Plan de modernización rápida de la seguridad

Este plan de modernización rápida (RAMP) le ayudará a adoptar rápidamente la estrategia de acceso con privilegios recomendada de Microsoft.

Este plan de desarrollo se basa en los controles técnicos establecidos en la guía de implementación de acceso con privilegios. Complete esos pasos y, a continuación, use los pasos de este RAMP para configurar los controles de su organización.

Nota:

Muchos de estos pasos tendrán una dinámica greenfield (implementación desde cero) o brownfield (conversión del sistema existente), ya que las organizaciones suelen tener riesgos de seguridad en la forma en que ya están implementadas o configuradas las cuentas. Este plan de desarrollo prioriza detener primero la acumulación de nuevos riesgos de seguridad y, después, limpia los elementos restantes que ya se han acumulado.

A medida que avanza por el plan de desarrollo, puede usar la Puntuación de seguridad de Microsoft para realizar un seguimiento y comparar muchos elementos del recorrido con otros de organizaciones similares a lo largo del tiempo. Obtenga más información sobre la Puntuación de seguridad de Microsoft en el artículo Introducción a la Puntuación de seguridad.

Cada elemento de este RAMP se estructura como una iniciativa que se supervisará y administrará mediante un formato que se basa en la metodología de objetivos y resultados clave (OKR). Cada elemento incluye qué (objetivo), por qué, quién, cómo y cómo medir (resultados clave). Algunos elementos requieren cambios en los procesos y conocimientos y aptitudes de las personas, mientras que otros son cambios tecnológicos más sencillos. Muchas de estas iniciativas incluirán miembros fuera del departamento de TI tradicional que deben incluirse en la toma de decisiones y la implementación de estos cambios para asegurarse de que se integran correctamente en su organización.

Es fundamental trabajar juntos como organización, crear asociaciones y formar a personas que tradicionalmente no formaban parte de este proceso. Es fundamental crear y mantener la participación en toda la organización, sin que se produzca un error en muchos proyectos.

Separación y administración de cuentas con privilegios

Cuentas de acceso de emergencia

• Qué: asegúrese de que no se queda accidentalmente fuera de su organización Microsoft Entra en una situación de emergencia.
• Por qué: las cuentas de acceso de emergencia rara vez se usan y son muy perjudiciales para la organización si están en peligro, pero su disponibilidad para la organización también es fundamental para los pocos escenarios en los que se requieren. Asegúrese de tener un plan de continuidad de acceso que se ajuste a los eventos esperados e inesperados.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros.
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
• Cómo: Siga las indicaciones de Gestionar cuentas de acceso de emergencia en Microsoft Entra ID.
• Resultados clave de la medida:
  • Establecimiento: el proceso de acceso de emergencia se ha diseñado en función de las instrucciones de Microsoft que satisfacen las necesidades de la organización.
  • Mantenimiento: el acceso de emergencia se ha revisado y probado en los últimos 90 días.

Habilite Microsoft Entra Privileged Identity Management.

• Qué: uso de Microsoft Entra Privileged Identity Management (PIM) en el entorno de producción de Microsoft Entra para detectar y proteger cuentas con privilegios.
• Por qué: Privileged Identity Management proporciona activación de rol basada en tiempo y en aprobación para mitigar los riesgos de tener unos permisos de acceso excesivos, innecesarios o mal utilizados.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
• Cómo: implemente y configure Azure AD Privileged Identity Management mediante las instrucciones del artículo Implementación de Microsoft Entra Privileged Identity Management (PIM).
• Resultados clave de la medida: el 100 % de los roles de acceso con privilegios aplicables usan Microsoft Entra PIM.

Identificación y categorización de cuentas con privilegios (Microsoft Entra ID)

• Qué: identifique todos los roles y grupos con un alto impacto empresarial que requerirán un nivel de seguridad con privilegios (inmediatamente o a lo largo del tiempo). Estos administradores necesitarán cuentas separadas en un paso posterior Administración de acceso privilegiado.

• Por qué: este paso es necesario para identificar y minimizar el número de personas que requieren cuentas independientes y protección de acceso con privilegios.

• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.

  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo

• Cómo: Después de activar Microsoft Entra Privileged Identity Management, vea los usuarios que se encuentran en los siguientes roles de Microsoft Entra como mínimo en función de las directivas de riesgo de las organizaciones:

  • Administrador global
  • Administrador de roles con privilegios
  • Administrador de Exchange
  • Administrador de SharePoint

  Para obtener una lista completa de los roles de administrador, consulte Permisos de rol de administrador en Microsoft Entra ID.

  Quite las cuentas que ya no sean necesarias en esos roles. A continuación, clasifique las restantes que están asignadas a roles de administrador:

  • Se asignan a usuarios administrativos, pero también se usan para fines de productividad no administrativos, como leer y responder al correo electrónico.
  • Asignadas a usuarios administrativos y utilizadas solo para fines administrativos.
  • Compartidas entre varios usuarios
  • Para los escenarios de acceso de máxima emergencia
  • Para scripts automatizados
  • Para usuarios externos

Si no dispone de Microsoft Entra Privileged Identity Management en la organización, puede usar la API de PowerShell. Comience por el rol Administrador global, ya que un administrador global tiene los mismos permisos en todos los servicios en la nube a los que la organización se ha suscrito. Estos permisos se conceden independientemente de dónde se hayan asignado: en el centro de administración de Microsoft 365, en Azure Portal o en el módulo de Azure AD para Microsoft PowerShell.

• Resultados clave de la medida: la revisión y la identificación de roles de acceso con privilegios se han completado en los últimos 90 días.

Cuentas independientes (cuentas de AD locales)

• Qué: proteja las cuentas administrativas con privilegios locales, si no lo ha hecho. Esta fase incluye:

  • Creación de cuentas de administrador independientes para aquellos usuarios que deban llevar a cabo tareas administrativas en el entorno local
  • Implementación de estaciones de trabajo con acceso con privilegios para los administradores de Active Directory
  • Creación de contraseñas de administrador locales únicas para estaciones de trabajo y servidores

• Por qué: protección de las cuentas que se usan para las tareas administrativas. Las cuentas de administrador deben tener el correo deshabilitado y no se debe permitir ninguna cuenta de Microsoft personal.

• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.

  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo

• Cómo: todos los usuarios que están autorizados a poseer privilegios administrativos deben tener cuentas independientes para funciones administrativas que son distintas de las cuentas de usuario. No comparta estas cuentas entre los usuarios.

  • Cuentas de usuario estándar: privilegios de usuario estándar concedidos para las tareas de usuario estándar, como correo electrónico, exploración web y el uso de aplicaciones de línea de negocio. Estas cuentas no deben tener privilegios administrativos.
  • Cuentas administrativas: cuentas separadas creadas para el personal que está asignado a los privilegios administrativos apropiados.

• Resultados clave de la medida: el 100 % de los usuarios con privilegios locales tienen cuentas dedicadas independientes.

Microsoft Defender for Identity

• Qué: Microsoft Defender for Identity combina señales locales con información de nube para supervisar, proteger e investigar eventos en un formato simplificado que permite a los equipos de seguridad detectar ataques avanzados contra la infraestructura de identidades con la capacidad de:

  • Supervisar usuarios, el comportamiento de la entidad y las actividades con análisis basados en aprendizaje.
  • Proteger las identidades y las credenciales del usuario almacenadas en Active Directory.
  • Identificar e investigar las actividades del usuario sospechosas y los ataques avanzados a lo largo de la cadena de destrucción.
  • Proporcionar información clara sobre los incidentes en una escala de tiempo sencilla para una rápida evaluación de prioridades.

• Por qué: los atacantes modernos pueden pasar desapercibidos durante largos períodos de tiempo. Muchas amenazas son difíciles de encontrar sin una imagen cohesiva de todo el entorno de identidad.

• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.

  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo

• Cómo: implemente y habilite Microsoft Defender for Identity y revise las alertas abiertas.

• Resultados clave de la medida: todas las alertas abiertas revisadas y mitigadas por los equipos adecuados.

Mejora de la experiencia de administración de credenciales

Implementación y documentación del autoservicio de restablecimiento de contraseña y el registro de información de seguridad combinada

• Qué: habilite y configure el autoservicio de restablecimiento de contraseña (SSPR) en su organización y habilite la experiencia de registro de información de seguridad combinada.
• Por qué: los usuarios pueden restablecer sus propias contraseñas una vez que se han registrado. La experiencia de registro de información de seguridad combinada proporciona una mejor experiencia de usuario que permite el registro para Microsoft Entra Multi-Factor Authentication y el autoservicio de restablecimiento de contraseña. Estas herramientas, cuando se usan juntas, contribuyen a reducir los costos del departamento de soporte técnico y a usuarios más satisfechos.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
    • Operaciones de TI central: se han actualizado los procesos del departamento de soporte técnico y se ha entrenado al personal sobre ellos.
• Cómo: para habilitar e implementar SSPR, consulte el artículo Planeamiento de una implementación de autoservicio de restablecimiento de contraseña de Microsoft Entra.
• Resultados clave de la medida: el autoservicio de restablecimiento de contraseña está completamente configurado y disponible para la organización.

Protección de las cuentas de administrador: habilitación y requerimiento de MFA o la autenticación sin contraseña para usuarios con privilegios de Microsoft Entra ID

• Qué: requerir que todas las cuentas con privilegios de Microsoft Entra ID usen la autenticación multifactor segura.

• Por qué: para proteger el acceso a los datos y servicios en Microsoft 365.

• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.

  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
    • Operaciones de TI central: se han actualizado los procesos del departamento de soporte técnico y se ha entrenado al personal sobre ellos.
    • Operaciones de TI central: se han actualizado los procesos del propietario del servicio y se ha entrenado al personal sobre ellos.

• Cómo: Active la autenticación multifactor (MFA) de Microsoft Entra y registre todas las demás cuentas de administrador monousuario no federado con privilegios elevados. Requerir autenticación multifactor en el inicio de sesión para todos los usuarios individuales que están permanentemente asignados a uno o más de los roles de administrador de Microsoft Entra como:

  • Administrador global
  • Administrador de roles con privilegios
  • Administrador de Exchange
  • Administrador de SharePoint

  Requiera a los administradores que usen métodos de inicio de sesión sin contraseña, como las claves de seguridad FIDO2 o Windows Hello para empresas junto con contraseñas únicas, largas y complejas. Aplique este cambio con un documento de directiva organizativa.

Siga las orientaciones de los siguientes artículos, Planificar una implementación de autenticación multifactor de Microsoft Entra y Planificar un despliegue de autenticación sin contraseña en Microsoft Entra ID.

• Resultados clave de la medida: el 100 % de los usuarios con privilegios usan la autenticación sin contraseña o una forma segura de autenticación multifactor para todos los inicios de sesión. Consulte Cuentas de acceso con privilegios para obtener una descripción de la autenticación multifactor.

Bloqueo de los protocolos de autenticación heredados para cuentas de usuario con privilegios

• Qué: bloquee los protocolos de autenticación heredados para cuentas de usuario con privilegios.

• Por qué: las organizaciones deben bloquear estos protocolos de autenticación heredados porque no se puede aplicar la autenticación multifactor en ellos. Dejar habilitados los protocolos de autenticación heredados puede crear un punto de entrada para los atacantes. Algunas aplicaciones heredadas pueden basarse en estos protocolos y las organizaciones tienen la opción de crear excepciones específicas para determinadas cuentas. Se debe realizar un seguimiento de estas excepciones y se deben implementar controles de supervisión adicionales.

• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.

  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de Directivas y estándares para establecer unos requisitos claros.
    • A los equipos de Administración de identidades y claves o Operaciones de TI central para implementar la directiva.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo

• Cómo: para bloquear los protocolos de autenticación heredados en su organización, siga las instrucciones del artículo Cómo bloquear la autenticación heredada para Microsoft Entra ID con acceso condicional.

• Resultados clave de la medida:

  • Protocolos heredados bloqueados: todos los protocolos heredados están bloqueados para todos los usuarios, con solo excepciones autorizadas.
  • Las excepciones se revisan cada 90 días y expiran de forma permanente en un año. Los propietarios de aplicaciones deben corregir todas las excepciones en el plazo de un año desde la primera aprobación de la excepción.

Proceso de consentimiento de la aplicación

• Qué: Deshabilitar el consentimiento del usuario final a las aplicaciones de Microsoft Entra.

Nota:

Este cambio requerirá centralizar el proceso de toma de decisiones con los equipos de administración de identidades y seguridad de su organización.

• Por qué: los usuarios pueden crear accidentalmente riesgos organizativos proporcionando consentimiento para una aplicación que puede acceder de forma malintencionada a los datos de la organización.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
    • Operaciones de TI central: se han actualizado los procesos del departamento de soporte técnico y se ha entrenado al personal sobre ellos.
    • Operaciones de TI central: se han actualizado los procesos del propietario del servicio y se ha entrenado al personal sobre ellos.
• Cómo: establezca un proceso de consentimiento centralizado para mantener la visibilidad y el control centralizados de las aplicaciones que tienen acceso a los datos siguiendo las instrucciones del artículo Administración del consentimiento a las aplicaciones y evaluación de las solicitudes de consentimiento.
• Resultados clave de la medida: los usuarios finales no pueden dar su consentimiento para el acceso a la aplicación de Microsoft Entra.

Limpieza de los riesgos de cuenta e inicio de sesión

• Qué: habilite Microsoft Entra ID Protection y limpie los riesgos que encuentre.
• Por qué: el comportamiento de inicio de sesión y usuario de riesgo puede ser un origen de ataques contra la organización.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
    • Operaciones de TI central: se han actualizado los procesos del departamento de soporte técnico para las llamadas relacionadas con el soporte técnico y se ha entrenado al personal sobre ellos.
• Cómo: cree un proceso que supervise y administre el riesgo de usuario e inicio de sesión. Decida si va a automatizar la corrección mediante Microsoft Entra Multi-Factor Authentication y SSPR o bloquear y requerir la intervención del administrador. Siga las instrucciones del artículo Configuración y habilitación de directivas de riesgo.
• Resultados clave de la medida: la organización no tiene ningún riesgo de inicio de sesión y usuario desatendido.

Nota:

Las directivas de acceso condicional son necesarias para bloquear la acumulación de nuevos riesgos de inicio de sesión. Consulte la sección Acceso condicional de Implementación de acceso con privilegios.

Implementación inicial de estaciones de trabajo de administración

• Qué: las cuentas con privilegios, como los administradores globales, tienen estaciones de trabajo dedicadas desde las que realizar tareas administrativas.
• Por qué: los dispositivos donde se completan las tareas de administración con privilegios son un objetivo de los atacantes. La protección, no solo de la cuenta, sino también de estos recursos, es fundamental para reducir el área de superficie de ataque. Esta separación limita su exposición a ataques comunes dirigidos a tareas relacionadas con la productividad, como el correo electrónico y la exploración web.
• Quién: esta iniciativa suelen llevarla a cabo los equipos de Administración de identidades y claves o Arquitectura de seguridad.
  • Patrocinio: esta iniciativa normalmente la patrocina el Director de seguridad de la información, el Director tecnológico o el Director del equipo de identidad.
  • Ejecución: esta iniciativa es un esfuerzo colaborativo que involucra:
    • Al equipo de directivas y estándares para documentar requisitos y estándares claros (según de esta guía).
    • A los equipos de Administración de identidades y claves u Operaciones de TI central para implementar los cambios.
    • Al equipo de Administración del cumplimiento de la seguridad para garantizar el cumplimiento normativo
    • Operaciones de TI central: se han actualizado los procesos del departamento de soporte técnico y se ha entrenado al personal sobre ellos.
    • Operaciones de TI central: se han actualizado los procesos del propietario del servicio y se ha entrenado al personal sobre ellos.
• Cómo: la implementación inicial debe ser a nivel empresarial, como se describe en el artículo Implementación del acceso con privilegios.
• Resultados clave de la medida: cada cuenta con privilegios tiene una estación de trabajo dedicada desde la que realizar tareas confidenciales.

Nota:

Este paso establece rápidamente una base de referencia de seguridad y debe aumentarse a niveles especializados y con privilegios lo antes posible.

Pasos siguientes

• Introducción a la protección del acceso con privilegios
• Estrategia de acceso con privilegios
• Medición correcta
• Niveles de seguridad
• Cuentas de acceso con privilegios
• Intermediarios
• Interfaces
• Dispositivos de acceso con privilegios
• Modelo de acceso de Enterprise