Compartir a través de


Recomendaciones para establecer una línea base de seguridad

Se aplica a la recomendación de lista de comprobación de seguridad del marco de trabajo bien diseñado de Azure:

SE:01 Establezca una línea de base de seguridad alineada con los requisitos de cumplimiento, los estándares del sector y las recomendaciones de plataforma. Mida periódicamente la arquitectura y las operaciones de la carga de trabajo con respecto a la línea base para mantener o mejorar la posición de seguridad con el tiempo.

En esta guía se describen las recomendaciones para establecer una línea base de seguridad. Una base de referencia de seguridad es un documento que especifica los requisitos de seguridad mínimos y las expectativas de su organización en una variedad de áreas. Una buena línea de base de seguridad le ayuda a:

  • Mantenga seguros los datos y los sistemas.
  • Cumplir con los requisitos normativos.
  • Minimizar el riesgo de supervisión.
  • Reduzca la probabilidad de infracciones y los efectos empresariales posteriores.

Las líneas base de seguridad deben publicarse ampliamente en toda la organización para que todas las partes interesadas conozcan las expectativas.

En esta guía se proporcionan recomendaciones sobre cómo establecer una línea base de seguridad basada en factores internos y externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen las pruebas comparativas del sector y los estándares normativos.

Definiciones

Término Definición
Línea de base El nivel mínimo de prestaciones de seguridad que debe tener una carga de trabajo para evitar que se aproveche.
Prueba comparativa Estándar que indica la posición de seguridad a la que aspira la organización. Se evalúa, mide y mejora con el tiempo.
Controles Controles técnicos o operativos en la carga de trabajo que ayudan a evitar ataques y aumentar los costos de los atacantes.
Requisitos reglamentarios Un conjunto de requisitos empresariales, impulsados por estándares del sector, que las leyes y las autoridades imponen.

Estrategias de diseño principales

Una base de referencia de seguridad es un documento estructurado que define un conjunto de criterios de seguridad y funcionalidades que la carga de trabajo debe cumplir para aumentar la seguridad. En un formulario más maduro, puede ampliar una línea base para incluir un conjunto de directivas que se usan para establecer límites de protección.

La línea base debe considerarse el estándar para medir la posición de seguridad. El objetivo siempre debe ser completo al tiempo que se mantiene un amplio alcance.

La línea de base de seguridad nunca debe ser un esfuerzo ad hoc. Los estándares del sector, el cumplimiento (interno o externo) o los requisitos normativos, los requisitos regionales y las pruebas comparativas de la plataforma en la nube son los principales impulsores de la línea base. Entre los ejemplos se incluyen los controles del Centro de seguridad de Internet (CIS), el Instituto Nacional de Estándares y Tecnología (NIST) y los estándares basados en la plataforma, como Microsoft Cloud Security Benchmark (MCSB). Todos estos estándares se consideran un punto de partida para la línea base. Cree la base mediante la incorporación de requisitos de seguridad a partir de los requisitos empresariales.

Para obtener vínculos a los recursos anteriores, consulte Vínculos relacionados.

Cree la línea de base ganando consenso entre los líderes empresariales y técnicos. La línea base no debe restringirse a los controles técnicos. También debe incluir los aspectos operativos de la administración y el mantenimiento de la posición de seguridad. Por lo tanto, el documento de línea de base también actúa como compromiso de la organización con respecto a la inversión en la seguridad de las cargas de trabajo. El documento de línea de base de seguridad debe distribuirse ampliamente dentro de la organización para asegurarse de que hay conocimiento sobre la posición de seguridad de la carga de trabajo.

A medida que crece la carga de trabajo y el ecosistema evoluciona, es fundamental mantener la línea base sincronizada con los cambios para asegurarse de que los controles fundamentales siguen siendo eficaces.

La creación de una línea base es un proceso metódico. Estas son algunas recomendaciones sobre el proceso:

  • Inventario de activos. Identifique las partes interesadas de los recursos de carga de trabajo y los objetivos de seguridad de esos recursos. En el inventario de recursos, clasifique por requisitos de seguridad y importancia. Para obtener información sobre los recursos de datos, consulte Recomendaciones sobre la clasificación de datos.

  • Evaluación de riesgos. Identificar posibles riesgos asociados a cada recurso y priorizarlos.

  • Requisitos de cumplimiento. Base de referencia cualquier normativa o cumplimiento para esos recursos y aplique los procedimientos recomendados del sector.

  • Estándares de configuración. Defina y documente configuraciones y valores de seguridad específicos para cada recurso. Si es posible, templatizar o encontrar una manera repetible y automatizada de aplicar la configuración de forma coherente en todo el entorno.

  • Control de acceso y autenticación. Especifique los requisitos de control de acceso basado en rol (RBAC) y autenticación multifactor (MFA). Documente lo que significa el acceso suficiente en el nivel de recurso. Comience siempre con el principio de privilegios mínimos.

  • Administración de revisiones. Aplique las versiones más recientes en todos los tipos de recursos para reforzar su ataque.

  • Documentación y comunicación. Documente todas las configuraciones, directivas y procedimientos. Comunique los detalles a las partes interesadas pertinentes.

  • Cumplimiento y responsabilidad. Establezca mecanismos de aplicación claros y consecuencias para la falta de cumplimiento con la línea de base de seguridad. Mantenga a los usuarios y equipos responsables de mantener los estándares de seguridad.

  • Supervisión continua. Evalúe la eficacia de la línea de base de seguridad a través de la observabilidad y realice mejoras en el tiempo extra.

Definición de la línea base

Estas son algunas categorías comunes que deben formar parte de una línea base. La lista siguiente no es exhaustiva. Está pensado como información general sobre el ámbito del documento.

Cumplimiento de normativas

Una carga de trabajo puede estar sujeta al cumplimiento normativo de segmentos específicos del sector, puede haber algunas restricciones geográficas, etc. Es fundamental comprender los requisitos que se indican en las especificaciones normativas, ya que estos influyen en las opciones de diseño y, en algunos casos, deben incluirse en la arquitectura.

La línea base debe incluir una evaluación regular de la carga de trabajo con respecto a los requisitos normativos. Aproveche las herramientas proporcionadas por la plataforma, como Microsoft Defender for Cloud, que pueden identificar áreas de incumplimiento. Trabaje con el equipo de cumplimiento de la organización para asegurarse de que se cumplen y mantienen todos los requisitos.

Componentes de la arquitectura

La línea base necesita recomendaciones prescriptivas para los componentes principales de la carga de trabajo. Normalmente se incluyen controles técnicos para redes, identidad, proceso y datos. Haga referencia a las líneas base de seguridad proporcionadas por la plataforma y agregue los controles que faltan a la arquitectura.

Consulte Ejemplo.

Procesos de desarrollo

La línea base debe tener recomendaciones sobre:

  • Clasificación del sistema.
  • Conjunto aprobado de tipos de recursos.
  • Seguimiento de los recursos.
  • Aplicar directivas para usar o configurar recursos.

El equipo de desarrollo debe tener una comprensión clara del ámbito de las comprobaciones de seguridad. Por ejemplo, el modelado de amenazas es un requisito para asegurarse de que las posibles amenazas se identifican en el código y en las canalizaciones de implementación. Sea específico sobre las comprobaciones estáticas y el examen de vulnerabilidades en la canalización y la frecuencia con la que el equipo debe realizar esos exámenes.

Para obtener más información, consulte Recomendaciones sobre el análisis de amenazas.

El proceso de desarrollo también debe establecer estándares sobre diversas metodologías de prueba y su cadencia. Para obtener más información, consulte Recomendaciones sobre las pruebas de seguridad.

Operations

La línea base debe establecer estándares sobre el uso de funcionalidades de detección de amenazas y generar alertas sobre actividades anómalas que indican incidentes reales. La detección de amenazas debe incluir todas las capas de la carga de trabajo, incluidos todos los puntos de conexión accesibles desde redes hostiles.

La línea base debe incluir recomendaciones para configurar procesos de respuesta a incidentes, incluida la comunicación y un plan de recuperación, y cuál de esos procesos se puede automatizar para acelerar la detección y el análisis. Para obtener ejemplos, consulte Líneas base de seguridad para información general de Azure.

La respuesta a incidentes también debe incluir un plan de recuperación y los requisitos de ese plan, como los recursos para realizar y proteger periódicamente las copias de seguridad.

Puede desarrollar planes de vulneración de datos mediante las recomendaciones y estándares del sector proporcionados por la plataforma. A continuación, el equipo tiene un plan completo que debe seguir cuando se detecta una infracción. Además, consulte con su organización para ver si hay cobertura a través de la seguridad cibernética.

Cursos

Desarrolle y mantenga un programa de entrenamiento de seguridad para asegurarse de que el equipo de cargas de trabajo está equipado con las aptitudes adecuadas para apoyar los objetivos y requisitos de seguridad. El equipo necesita entrenamiento de seguridad fundamental, pero use lo que pueda de su organización para admitir roles especializados. El cumplimiento y la participación de los entrenamientos de seguridad basados en roles forman parte de la línea de base de seguridad.

Aplicar la línea base

Use la línea base para impulsar iniciativas, como:

  • Preparación para las decisiones de diseño. Cree la línea base de seguridad y publíquela antes de iniciar el proceso de diseño de la arquitectura. Asegúrese de que los miembros del equipo son plenamente conscientes de las expectativas de su organización al principio, lo que evita costosas reprocesaciones causadas por una falta de claridad. Puede usar criterios de línea base como requisitos de carga de trabajo que la organización ha confirmado y diseñado y validado controles con esas restricciones.

  • Mida el diseño. Calificar las decisiones actuales en relación con la línea base actual. La línea base establece umbrales reales para los criterios. Documente las desviaciones que se aplazan o consideran aceptables a largo plazo.

  • Mejoras en la unidad. Aunque la línea base establece objetivos alcanzables, siempre hay brechas. Priorice las brechas en el trabajo pendiente y corrija en función de la priorización.

  • Realice un seguimiento del progreso en la línea base. La supervisión continua de las medidas de seguridad en una línea base establecida es esencial. El análisis de tendencias es una buena manera de revisar el progreso de la seguridad a lo largo del tiempo y puede revelar desviaciones coherentes de la línea base. Use la automatización tanto como sea posible, extraiga datos de varios orígenes, internos y externos, para abordar los problemas actuales y prepararse para futuras amenazas.

  • Establezca límites de protección. Siempre que sea posible, los criterios de línea base deben tener límites de protección. Los límites de protección aplican las configuraciones de seguridad, las tecnologías y las operaciones necesarias, en función de factores internos y factores externos. Entre los factores internos se incluyen los requisitos empresariales, los riesgos y la evaluación de recursos. Entre los factores externos se incluyen las pruebas comparativas, los estándares normativos y el entorno de amenazas. Los límites de protección ayudan a minimizar el riesgo de supervisión involuntaria y multas punitivas por incumplimiento.

Explore Azure Policy para obtener opciones personalizadas o use iniciativas integradas como pruebas comparativas de CIS o Azure Security Benchmark para aplicar las configuraciones de seguridad y los requisitos de cumplimiento. Considere la posibilidad de crear directivas e iniciativas de Azure fuera de las líneas base.

Evaluación periódica de la línea base

Mejore continuamente los estándares de seguridad de forma incremental hacia el estado ideal para garantizar una reducción continua del riesgo. Realice revisiones periódicas para asegurarse de que el sistema está actualizado y en cumplimiento de influencias externas. Cualquier cambio en la línea base debe ser formal, acordado y enviado a través de los procesos adecuados de administración de cambios.

Mida el sistema con la nueva línea de base y priorice las correcciones en función de su relevancia y efecto en la carga de trabajo.

Asegúrese de que la posición de seguridad no se degrada a lo largo del tiempo mediante la creación de auditorías y la supervisión del cumplimiento de los estándares de la organización.

Facilitación de Azure

El banco de pruebas de seguridad en la nube de Microsoft (MCSB) es un marco completo de procedimientos recomendados de seguridad que puede usar como punto de partida para la línea de base de seguridad. Úselo junto con otros recursos que proporcionan entrada a la línea base.

Para obtener más información, consulte Introducción al banco de pruebas de seguridad en la nube de Microsoft.

Use el panel de cumplimiento normativo de Microsoft Defender for Cloud (MDC) para realizar un seguimiento de esas líneas base y recibir alertas si se detecta un patrón fuera de una línea base. Para obtener más información, consulte personalización del conjunto de estándares en el panel de cumplimiento normativo.

Otras características que ayudan a establecer y mejorar la línea base:

Ejemplo

En este diagrama lógico se muestra una línea base de seguridad de ejemplo para los componentes arquitectónicos que abarcan la red, la infraestructura, el punto de conexión, la aplicación, los datos y la identidad para demostrar cómo se puede proteger un entorno de TI común. Otras guías de recomendaciones se basan en este ejemplo.

Diagrama que muestra un ejemplo del entorno de TI de línea base de seguridad de una organización con componentes de arquitectura.

Infraestructura

Un entorno de TI común, con una capa local con recursos básicos.

Servicios de seguridad de Azure

Servicios y características de seguridad de Azure por los tipos de recursos que protegen.

Servicios de supervisión de seguridad de Azure

Los servicios de supervisión disponibles en Azure que van más allá de los servicios de supervisión simples, como la administración de eventos de información de seguridad (SIEM) y las soluciones de respuesta automatizada de orquestación de seguridad (SOAR) y Microsoft Defender for Cloud.

Threats

Esta capa ofrece una recomendación y un recordatorio de que las amenazas se pueden asignar de acuerdo con las preocupaciones de su organización con respecto a las amenazas, independientemente de la metodología o matriz de mitre Attack Matrix o cyber kill chain.

Lista de comprobación de seguridad

Consulte el conjunto completo de recomendaciones.