Compartir a través de


Control de seguridad V2: gobernanza y estrategia

Nota:

El estándar de seguridad de Azure más up-toactualizado está disponible aquí.

Gobernanza y estrategia proporciona una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobernanza documentado para guiar y mantener el control de la seguridad, incluyendo el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, una estrategia técnica unificada y directivas y estándares de apoyo.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-1 2, 13 SC, AC

Asegúrese de documentar y comunicar una estrategia clara para la supervisión continua y la protección de sistemas y datos. Priorice la detección, la evaluación, la protección y la supervisión de datos y sistemas críticos para la empresa.

Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:

  • Estándar de clasificación de datos de acuerdo con los riesgos empresariales

  • Visibilidad de la organización de seguridad en riesgos e inventario de recursos

  • Aprobación de la organización de seguridad de los servicios de Azure para su uso

  • Seguridad de los recursos a través de su ciclo de vida

  • Estrategia de control de acceso necesaria de acuerdo con la clasificación de datos de la organización

  • Uso de funcionalidades de protección de datos nativas y de terceros de Azure

  • Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

  • Estándares criptográficos adecuados

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-2: Definición de la estrategia de segmentación empresarial

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-2 4, 9, 16 AC, CA, SC

Establezca una estrategia de toda la empresa para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.

Equilibre cuidadosamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Asegúrese de que la estrategia de segmentación se implementa de forma coherente en todos los tipos de control, incluidos los modelos de seguridad de red, identidad y acceso, y los modelos de permisos y acceso de aplicaciones y controles de procesos humanos.

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-3: Definición de la estrategia de administración de la posición de seguridad

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-3 20, 3, 5 RA, CM, SC

Mida y mitigue continuamente los riesgos a los recursos individuales y al entorno en el que se hospedan. Priorice los recursos de alto valor y las superficies de ataque altamente expuestas, como las aplicaciones publicadas, los puntos de entrada y salida de red, los puntos de conexión de usuario y administrador, etc.

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-4: Estructurar roles, responsabilidades y autoridad de la organización

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-4 No disponible Líder de Proyecto, Gerente de Proyecto

Asegúrese de documentar y comunicar una estrategia clara para roles y responsabilidades en su organización de seguridad. Dé prioridad a proporcionar una responsabilidad clara para las decisiones de seguridad, educar a todos en el modelo de responsabilidad compartida y educar a los equipos técnicos sobre la tecnología para proteger la nube.

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-5: Definición de la estrategia de seguridad de red

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-5 9 CA, SC

Establezca un enfoque de seguridad de red de Azure como parte de la estrategia general de control de acceso de seguridad de su organización.

Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:

  • Administración centralizada de red y responsabilidad de seguridad

  • Modelo de segmentación de red virtual alineado con la estrategia de segmentación empresarial

  • Estrategia de corrección en diferentes escenarios de amenazas y ataques

  • Estrategia de borde y de entrada y salida de Internet

  • Estrategia de interconectividad local y nube híbrida

  • Artefactos de seguridad de red actualizados (como diagramas de red, arquitectura de red de referencia)

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-6: Definir la estrategia de identidad y acceso privilegiado

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-6 16, 4 CA, AU, SC

Establezca una identidad de Azure y enfoques de acceso con privilegios como parte de la estrategia general de control de acceso de seguridad de su organización.

Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:

  • Un sistema de identidad y autenticación centralizado y su interconectividad con otros sistemas de identidad internos y externos

  • Métodos de autenticación seguros en diferentes casos de uso y condiciones

  • Protección de usuarios con privilegios elevados

  • Supervisión y gestión de actividades de usuario anómalas

  • Proceso de evaluación y reconciliación de identidad y acceso de usuario

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-7 19 IR, AU, RA, SC

Establezca una estrategia de registro y respuesta a amenazas para detectar y corregir rápidamente las amenazas al tiempo que cumple los requisitos de cumplimiento. Dé prioridad a proporcionar a los analistas alertas de alta calidad y experiencias sin problemas para que puedan centrarse en amenazas en lugar de en los pasos manuales y de integración.

Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:

  • El rol y las responsabilidades de la organización de operaciones de seguridad (SecOps)

  • Un proceso de respuesta a incidentes bien definido que se alinea con NIST u otro marco del sector

  • Captura y retención de registros para satisfacer las necesidades de detección de amenazas, respuesta a incidentes y cumplimiento

  • Visibilidad centralizada y información de correlación sobre amenazas, uso de SIEM, funcionalidades nativas de Azure y otros orígenes

  • Comunicación y plan de notificación con sus clientes, proveedores y partes públicas de interés

  • Uso de plataformas nativas y de terceros de Azure para el control de incidentes, como el registro y la detección de amenazas, los análisis forenses y la corrección y la erradicación de ataques

  • Procesos para controlar incidentes y actividades posteriores a incidentes, como lecciones aprendidas y retención de evidencias

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Identificador de Azure Identificadores de CIS Controls v7.1 IDENTIFICADORES DEL NIST SP 800-53 r4
GS-8 10 CP

Establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones documentadas, directivas y estándares para los siguientes elementos:

  • Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia empresarial

  • Diseño de redundancia en las aplicaciones y la configuración de la infraestructura

  • Protección de la copia de seguridad mediante el control de acceso y el cifrado de datos

Para obtener más información, consulte las referencias siguientes:

Responsabilidad: Cliente

Partes interesadas de la seguridad del cliente (más información):