08d3Organizational.12-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0

1818.08d3Organizational.3-08.d 08.01 Áreas seguras

ID: 1818.08d3Organizational.3-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1819.08j1Organizational.23-08.j 08.02 Seguridad de los equipos

ID: 1819.08j1Organizational.23-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las actividades de mantenimiento remoto CMA_C1402: Automatizar las actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Designación de personal para supervisar las actividades de mantenimiento no autorizadas CMA_C1422: Designar personal para supervisar las actividades de mantenimiento no autorizadas Manual, Deshabilitado 1.1.0
Conservación de una lista de personal de mantenimiento remoto autorizado CMA_C1420: Mantener una lista de personal de mantenimiento remoto autorizado Manual, Deshabilitado 1.1.0
Administración del personal de mantenimiento CMA_C1421: Administrar el personal de mantenimiento Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Generación de registros completos de actividades de mantenimiento remoto CMA_C1403: Generar registros completos de actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0

1820.08j2Organizational.1-08.j 08.02 Seguridad de los equipos

ID: 1820.08j2Organizational.1-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0

1821.08j2Organizational.3-08.j 08.02 Seguridad de los equipos

ID: 1821.08j2Organizational.3-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las actividades de mantenimiento remoto CMA_C1402: Automatizar las actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Generación de registros completos de actividades de mantenimiento remoto CMA_C1403: Generar registros completos de actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0

1822.08j2Organizational.2-08.j 08.02 Seguridad de los equipos

ID: 1822.08j2Organizational.2-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de las actividades de mantenimiento remoto CMA_C1402: Automatizar las actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0
Generación de registros completos de actividades de mantenimiento remoto CMA_C1403: Generar registros completos de actividades de mantenimiento remoto Manual, Deshabilitado 1.1.0

1823.08j3Organizational.12-08.j 08.02 Seguridad de los equipos

ID: 1823.08j3Organizational.12-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0

1824.08j3Organizational.3-08.j 08.02 Seguridad de los equipos

ID: 1824.08j3Organizational.3-08.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Control de las actividades de mantenimiento y reparación CMA_0080: Controlar las actividades de mantenimiento y reparación Manual, Deshabilitado 1.1.0
Administración de actividades de diagnóstico y mantenimiento no locales CMA_0364: Administrar actividades de diagnóstico y mantenimiento no locales Manual, Deshabilitado 1.1.0

1826.09p1Organizational.1-09.p 09.07 Control de elementos multimedia

ID: 1826.09p1Organizational.1-09.p Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

1844.08b1Organizational.6-08.b 08.01 Áreas seguras

ID: 1844.08b1Organizational.6-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0

1845.08b1Organizational.7-08.b 08.01 Áreas seguras

ID: 1845.08b1Organizational.7-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0

1846.08b2Organizational.8-08.b 08.01 Áreas seguras

ID: 1846.08b2Organizational.8-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0

1847.08b2Organizational.910-08.b 08.01 Áreas seguras

ID: 1847.08b2Organizational.910-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0

1848.08b2Organizational.11-08.b 08.01 Áreas seguras

ID: 1848.08b2Organizational.11-08.b Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0

1862.08d1Organizational.3-08.d 08.01 Áreas seguras

ID: 1862.08d1Organizational.3-08.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

1862.08d3Organizational.3 08.01 Áreas seguras

ID: 1862.08d3Organizational.3 Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos físicos y ambientales CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales Manual, Deshabilitado 1.1.0

1892.01l1Organizational.1 01.04 Control de acceso a redes

ID: 1892.01l1Organizational.1 Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0

19 Protección y privacidad de datos

ID: 1901.06d1Organizational.1-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Administrar actividades de cumplimiento CMA_0358: Administrar actividades de cumplimiento Manual, Deshabilitado 1.1.0

ID: 1902.06d1Organizational.2-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir las tareas de los procesadores CMA_0127: Definir las tareas de los procesadores Manual, Deshabilitado 1.1.0
Documentar y distribuir una directiva de privacidad CMA_0188: Documentar y distribuir una directiva de privacidad Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Mantenimiento de una contabilidad precisa de las divulgaciones de información CMA_C1818: Mantener una contabilidad precisa de las divulgaciones de información Manual, Deshabilitado 1.1.0
Disponibilidad a petición de la contabilidad de las divulgaciones CMA_C1820: Facilitar la contabilidad de las divulgaciones cuando se solicite Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Divulgar los registros de información de identificación personal a terceros CMA_0422: Divulgar los registros de información de identificación personal a terceros Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0
Conservación de una contabilidad precisa de las divulgaciones de información CMA_C1819: conservar cuentas de divulgaciones de información Manual, Deshabilitado 1.1.0
Entrenar al personal sobre el uso compartido de DCP y sus consecuencias CMA_C1871: Entrenar al personal sobre el uso compartido de DCP y sus consecuencias Manual, Deshabilitado 1.1.0

ID: 1903.06d1Organizational.3456711-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Implementación del entrenamiento para proteger los autenticadores CMA_0329: Implementar el entrenamiento para proteger los autenticadores Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0

ID: 1904.06.d2Organizational.1-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

ID: 1906.06.c1Organizational.2-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Disponibilidad pública de las SORN CMA_C1865: Disponibilidad pública de las SORN Manual, Deshabilitado 1.1.0
Provisión de un aviso formal a las personas CMA_C1864: Provisión de un aviso formal a las personas Manual, Deshabilitado 1.1.0
Provisión de un aviso de privacidad al público y a las personas CMA_C1861 - Proporcionar aviso de privacidad a la gente y a las personas Manual, Deshabilitado 1.1.0
Publicación de SORN para sistemas que contienen DCP CMA_C1862: publicar SORN para sistemas que contienen DCP Manual, Deshabilitado 1.1.0

ID: 1907.06.c1Organizational.3-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Mantenimiento de los SORN actualizados CMA_C1863: Mantenimiento de los SORN actualizados Manual, Deshabilitado 1.1.0
Disponibilidad pública de las SORN CMA_C1865: Disponibilidad pública de las SORN Manual, Deshabilitado 1.1.0
Provisión de un aviso formal a las personas CMA_C1864: Provisión de un aviso formal a las personas Manual, Deshabilitado 1.1.0
Publicación de SORN para sistemas que contienen DCP CMA_C1862: publicar SORN para sistemas que contienen DCP Manual, Deshabilitado 1.1.0

ID: 1908.06.c1Organizational.4-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Mantenimiento de los SORN actualizados CMA_C1863: Mantenimiento de los SORN actualizados Manual, Deshabilitado 1.1.0
Disponibilidad pública de las SORN CMA_C1865: Disponibilidad pública de las SORN Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Provisión de un aviso formal a las personas CMA_C1864: Provisión de un aviso formal a las personas Manual, Deshabilitado 1.1.0
Publicación de SORN para sistemas que contienen DCP CMA_C1862: publicar SORN para sistemas que contienen DCP Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

ID: 1911.06d1Organizational.13-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Establecimiento de los términos y condiciones para procesar los recursos CMA_C1077: Establecer los términos y condiciones para procesar los recursos Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Eliminación o censura de cualquier DCP CMA_C1833: Eliminación o censura de cualquier DCP Manual, Deshabilitado 1.1.0

19134.05j1Organizational.5-05.j 05.02 Entidades externas

ID: 19134.05j1Organizational.5-05.j Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Designación de personal autorizado para publicar información de acceso público CMA_C1083: Designar personal autorizado para publicar información de acceso público Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0
Administrar actividades de cumplimiento CMA_0358: Administrar actividades de cumplimiento Manual, Deshabilitado 1.1.0
Revisión del contenido antes de publicar información de acceso público CMA_C1085 - Revisar el contenido antes de publicar información de acceso público Manual, Deshabilitado 1.1.0
Revisión del contenido de acceso público para obtener información no pública CMA_C1086: Revisar el contenido de acceso público para obtener información no pública Manual, Deshabilitado 1.1.0
Formación del personal sobre la divulgación de la información no pública CMA_C1084: Formar al personal sobre la divulgación de la información no pública Manual, Deshabilitado 1.1.0
Actualizar el plan de privacidad, las directivas y los procedimientos CMA_C1807: Actualizar el plan de privacidad, las directivas y los procedimientos Manual, Deshabilitado 1.1.0

ID: 19141.06c1Organizational.7-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Implementación de la recuperación basada en transacciones CMA_C1296: Implementar la recuperación basada en transacciones Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0

ID: 19142.06c1Organizational.8-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Control del uso de dispositivos de almacenamiento portátiles CMA_0083: Controlar el uso de dispositivos de almacenamiento portátiles Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Restricción del uso de elementos multimedia CMA_0450: Restringir el uso de elementos multimedia Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

ID: 19143.06c1Organizational.9-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Designar a un responsable de seguridad de información sénior CMA_C1733: Designar a un responsable de seguridad de información sénior Manual, Deshabilitado 1.1.0
Clasificación de la información CMA_0052: Clasificar la información Manual, Deshabilitado 1.1.0
Desarrollo de esquemas de clasificación empresarial CMA_0155: Desarrollar esquemas de clasificación empresarial Manual, Deshabilitado 1.1.0
Desarrollo de SSP que cumpla los criterios CMA_C1492: Desarrollar SSP que cumpla los criterios Manual, Deshabilitado 1.1.0
Garantía de que se aprueba la categorización de seguridad CMA_C1540: Asegurarse de que se aprueba la categorización de seguridad Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0

ID: 19144.06c2Organizational.1-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

ID: 19145.06c2Organizational.2-06.c Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Cumplir con los períodos de retención definidos CMA_0004: cumplir con los períodos de retención definidos Manual, Deshabilitado 1.1.0
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos CMA_0369: Administrar la entrada, la salida, el procesamiento y el almacenamiento de los datos Manual, Deshabilitado 1.1.0
Realizar revisión para eliminación CMA_0391: Realizar revisión para eliminación Manual, Deshabilitado 1.1.0
Conservar directivas y procedimientos de seguridad CMA_0454: Conservar directivas y procedimientos de seguridad Manual, Deshabilitado 1.1.0
Conservar los datos de usuarios finalizados CMA_0455: Conservar los datos de usuario finalizados Manual, Deshabilitado 1.1.0
Revisar la actividad y el análisis de etiquetas CMA_0474: Revisar la actividad y el análisis de etiquetas Manual, Deshabilitado 1.1.0
Comprobar que los datos personales se eliminan al final del procesamiento CMA_0540: Comprobar que los datos personales se eliminan al final del procesamiento Manual, Deshabilitado 1.1.0

ID: 19242.06d1Organizational.14-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Eliminación o censura de cualquier DCP CMA_C1833: Eliminación o censura de cualquier DCP Manual, Deshabilitado 1.1.0

ID: 19243.06d1Organizational.15-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización de controles de privacidad CMA_C1817: Automatización de controles de privacidad Manual, Deshabilitado 1.1.0
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Implementar métodos de entrega de avisos de privacidad CMA_0324: Implementar métodos de entrega de avisos de privacidad Manual, Deshabilitado 1.1.0
Seguridad de la información y protección de datos personales CMA_0332: Seguridad de la información y protección de datos personales Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Proporcionar aviso de privacidad CMA_0414: Proporcionar aviso de privacidad Manual, Deshabilitado 1.1.0
Eliminación o censura de cualquier DCP CMA_C1833: Eliminación o censura de cualquier DCP Manual, Deshabilitado 1.1.0
Restringir las comunicaciones CMA_0449: Restringir las comunicaciones Manual, Deshabilitado 1.1.0

ID: 19245.06d2Organizational.2-06.d Propiedad: Compartido

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Confirmación de la calidad y la integridad de DCP CMA_C1821: Confirmación de la calidad y la integridad de DCP Manual, Deshabilitado 1.1.0
Documentar la base legal para procesar la información personal CMA_0206: Documentar la base legal para procesar la información personal Manual, Deshabilitado 1.1.0
Evaluación y revisión periódicas de las sociedades de DCP CMA_C1832: Evaluar y revisar las retenciones de información de identificación personal de forma periódica Manual, Deshabilitado 1.1.0
Emisión de guías para garantizar la calidad y la integridad de los datos CMA_C1824: Enviar instrucciones para garantizar la calidad e integridad de los datos Manual, Deshabilitado 1.1.0
Mantenimiento de registros de procesamiento de datos personales CMA_0353: Mantener registros de procesamiento de datos personales Manual, Deshabilitado 1.1.0
Obtener consentimiento antes de la recopilación o el procesamiento de datos personales CMA_0385: Obtener consentimiento antes de la recopilación o el procesamiento de datos personales Manual, Deshabilitado 1.1.0
Publicación de contratos de coincidencia de equipos en el sitio web público CMA_C1829 : publicar contratos coincidentes de equipos en un sitio web público Manual, Deshabilitado 1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy: