Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.
Las siguientes asignaciones se realizan en los controles de SWIFT CSP-CSCF v2022. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de SWIFT CSP-CSCF v2022.
Importante
Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.
1. Restrinja el acceso a Internet y proteja los sistemas críticos del entorno general de TI
Garantice la protección de la infraestructura SWIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo.
ID: SWIFT CSCF v2022 1.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Deshabilitado | 3.0.0-preview |
| [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir a los atacantes acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Azure Key Vault debe tener el firewall habilitado o el acceso a la red pública deshabilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública o deshabilite el acceso a la red pública del almacén de claves para que no sea accesible por medio de una red pública de Internet. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en https://docs.microsoft.com/azure/key-vault/general/network-security y https://aka.ms/akvprivatelink | Audit, Deny, Disabled | 3.3.0 |
| Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas | CMA_0053: Comprueba el cumplimiento de privacidad y seguridad antes de establecer conexiones internas | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes | CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador.
ID: SWIFT CSCF v2022 1.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de 3 propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas que tengan permisos de propietario sobre los recursos de Azure | Las cuentas en desuso con permisos de propietario deben quitarse de su suscripción. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure | Las cuentas en desuso deben quitarse de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Definición y aplicación de condiciones para las cuentas de grupo y compartidas | CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y establecimiento de un plan de seguridad del sistema | CMA_0151: Desarrolla y establece un plan de seguridad del sistema | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de seguridad de la información | CMA_0158: Desarrolla directivas y procedimientos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de privacidad | CMA_0257: Establece un programa de privacidad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados | CMA_0279: Establece los requisitos de seguridad para la fabricación de dispositivos conectados | Manual, Deshabilitado | 1.1.0 |
| Las cuentas de invitado que tengan permisos de propietario sobre los recursos de Azure deben quitarse | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado con permisos de lectura en los recursos de Azure deben quitarse | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado que tengan permisos de escritura para los recursos de Azure deben quitarse | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Implementación de principios de ingeniería de seguridad de los sistemas de información | CMA_0325: Implementa principios de ingeniería de seguridad de los sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisa la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la asignación de roles con privilegios | CMA_0378: Supervisa la asignación de roles con privilegios | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Usar Privileged Identity Management | CMA_0533: Usa Privileged Identity Management | Manual, Deshabilitado | 1.1.0 |
Proteja la plataforma virtual y las máquinas virtuales (VM) que hospedan componentes relacionados con SWIFT en el mismo nivel que los sistemas físicos.
ID: SWIFT CSCF v2022 1.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados | auditoría | 1.0.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura.
ID: SWIFT CSCF v2022 1.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Deshabilitado | 3.0.0-preview |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documenta e implementa directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red | Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Protección del acceso inalámbrico | CMA_0411: Protege el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI.
ID: SWIFT CSCF v2022 1.5A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada | Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. | AuditIfNotExists, Deshabilitado | 3.0.0-preview |
| [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual | Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir a los atacantes acceder a sus recursos. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Azure DDoS Protection debe estar habilitado | DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. | AuditIfNotExists, Deshabilitado | 3.0.1 |
| Azure Key Vault debe tener el firewall habilitado o el acceso a la red pública deshabilitado | Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública o deshabilite el acceso a la red pública del almacén de claves para que no sea accesible por medio de una red pública de Internet. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en https://docs.microsoft.com/azure/key-vault/general/network-security y https://aka.ms/akvprivatelink | Audit, Deny, Disabled | 3.3.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Emplear protección de límites para aislar sistemas de información | CMA_C1639: Emplea protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Uso de restricciones en las interconexiones del sistema externo | CMA_C1155: Usar restricciones en las interconexiones del sistema externo | Manual, Deshabilitado | 1.1.0 |
| Establecer estándares de configuración de firewall y enrutador | CMA_0272: Establece estándares de configuración de firewall y enrutador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta | CMA_0273: Establece la segmentación de red para el entorno de datos del titular de la tarjeta | Manual, Deshabilitado | 1.1.0 |
| Identificar y administrar intercambios de información de bajada | CMA_0298: Identifica y administrar los intercambios de información de bajada | Manual, Deshabilitado | 1.1.0 |
| Implementación de una interfaz administrada para cada servicio externo | CMA_C1626: Implementa una interfaz administrada para cada servicio externo | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red | Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El reenvío de IP en la máquina virtual debe estar deshabilitado | Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Key Vault debe usar un punto de conexión del servicio de red virtual | Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se debe restringir el acceso de red a las cuentas de almacenamiento | El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. | Audit, Deny, Disabled | 1.1.1 |
| Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual | Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. | Auditar, Deshabilitado | 1.0.0 |
| Las subredes deben estar asociadas con un grupo de seguridad de red. | Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
2. Reducir la superficie expuesta a ataques y las vulnerabilidades
Garantice la confidencialidad, integridad y autenticidad de los flujos de datos de aplicación entre los componentes locales relacionados con SWIFT.
ID: SWIFT CSCF v2022 2.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La autenticación en máquinas Linux debe requerir claves SSH | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deshabilitado | 3.2.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales | Audit, Deny, Disabled | 1.1.0 |
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Definir el uso criptográfico | CMA_0120: Define el uso criptográfico | Manual, Deshabilitado | 1.1.0 |
| Definir los requisitos de la organización para la administración de claves criptográficas | CMA_0123: Define los requisitos de la organización para la administración de claves criptográficas | Manual, Deshabilitado | 1.1.0 |
| Determinar los requisitos de aserción | CMA_0136: Determina los requisitos de aserción | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrolla y mantiene las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Emplear protección de límites para aislar sistemas de información | CMA_C1639: Emplea protección de límites para aislar sistemas de información | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Aplicación de identificadores de sesión únicos aleatorios | CMA_0247: Aplicar identificadores de sesión únicos aleatorios | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer un procedimiento de administración de pérdida de datos | CMA_0255: Establece un procedimiento de administración de pérdida de datos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establece y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementa una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Control de flujo de información mediante los filtros de directiva de seguridad | CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad | Manual, Deshabilitado | 1.1.0 |
| Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad | CMA_C1636: aislar sistemas SecurID, sistemas de administración de incidentes de seguridad | Manual, Deshabilitado | 1.1.0 |
| Emisión de certificados de clave pública | CMA_0347: Emite certificados de clave pública | Manual, Deshabilitado | 1.1.0 |
| Mantener la disponibilidad de la información | CMA_C1644: Mantener la disponibilidad de la información | Manual, Deshabilitado | 1.1.0 |
| Administrar claves criptográficas simétricas | CMA_0367: Administra las claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas asimétricas | CMA_C1646: Produce, controla y distribuye claves criptográficas asimétricas | Manual, Deshabilitado | 1.1.0 |
| Producción, control y distribución de claves criptográficas simétricas | CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas | Manual, Deshabilitado | 1.1.0 |
| Proteger los datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Protege información especial | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las claves privadas | CMA_0445: Restringe el acceso a las claves privadas | Manual, Deshabilitado | 1.1.0 |
| Protección de la interfaz contra sistemas externos | CMA_0491: Protege la interfaz contra sistemas externos | Manual, Deshabilitado | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado.
ID: SWIFT CSCF v2022 2.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar las VM Windows con un reinicio pendiente | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso al registro única. | auditIfNotExists | 2.0.0 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Difusión de alertas de seguridad al personal | CMA_C1705: Difunde alertas de seguridad al personal | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Uso de mecanismos automatizados para las alertas de seguridad | CMA_C1707: Usar mecanismos automatizados para las alertas de seguridad | Manual, Deshabilitado | 1.1.0 |
Reduzca la superficie expuesta a ciberataques de los componentes relacionados con SWIFT mediante la protección del sistema.
ID: SWIFT CSCF v2022 2.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos de archivo passwd establecidos en 0644 | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Windows que contengan certificados que expiren en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Automatización de los cambios documentados propuestos | CMA_C1191: Automatiza los cambios documentados propuestos | Manual, Deshabilitado | 1.1.0 |
| Realización de un análisis de impacto en la seguridad | CMA_0057: Realiza un análisis de impacto en la seguridad | Manual, Deshabilitado | 1.1.0 |
| Configurar las acciones para los dispositivos no conformes | CMA_0062: Configurar las acciones para los dispositivos no conformes | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Desarrollo y mantenimiento del estándar de administración de vulnerabilidades | CMA_0152: Desarrolla y mantiene el estándar de administración de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Desarrollar y mantener las configuraciones de línea base | CMA_0153: Desarrolla y mantiene las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Aplica opciones de configuración de seguridad | CMA_0249: Aplica opciones de configuración de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecer un panel de control de configuración | CMA_0254: Establecer un panel de control de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar un plan de administración de configuración | CMA_0264: Establece y documentar un plan de administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Implementación de una herramienta de administración de configuración automatizada | CMA_0311: Implementa una herramienta de administración de configuración automatizada | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Realización de una evaluación de impacto en la privacidad | CMA_0387: Realiza una evaluación de impacto en la privacidad | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Conservación de las versiones anteriores de las configuraciones de línea de base | CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base | Manual, Deshabilitado | 1.1.0 |
| Las plantillas de VM Image Builder deben usar Private Link | Azure Private Link permite conectar la red virtual a los servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. | Audit, Disabled, Deny | 1.1.0 |
Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan.
ID: SWIFT CSCF v2022 2.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Notificación a los usuarios del inicio de sesión o el acceso al sistema | CMA_0382: Notifica a los usuarios el inicio de sesión o el acceso al sistema | Manual, Deshabilitado | 1.1.0 |
| Proteger los datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Seguridad del flujo de datos administrativo
ID: SWIFT CSCF v2022 2.4A Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| La autenticación en máquinas Linux debe requerir claves SSH | Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. | AuditIfNotExists, Deshabilitado | 3.2.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales | Audit, Deny, Disabled | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
Proteja la confidencialidad de los datos relacionados con SWIFT transmitidos o almacenados fuera de la zona segura como parte de los procesos operativos.
ID: SWIFT CSCF v2022 2.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas y procedimientos de copia de seguridad | CMA_0268: Establece las directivas y procedimientos de copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger todos los medios | CMA_0314: Implementa los controles para proteger todos los medios | Manual, Deshabilitado | 1.1.0 |
| Administración del transporte de recursos | CMA_0370: Administra el transporte de recursos | Manual, Deshabilitado | 1.1.0 |
| Proteger los datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Protección de datos de transmisión externa
ID: SWIFT CSCF v2022 2.5A Propiedad: Cliente
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados | auditoría | 1.0.0 |
| Las variables de cuenta de Automation deben cifrarse | Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales | Audit, Deny, Disabled | 1.1.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento | Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. | Auditar, Deshabilitado | 1.0.0 |
| Se debe habilitar la transferencia segura a las cuentas de almacenamiento | Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión | Audit, Deny, Disabled | 2.0.0 |
Proteja la confidencialidad y la integridad de las sesiones de operador interactivas que se conectan a la infraestructura SWIFT local o remota (operada por el proveedor de servicios) o a las aplicaciones relacionadas con SWIFT del proveedor de servicios
ID: SWIFT CSCF v2022 2.6 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Autorizar acceso remoto | CMA_0024: Autoriza acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentación e implementación de directrices de acceso inalámbrico | CMA_0190: Documenta e implementa directrices de acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Entrenamiento de movilidad de documentos | CMA_0191: Entrenamiento de movilidad de documentos | Manual, Deshabilitado | 1.1.0 |
| Documentar las directrices de acceso remoto | CMA_0196: Documenta las directrices de acceso remoto | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
| Implementar controles para proteger sitios de trabajo alternativos | CMA_0315: Implementa controles para proteger sitios de trabajo alternativos | Manual, Deshabilitado | 1.1.0 |
| Proteger los datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Protección del acceso inalámbrico | CMA_0411: Protege el acceso inalámbrico | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Volver a autenticar o finalizar una sesión de usuario | CMA_0421: Vuelve a autenticar o finalizar una sesión de usuario | Manual, Deshabilitado | 1.1.0 |
| Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros | Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. | AuditIfNotExists, Deshabilitado | 4.1.1 |
| Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" | Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y requerir Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de la configuración de invitado se hayan implementado en el ámbito de asignación de la directiva. Para más información, visite https://aka.ms/gcpol. | AuditIfNotExists, Deshabilitado | 3.0.0 |
Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados.
ID: SWIFT CSCF v2022 2.7 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales | Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Incorporación de la corrección de errores en la administración de configuración | CMA_C1671: Incorpora la corrección de errores en la administración de configuración | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Observación e informe de los puntos débiles de seguridad | CMA_0384: Observar e informar de los puntos débiles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar modelado de amenazas | CMA_0392: Realizar el modelado de amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes.
ID: SWIFT CSCF v2022 2.8.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación del riesgo en las relaciones de terceros | CMA_0014: Evalúa el riesgo en las relaciones con terceros | Manual, Deshabilitado | 1.1.0 |
| Definición y documentación de la supervisión gubernamental | CMA_C1587: Define y documenta la supervisión gubernamental | Manual, Deshabilitado | 1.1.0 |
| Definición de los requisitos para el suministro de bienes y servicios | CMA_0126: Define los requisitos para el suministro de bienes y servicios | Manual, Deshabilitado | 1.1.0 |
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de las directivas para la administración de riesgos de la cadena de suministro | CMA_0275: Establece las directivas para la administración de riesgos de la cadena de suministro | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad | CMA_C1586: Exige que los proveedores de servicios externos cumplan los requisitos de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | CMA_0469: Revisa el cumplimiento del proveedor de servicios en la nube con las directivas y los acuerdos | Manual, Deshabilitado | 1.1.0 |
| Sometimiento a una revisión de seguridad independiente | CMA_0515: Somete a una revisión de seguridad independiente | Manual, Deshabilitado | 1.1.0 |
Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas.
ID: SWIFT CSCF v2022 2.8A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Determinación de las obligaciones del contrato de proveedor | CMA_0140: Determina las obligaciones del contrato de proveedor | Manual, Deshabilitado | 1.1.0 |
| Criterios de aceptación del contrato de adquisición de documentos | CMA_0187: Criterios de aceptación del contrato de adquisición de documentos | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de datos personales en contratos de adquisición | CMA_0194: Protección de documentos de los datos personales en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Protección de documentos de información de seguridad en contratos de adquisición | CMA_0195: Protección de documentos de información de seguridad en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos para el uso de los datos compartidos en los contratos | CMA_0197: Documenta los requisitos para el uso de los datos compartidos en los contratos | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de garantía de seguridad en los contratos de adquisición | CMA_0199: Documenta los requisitos de garantía de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos de documentación de seguridad en el contrato de adquisición | CMA_0200: Documenta los requisitos de documentación de seguridad en el contrato de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de los requisitos funcionales de seguridad en los contratos de adquisición | CMA_0201: Documenta los requisitos funcionales de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros | CMA_0207: Documenta la protección de los datos de titulares de tarjetas en contratos de terceros | Manual, Deshabilitado | 1.1.0 |
Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal.
ID: SWIFT CSCF v2022 2.9 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autoriza, supervisa y controla VoIP | Manual, Deshabilitado | 1.1.0 |
| Flujo de la información de control | CMA_0079: Flujo de la información de control | Manual, Deshabilitado | 1.1.0 |
| Emplea mecanismos de control de flujo de información cifrada | CMA_0211: Emplea mecanismos de control de flujo de información cifrada | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados.
ID: SWIFT CSCF v2022 2.11A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorizar el acceso a las funciones e información de seguridad | CMA_0022: Autoriza el acceso a las funciones e información de seguridad | Manual, Deshabilitado | 1.1.0 |
| Autorizar y administrar el acceso | CMA_0023: Autoriza y administra el acceso | Manual, Deshabilitado | 1.1.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Aplicar el acceso lógico | CMA_0245: Aplica el acceso lógico | Manual, Deshabilitado | 1.1.0 |
| Aplica directivas de control de acceso obligatorias y discrecionales | CMA_0246: Aplica directivas de control de acceso obligatorias y discrecionales | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasigna o quita privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales | CMA_0481: Revisa grupos de usuarios y aplicaciones con acceso a datos confidenciales | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisa privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
3. Proteja físicamente el entorno
Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento.
ID: SWIFT CSCF v2022 3.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas virtuales que no utilizan discos administrados | Esta directiva audita las máquinas virtuales que no utilizan discos administrados | auditoría | 1.0.0 |
| Controla el acceso físico | CMA_0081: Controla el acceso físico | Manual, Deshabilitado | 1.1.0 |
| Definir un proceso de administración de claves físicas | CMA_0115: Define un proceso de administración de claves físicas | Manual, Deshabilitado | 1.1.0 |
| Establecer y mantener un inventario de activos | CMA_0266: Establece y mantener un inventario de activos | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Instalar un sistema de alarma | CMA_0338: Instala un sistema de alarma | Manual, Deshabilitado | 1.1.0 |
| Administrar un sistema de seguridad con cámara de vigilancia | CMA_0354: Administra un sistema de seguridad con cámara de vigilancia | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
4. Evitar el compromiso de credenciales
Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseñas efectiva.
ID: SWIFT CSCF v2022 4.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten conexiones remotas de cuentas sin contraseñas | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas Linux que tengan cuentas sin contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseñas | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan la antigüedad máxima de contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida en el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Los equipos no son compatibles si los equipos Windows no tienen habilitada la configuración de complejidad de contraseña | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas al número de caracteres especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña al número de caracteres especificado. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux | Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 3.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Administración de la duración y reutilización del autenticador | CMA_0355: Administra la duración y reutilización del autenticador | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
Evite que la situación de riesgo de uno de los factores de autenticación permita el acceso a los sistemas o las aplicaciones relacionados con SWIFT mediante la implementación de la autenticación multifactor.
ID: SWIFT CSCF v2022 4.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Adoptar mecanismos de autenticación biométrica | CMA_0005: Adopta mecanismos de autenticación biométrica | Manual, Deshabilitado | 1.1.0 |
| Identificación y autenticación de dispositivos de red | CMA_0296: Identifica y autentica los dispositivos de red | Manual, Deshabilitado | 1.1.0 |
5. Administrar identidades y segregar privilegios
Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador.
ID: SWIFT CSCF v2022 5.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Debe designar un máximo de 3 propietarios para la suscripción | Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Asignación de administradores de cuentas | CMA_0015: Asigna administradores de cuentas | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Auditar las máquinas Windows que contengan certificados que expiren en el plazo de días especificado | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. | auditIfNotExists | 2.0.0 |
| Automatiza la administración de cuentas | CMA_0026: Automatiza la administración de cuentas | Manual, Deshabilitado | 1.1.0 |
| Deben quitarse las cuentas bloqueadas que tengan permisos de propietario sobre los recursos de Azure | Las cuentas en desuso con permisos de propietario deben quitarse de su suscripción. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure | Las cuentas en desuso deben quitarse de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Definición de autorizaciones de acceso para admitir la separación de obligaciones | CMA_0116: Define autorizaciones de acceso para admitir la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Definición de tipos de cuenta del sistema de información | CMA_0121: Define tipos de cuenta del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Diseñar un modelo de control de acceso | CMA_0129: Diseña un modelo de control de acceso | Manual, Deshabilitado | 1.1.0 |
| Deshabilitar autenticadores tras la finalización | CMA_0169: Deshabilita los autenticadores tras la finalización | Manual, Deshabilitado | 1.1.0 |
| Privilegios de acceso del documento | CMA_0186: Privilegios de acceso del documento | Manual, Deshabilitado | 1.1.0 |
| Documentación de la separación de obligaciones | CMA_0204: Documenta la separación de obligaciones | Manual, Deshabilitado | 1.1.0 |
| Emplear el acceso con privilegios mínimos | CMA_0212: Emplea el acceso con privilegios mínimos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de condiciones para la pertenencia a roles | CMA_0269: Establece las condiciones para la pertenencia a roles | Manual, Deshabilitado | 1.1.0 |
| Las cuentas de invitado que tengan permisos de propietario sobre los recursos de Azure deben quitarse | Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado con permisos de lectura en los recursos de Azure deben quitarse | Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las cuentas de invitado que tengan permisos de escritura para los recursos de Azure deben quitarse | Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Administrar cuentas de administrador y del sistema | CMA_0368: Administra cuentas de administrador y del sistema | Manual, Deshabilitado | 1.1.0 |
| Supervisar el acceso en toda la organización | CMA_0376: Supervisa el acceso en toda la organización | Manual, Deshabilitado | 1.1.0 |
| Supervisión de la actividad de la cuenta | CMA_0377: Supervisa la actividad de la cuenta | Manual, Deshabilitado | 1.1.0 |
| Notificar cuando no se necesite la cuenta | CMA_0383: Notifica cuando no se necesite la cuenta | Manual, Deshabilitado | 1.1.0 |
| Proteger la información de auditoría | CMA_0401: Protege la información de auditoría | Manual, Deshabilitado | 1.1.0 |
| Reasignar o quitar privilegios de usuario según sea necesario | CMA_C1040: Reasigna o quita privilegios de usuario según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Requerir aprobación para la creación de cuentas | CMA_0431: Exige aprobación para la creación de cuentas | Manual, Deshabilitado | 1.1.0 |
| Restringir el acceso a las cuentas con privilegios | CMA_0446: Restringe el acceso a las cuentas con privilegios | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisar las cuentas de usuario | CMA_0480: Revisa cuentas de usuario | Manual, Deshabilitado | 1.1.0 |
| Revisar privilegios de usuario | CMA_C1039: Revisa privilegios de usuario | Manual, Deshabilitado | 1.1.0 |
| Revocar roles con privilegios según corresponda | CMA_0483: Revoca roles con privilegios según corresponda | Manual, Deshabilitado | 1.1.0 |
| Separación de las obligaciones de las personas | CMA_0492: Separa las obligaciones de las personas | Manual, Deshabilitado | 1.1.0 |
| Debe haber más de un propietario asignado a la suscripción | Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. | AuditIfNotExists, Deshabilitado | 3.0.0 |
Asegure la administración, el seguimiento y el uso adecuados de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens).
ID: SWIFT CSCF v2022 5.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Distribución de autenticadores | CMA_0184: Distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los tipos y procesos de autenticador | CMA_0267: Establece los tipos y procesos de autenticador | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de procedimientos para la distribución inicial del autenticador | CMA_0276: Establece los procedimientos para la distribución inicial del autenticador | Manual, Deshabilitado | 1.1.0 |
| Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. | Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Comprobación de la identidad antes de distribuir autenticadores | CMA_0538: Compruebe la identidad antes de distribuir autenticadores | Manual, Deshabilitado | 1.1.0 |
En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal.
ID: SWIFT CSCF v2022 5.3A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Borrado del personal con acceso a información clasificada | CMA_0054: Borra al personal con acceso a información clasificada | Manual, Deshabilitado | 1.1.0 |
| Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo | CMA_C1528: Garantiza que los acuerdos de acceso se firman o se vuelven a firmar a tiempo | Manual, Deshabilitado | 1.1.0 |
| Implementación del filtrado de personal | CMA_0322: Implementa el filtrado de personal | Manual, Deshabilitado | 1.1.0 |
| Proteger información especial | CMA_0409: Protege información especial | Manual, Deshabilitado | 1.1.0 |
| Revisión de individuos con una frecuencia definida | CMA_C1512: Revisa individuos con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
Proteja física y lógicamente el repositorio de contraseñas registradas.
ID: SWIFT CSCF v2022 5.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible | Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más información, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Documentar los requisitos de seguridad en los contratos de adquisición | CMA_0203: Documenta los requisitos de seguridad en los contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una directiva de contraseñas | CMA_0256: Establece una directiva de contraseñas | Manual, Deshabilitado | 1.1.0 |
| Implementar los parámetros para los comprobadores de secretos memorizados | CMA_0321: Implementa los parámetros para los comprobadores de secretos memorizados | Manual, Deshabilitado | 1.1.0 |
| Los almacenes de claves deben tener habilitada la protección contra eliminación | La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de la organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. | Audit, Deny, Disabled | 2.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
6. Detectar actividad anómala en sistemas o registros de transacciones
Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados.
ID: SWIFT CSCF v2022 6.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar | CMA_0050: Bloquea los procesos sin firma y que no son de confianza ejecutados desde USB | Manual, Deshabilitado | 1.1.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlaciona los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Correlación de la información del examen de vulnerabilidades | CMA_C1558: Poner en correlación la información del examen de vulnerabilidades | Manual, Deshabilitado | 1.1.1 |
| Determinar eventos auditables | CMA_0137: Determina eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establece requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integra la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integra Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. | Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. | Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Observación e informe de los puntos débiles de seguridad | CMA_0384: Observar e informar de los puntos débiles de seguridad | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar modelado de amenazas | CMA_0392: Realizar el modelado de amenazas | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisa las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisa la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisa eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de los eventos de protección contra vulnerabilidades de seguridad | CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisa la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisar semanalmente el informe de detecciones de malware | CMA_0475: Revisa semanalmente el informe de detecciones de malware | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisa los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Actualizar las definiciones de antivirus | CMA_0517: Actualiza las definiciones de antivirus | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
Garantizar la integridad de software de los componentes relacionados con SWIFT y actuar en función de los resultados.
ID: SWIFT CSCF v2022 6.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Configurar estaciones de trabajo para comprobar si hay certificados digitales | CMA_0073: Configura estaciones de trabajo para comprobar si hay certificados digitales | Manual, Deshabilitado | 1.1.0 |
| Uso del apagado o reinicio automático cuando se detectan infracciones | CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones | Manual, Deshabilitado | 1.1.0 |
| Proteger los datos en tránsito mediante cifrado | CMA_0403: Protege los datos en tránsito mediante el cifrado | Manual, Deshabilitado | 1.1.0 |
| Proteger contraseñas con cifrado | CMA_0408: Protege contraseñas con cifrado | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Visualiza y configura los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Garantice la integridad de los registros de la base de datos para la interfaz de mensajería SWIFT o el conector del cliente y actúe en función de los resultados.
ID: SWIFT CSCF v2022 6.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
| Vista y configuración de los datos de diagnóstico del sistema | CMA_0544: Visualiza y configura los datos de diagnóstico del sistema | Manual, Deshabilitado | 1.1.0 |
Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local SWIFT.
ID: SWIFT CSCF v2022 6.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| El registro de actividad debe conservarse durante al menos un año | Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en VM con una identidad asignada por el usuario | Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | modificar | 4.1.0 |
| Todos los recursos del registro de flujo deben estar en estado habilitado | Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Auditar, Deshabilitado | 1.0.1 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Auditar funciones con privilegios | CMA_0019: Audita funciones con privilegios | Manual, Deshabilitado | 1.1.0 |
| Auditar el estado de la cuenta de usuario | CMA_0020: Audita el estado de la cuenta de usuario | Manual, Deshabilitado | 1.1.0 |
| Auditoría de máquinas virtuales sin la recuperación ante desastres configurada | Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. | auditIfNotExists | 1.0.0 |
| Azure Backup debe estar habilitado para Virtual Machines. | Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" | Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) | Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente | Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics | Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| Azure Monitor debe recopilar los registros de actividad de todas las regiones | Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Correlación de los registros de auditoría | CMA_0087: Correlaciona los registros de auditoría | Manual, Deshabilitado | 1.1.0 |
| Implementar la extensión de configuración de invitado de Windows para habilitar las asignaciones de configuración de invitado en VM de Windows | Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, consulte https://aka.ms/gcpol. | deployIfNotExists | 1.2.0 |
| Determinar eventos auditables | CMA_0137: Determina eventos auditables | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para la revisión de auditorías y la creación de informes | CMA_0277: Establece requisitos para la revisión de auditorías y la creación de informes | Manual, Deshabilitado | 1.1.0 |
| Los registros de flujo se deben configurar para cada grupo de seguridad de red | Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. | Auditar, Deshabilitado | 1.1.0 |
| Integración de la revisión, el análisis y la creación de informes de auditoría | CMA_0339: Integra la revisión, el análisis y la creación de informes de auditoría | Manual, Deshabilitado | 1.1.0 |
| Integración de Cloud App Security con una SIEM | CMA_0340: Integra Cloud App Security con una SIEM | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico | El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. | Auditar, Deshabilitado | 1.0.1 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría | CMA_C1114: Proporcionar alertas en tiempo real para los errores de eventos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Los registros de recursos de las cuentas de Batch deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de Key Vault deben estar habilitados | Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de Logic Apps deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.1.0 |
| Los registros de recursos de los servicios Search deben estar habilitados. | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Los registros de recursos de Service Bus deben estar habilitados | Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. | AuditIfNotExists, Deshabilitado | 5.0.0 |
| Revisar los registros de aprovisionamiento de cuentas | CMA_0460: Revisa los registros de aprovisionamiento de cuentas | Manual, Deshabilitado | 1.1.0 |
| Revisión de las asignaciones del administrador semanalmente | CMA_0461: Revisa las asignaciones del administrador de forma semanal | Manual, Deshabilitado | 1.1.0 |
| Revisar los datos de auditoría | CMA_0466: Revisa los datos de auditoría | Manual, Deshabilitado | 1.1.0 |
| Revisión de la información general del informe de identidad en la nube | CMA_0468: Revisa la información general del informe de identidad en la nube | Manual, Deshabilitado | 1.1.0 |
| Revisión de eventos de acceso controlado a carpetas | CMA_0471: Revisa eventos de acceso controlado a carpetas | Manual, Deshabilitado | 1.1.0 |
| Revisión de los eventos de protección contra vulnerabilidades de seguridad | CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad | Manual, Deshabilitado | 1.1.0 |
| Revisión de la actividad de las carpetas y de los archivos | CMA_0473: Revisa la actividad de las carpetas y de los archivos | Manual, Deshabilitado | 1.1.0 |
| Revisión de los cambios de grupos de roles semanalmente | CMA_0476: Revisa los cambios de grupos de roles semanalmente | Manual, Deshabilitado | 1.1.0 |
| Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros | Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. | auditar, Auditoría, denegar, Denegar, deshabilitado, Deshabilitado | 1.1.0 |
| La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK | Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| La extensión de Log Analytics debe instalarse en conjuntos de escalado de máquinas virtuales | Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. | AuditIfNotExists, Deshabilitado | 1.0.1 |
Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto.
ID: SWIFT CSCF v2022 6.5A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Vista previa]: El agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| [Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows | Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. | AuditIfNotExists, Deshabilitado | 1.0.2-preview |
| Alertar al personal de la fuga de información | CMA_0007: Alerta al personal de la fuga de información | Manual, Deshabilitado | 1.1.0 |
| Autorización, supervisión y control de VoIP | CMA_0025: Autoriza, supervisa y controla VoIP | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Azure Defender para App Service | Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para Key Vault | Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Se debe habilitar Azure Defender para servidores | Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Detectar servicios de red que no se han autorizado o aprobado | CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Se debe habilitar Microsoft Defender para Storage | Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Network Watcher debe estar habilitado | Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
| Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | CMA_0495: Establece notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
7. Planifique la respuesta a incidentes y el uso compartido de la información
Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos.
ID: SWIFT CSCF v2022 7.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de problemas de seguridad de la información | CMA_C1742: solucionar problemas de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 1.2.0 |
| La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. | Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Identificación de clases de incidentes y acciones realizadas | CMA_C1365: Identificar clases de incidentes y acciones realizadas | Manual, Deshabilitado | 1.1.0 |
| Incorporación de eventos simulados en el entrenamiento de respuesta a incidentes | CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje sobre la pérdida de información | CMA_0413: Proporciona aprendizaje sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad | Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. | AuditIfNotExists, Deshabilitado | 1.0.1 |
Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios.
ID: SWIFT CSCF v2022 7.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentación de las actividades de formación sobre seguridad y privacidad | CMA_0198: Documenta las actividades de aprendizaje sobre seguridad y privacidad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje periódico de la seguridad basada en roles | CMA_C1095: Proporciona aprendizaje periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación periódico de concienciación de seguridad | CMA_C1091: Proporciona formación periódica de reconocimiento de seguridad | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación sobre la privacidad | CMA_0415: Proporcionar formación sobre la privacidad | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de los ejercicios prácticos basados en roles | CMA_C1096: Proporcionar los ejercicios prácticos basados en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad basada en roles | CMA_C1094: Proporciona aprendizaje de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de entrenamiento basado en roles sobre actividades sospechosas | CMA_C1097: proporcionar formación basada en roles para las actividades sospechosas | Manual, Deshabilitado | 1.1.0 |
| Ofrecimiento de entrenamiento de concienciación sobre seguridad contra amenazas internas | CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad antes de proporcionar acceso | CMA_0418: Proporciona aprendizaje de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación de seguridad para usuarios nuevos | CMA_0419: Proporciona formación de seguridad para usuarios nuevos | Manual, Deshabilitado | 1.1.0 |
| Proporcionar formación actualizado en concienciación de la seguridad | CMA_C1090: Proporciona formación actualizada en reconocimiento de la seguridad | Manual, Deshabilitado | 1.1.0 |
Valide la configuración de seguridad operativa e identifique las brechas de seguridad mediante pruebas de penetración.
ID: SWIFT CSCF v2022 7.3A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Emplear un equipo independiente para pruebas de penetración | CMA_C1171: Emplea un equipo independiente para pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores compilen una arquitectura de seguridad | CMA_C1612: Exige que los desarrolladores compilen una arquitectura de seguridad | Manual, Deshabilitado | 1.1.0 |
Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles.
ID: SWIFT CSCF v2022 7.4A Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realizar una evaluación de riesgos | CMA_C1543: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y distribución de sus resultados | CMA_C1544: Realiza una evaluación de riesgos y distribuye sus resultados | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos y documentación de sus resultados | CMA_C1542: Realiza una evaluación de riesgos y documentar sus resultados | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una estrategia de administración de riesgos | CMA_0258: Establece una estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Implementación de la estrategia de administración de riesgos | CMA_C1744: Implementa la estrategia de administración de riesgos | Manual, Deshabilitado | 1.1.0 |
| Realización de una evaluación de riesgos | CMA_0388: Realiza una evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de directivas y procedimientos de evaluación de riesgos | CMA_C1537: Revisa y actualiza directivas y procedimientos de evaluación de riesgos | Manual, Deshabilitado | 1.1.0 |
8. Establecer y supervisar el rendimiento
Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr.
ID: SWIFT CSCF v2022 8.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibe opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Proporcionar información de supervisión según sea necesario | CMA_C1689: Proporciona información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
Garantice la disponibilidad, la capacidad y la calidad de los servicios dirigidos a los clientes
ID: SWIFT CSCF v2022 8.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización del planeamiento de capacidad | CMA_C1252: Realiza el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Creación de acciones alternativas para las anomalías identificadas | CMA_C1711: Crear acciones alternativas para las anomalías identificadas | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Notificación al personal de cualquier prueba de comprobación de seguridad con errores | CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores | Manual, Deshabilitado | 1.1.0 |
| Realización de una comprobación de la función de seguridad con una frecuencia definida | CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse.
ID: SWIFT CSCF v2022 8.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Solución de vulnerabilidades de codificación | CMA_0003: Soluciona vulnerabilidades de codificación | Manual, Deshabilitado | 1.1.0 |
| Desarrollo y documentación de los requisitos de seguridad de las aplicaciones | CMA_0148: Desarrolla y documenta los requisitos de seguridad de las aplicaciones | Manual, Deshabilitado | 1.1.0 |
| Documentación del entorno del sistema de información en contratos de adquisición | CMA_0205: Documenta el entorno del sistema de información en contratos de adquisición | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de desarrollo de software seguro | CMA_0259: Establece un programa de desarrollo de software seguro | Manual, Deshabilitado | 1.1.0 |
| Realizar exámenes de vulnerabilidades | CMA_0393: Realiza exámenes de vulnerabilidades | Manual, Deshabilitado | 1.1.0 |
| Corregir errores del sistema de información | CMA_0427: Corrige los errores del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto | CMA_C1597: Exige a los desarrolladores que documenten los cambios aprobados y su posible impacto | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores implementen solo los cambios aprobados | CMA_C1596: Exige que los desarrolladores implementen solo los cambios aprobados | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores administren la integridad de los cambios | CMA_C1595: Exige que los desarrolladores administren la integridad de los cambios | Manual, Deshabilitado | 1.1.0 |
| Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | CMA_C1602: Exige que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad | Manual, Deshabilitado | 1.1.0 |
| Comprobar el software, el firmware y la integridad de la información | CMA_0542: Comprobar el software, el firmware y la integridad de la información | Manual, Deshabilitado | 1.1.0 |
9. Garantizar la disponibilidad a través de la resistencia
Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local.
ID: SWIFT CSCF v2022 9.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Desarollar directivas y procedimientos de planes de contingencia | CMA_0156: Desarrolla directivas y procedimientos de planes de contingencia | Manual, Deshabilitado | 1.1.0 |
| Distribución de directivas y procedimientos | CMA_0185: Distribuye directivas y procedimientos | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje sobre contingencias | CMA_0412: Proporciona aprendizaje sobre contingencias | Manual, Deshabilitado | 1.1.0 |
| Ejecución de ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio.
ID: SWIFT CSCF v2022 9.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Realización de copias de seguridad de la documentación del sistema de información | CMA_C1289: Realiza copias de seguridad de la documentación del sistema de información | Manual, Deshabilitado | 1.1.0 |
| Crear sitios de almacenamiento alternativos y primarios independientes | CMA_C1269: Crea sitios de almacenamiento alternativos y primarios independientes | Manual, Deshabilitado | 1.1.0 |
| Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | CMA_C1268: Garantiza que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | CMA_C1267: Establece un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un sitio de procesamiento alternativo | CMA_0262: Establece un sitio de procesamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de requisitos para los proveedores de servicios de Internet | CMA_0278: Establece requisitos para los proveedores de servicios de Internet | Manual, Deshabilitado | 1.1.0 |
| Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo | CMA_C1271: Identifica y mitiga posibles problemas en un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
| Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo | CMA_C1278: Preparar el sitio de procesamiento alternativo para usarlo como sitio operativo | Manual, Deshabilitado | 1.1.0 |
| Recuperación y reconstrucción de los recursos después de una interrupción | CMA_C1295: Recupera y reconstruye los recursos después de cualquier interrupción | Manual, Deshabilitado | 1.1.1 |
| Restauración de los recursos al estado operativo | CMA_C1297: Restaurar los recursos al estado operativo | Manual, Deshabilitado | 1.1.1 |
| Almacenamiento independiente de la información de copia de seguridad | CMA_C1293: Almacena la información de copia de seguridad por separado | Manual, Deshabilitado | 1.1.0 |
| Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo | CMA_C1294: Transfiere la información de copia de seguridad a un sitio de almacenamiento alternativo | Manual, Deshabilitado | 1.1.0 |
La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza.
ID: SWIFT CSCF v2022 9.3 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres | CMA_0146: Desarrolla y documenta un plan de continuidad empresarial y recuperación ante desastres | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Uso de iluminación de emergencia automática | CMA_0209: Usa iluminación de emergencia automática | Manual, Deshabilitado | 1.1.0 |
| Implementación de una metodología de pruebas de penetración | CMA_0306: Implementar una metodología de pruebas de penetración | Manual, Deshabilitado | 1.1.0 |
| Implementar la seguridad física para oficinas, áreas de trabajo y áreas seguras | CMA_0323: Implementa la seguridad física para las oficinas, áreas de trabajo y áreas seguras | Manual, Deshabilitado | 1.1.0 |
| Revisar y actualizar directivas y procedimientos físicos y del entorno | CMA_C1446: Revisa y actualiza directivas y procedimientos físicos y ambientales | Manual, Deshabilitado | 1.1.0 |
| Ejecución de ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
La disponibilidad y la calidad de servicio de los proveedores se garantizan mediante el uso de los paquetes de conectividad SWIFT recomendados y el ancho de banda de línea adecuado.
ID: SWIFT CSCF v2022 9.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Autorización, supervisión y control de VoIP | CMA_0025: Autoriza, supervisa y controla VoIP | Manual, Deshabilitado | 1.1.0 |
| Realización del planeamiento de capacidad | CMA_C1252: Realiza el planeamiento de capacidad | Manual, Deshabilitado | 1.1.0 |
| Implementación de protección de límites del sistema | CMA_0328: Implementa protección de límites del sistema | Manual, Deshabilitado | 1.1.0 |
| Administración de puertas de enlace | CMA_0363: Administra puertas de enlace | Manual, Deshabilitado | 1.1.0 |
| Redirección del tráfico mediante puntos de acceso de red administrados | CMA_0484: Redirige el tráfico mediante puntos de acceso de red administrados | Manual, Deshabilitado | 1.1.0 |
10. Prepárese para los casos de desastres importantes
La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes).
ID: SWIFT CSCF v2022 10.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Coordinación de planes de contingencia con planes relacionados | CMA_0086: Coordina planes de contingencia con planes relacionados | Manual, Deshabilitado | 1.1.0 |
| Desarollar un plan de contingencia | CMA_C1244: Desarrolla un plan de contingencia | Manual, Deshabilitado | 1.1.0 |
| Plan de continuidad de funciones empresariales esenciales | CMA_C1255: Plan de continuidad de funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Plan para reanudar las funciones empresariales esenciales | CMA_C1253: Plan para reanudar las funciones empresariales esenciales | Manual, Deshabilitado | 1.1.0 |
| Reanudación de todas las funciones empresariales y de misión | CMA_C1254: Reanuda todas las funciones empresariales y de misión | Manual, Deshabilitado | 1.1.0 |
11. Supervisar en caso de desastre importante
Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos.
ID: SWIFT CSCF v2022 11.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Obtención de opinión legal sobre la supervisión de las actividades del sistema | CMA_C1688: Recibe opinión legal sobre la supervisión de las actividades del sistema | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Proporcionar información de supervisión según sea necesario | CMA_C1689: Proporciona información de supervisión según sea necesario | Manual, Deshabilitado | 1.1.0 |
| Habilitar sensores para la solución de seguridad de punto de conexión | CMA_0514: Habilita sensores para la solución de seguridad de punto de conexión | Manual, Deshabilitado | 1.1.0 |
Garantice un enfoque coherente y eficaz para la administración de incidentes (administración de problemas).
ID: SWIFT CSCF v2022 11.2 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Evaluación de eventos de seguridad de la información | CMA_0013: Evalúa eventos de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Realización de pruebas de respuesta a incidentes | CMA_0060: Realizar pruebas de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Desarollar medidas de seguridad | CMA_0161: Desarrolla medidas de seguridad | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de un programa de seguridad de la información | CMA_0263: Establece un programa de seguridad de la información | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Identificación de clases de incidentes y acciones realizadas | CMA_C1365: Identificar clases de incidentes y acciones realizadas | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Incorporación de eventos simulados en el entrenamiento de respuesta a incidentes | CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento de registros de vulneración de datos | CMA_0351: Mantiene registros de vulneración de datos | Manual, Deshabilitado | 1.1.0 |
| Mantenimiento del plan de respuesta a incidentes | CMA_0352: Mantiene el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Protección del plan de respuesta a incidentes | CMA_0405: Protege el plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje sobre la pérdida de información | CMA_0413: Proporciona aprendizaje sobre la pérdida de información | Manual, Deshabilitado | 1.1.0 |
| Revisión y actualización de las directivas y procedimientos de respuesta a incidentes | CMA_C1352: Revisa y actualiza las directivas y procedimientos de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Ejecución de ataques de simulación | CMA_0486: Ejecutar los ataques de simulación | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Garantice una escalación adecuada de los errores operativos en caso de impacto en el cliente.
ID: SWIFT CSCF v2022 11.4 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Automatización del proceso para documentar los cambios implementados | CMA_C1195: Automatiza el proceso para documentar los cambios implementados | Manual, Deshabilitado | 1.1.0 |
| Automatización del proceso para resaltar las propuestas de cambio no vistas | CMA_C1193: Automatiza el proceso para resaltar las propuestas de cambio no vistas | Manual, Deshabilitado | 1.1.0 |
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecer y documentar los procesos de control de cambios | CMA_0265: Establece y documentar los procesos de control de cambios | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de los requisitos de administración de configuración para desarrolladores | CMA_0270: Establece los requisitos de administración de configuración para desarrolladores | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Realización de una auditoría para el control de cambios de configuración | CMA_0390: Realiza auditoría para el control de cambios de configuración | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial.
ID: SWIFT CSCF v2022 11.5 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Desarrolla un plan de respuesta a incidentes | CMA_0145: Desarrolla un plan de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Documentar operaciones de seguridad | CMA_0202: Documenta operaciones de seguridad | Manual, Deshabilitado | 1.1.0 |
| Habilitar la protección de red | CMA_0238: Habilita la protección de red | Manual, Deshabilitado | 1.1.0 |
| Erradicación de la información contaminada | CMA_0253: Erradica la información contaminada | Manual, Deshabilitado | 1.1.0 |
| Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos | CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos | Manual, Deshabilitado | 1.1.0 |
| Ejecución de acciones en respuesta a los volcados de información | CMA_0281: Ejecuta acciones en respuesta a los volcados de información | Manual, Deshabilitado | 1.1.0 |
| Identificación del personal de respuesta a incidentes | CMA_0301: Identificar el personal de respuesta a incidentes | Manual, Deshabilitado | 1.1.0 |
| Implementación del control de incidentes | CMA_0318: Implementa el control de incidentes | Manual, Deshabilitado | 1.1.0 |
| Realizar un análisis de tendencias sobre amenazas | CMA_0389: Realiza un análisis de tendencias sobre amenazas | Manual, Deshabilitado | 1.1.0 |
| Visualización e investigación de usuarios restringidos | CMA_0545: Visualiza e investiga usuarios restringidos | Manual, Deshabilitado | 1.1.0 |
12. Asegúrese de que la información está disponible
Garantice la calidad del servicio a los clientes a través de empleados certificados por SWIFT.
ID: SWIFT CSCF v2022 12.1 Propiedad: Compartida
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| Proporcionar aprendizaje periódico de la seguridad basada en roles | CMA_C1095: Proporciona aprendizaje periódica de la seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad basada en roles | CMA_C1094: Proporciona aprendizaje de seguridad basada en roles | Manual, Deshabilitado | 1.1.0 |
| Proporcionar aprendizaje de seguridad antes de proporcionar acceso | CMA_0418: Proporciona aprendizaje de seguridad antes de proporcionar acceso | Manual, Deshabilitado | 1.1.0 |
Siguientes pasos
Artículos adicionales sobre Azure Policy:
- Introducción al Cumplimiento normativo.
- Consulte la estructura de definición de la iniciativa.
- Consulte más ejemplos en Ejemplos de Azure Policy.
- Vea la Descripción de los efectos de directivas.
- Obtenga información sobre cómo corregir recursos no compatibles.