Control de seguridad V2: Gobernanza y estrategia

La gobernanza y la estrategia proporcionan una guía para garantizar una estrategia de seguridad coherente y un enfoque de gobierno documentado para guiar y mantener el control de la seguridad, incluido el establecimiento de roles y responsabilidades para las diferentes funciones de seguridad en la nube, estrategia técnica unificada y directivas y estándares de soporte.

GS-1: Definición de la estrategia de protección de datos y administración de recursos

Asegúrese de documentar y comunicar una estrategia clara para la protección y supervisión continua de sistemas y datos. Dé prioridad a la detección, evaluación, protección y supervisión de los sistemas y datos críticos para la empresa.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Norma de clasificación de datos de acuerdo con los riesgos empresariales

• Visibilidad en la organización de seguridad de los riesgos y el inventario de recursos

• Aprobación de la organización de seguridad de los servicios de Azure para su uso

• Seguridad de los recursos durante su ciclo de vida

• Estrategia de control de acceso necesaria según la clasificación de datos de la organización

• Uso de las funcionalidades de protección de datos nativa de Azure y de terceros

• Requisitos de cifrado de datos para casos de uso en tránsito y en reposo

• Normas criptográficas adecuadas

Para más información, consulte las siguientes referencias:

• Recomendación para la arquitectura de seguridad de Azure: almacenamiento, datos y cifrado

• Aspectos básicos de la seguridad de Azure: seguridad, cifrado y almacenamiento de datos de Azure

• Cloud Adoption Framework: procedimientos recomendados de cifrado y seguridad de los datos de Azure

• Azure Security Benchmark: administración de recursos

• Azure Security Benchmark: protección de datos

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-2: Definición de una estrategia de segmentación empresarial

Establezca en toda la empresa una estrategia para segmentar el acceso a los recursos mediante una combinación de identidad, red, aplicación, suscripción, grupo de administración y otros controles.

Equilibre concienzudamente la necesidad de separación de seguridad con la necesidad de habilitar el funcionamiento diario de los sistemas que necesitan comunicarse entre sí y acceder a los datos.

Asegúrese de que la estrategia de segmentación se implementa de forma coherente en todos los tipos de control, como la seguridad de red, los modelos de identidad y acceso, y los modelos de acceso y permisos de las aplicaciones, y los controles de los procesos humanos.

• Guía de la estrategia de segmentación en Azure (vídeo)

• Guía de la estrategia de segmentación en Azure (documento)

• Alineación de la segmentación de red con la estrategia de segmentación empresarial

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-3: Definición de la estrategia de administración de la posición de seguridad

Mida y mitigue continuamente los riesgos de los recursos individuales y el entorno en el que se hospedan. Dé prioridad a los recursos de gran valor y a las superficies de ataque muy expuestas, como las aplicaciones publicadas, los puntos de entrada y salida de red, los puntos de conexión de usuario y administrador, etc.

• Azure Security Benchmark: administración de posturas y vulnerabilidades

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-4: Alineación de los roles y responsabilidades de la organización

Asegúrese de documentar y comunicar una estrategia clara para los roles y las responsabilidades de la organización de seguridad. Dé prioridad a ofrecer una responsabilidad clara en las decisiones de seguridad, a proporcionar a todos los usuarios formación sobre el modelo de responsabilidad compartida y a los equipos técnicos sobre la tecnología para proteger la nube.

• Procedimiento recomendado de seguridad de Azure 1. Personas: Formación del equipo sobre el recorrido de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 2. Personas: Formación del equipo en tecnología de seguridad de la nube

• Procedimiento recomendado de seguridad de Azure 3. Proceso: Asignación de responsabilidades por las decisiones de seguridad en la nube

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-5: Definición de la estrategia de seguridad de red

Establezca un enfoque de seguridad de red de Azure como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Centralización de la responsabilidad de seguridad y la administración de redes

• Modelo de segmentación de la red virtual alineado con la estrategia de segmentación empresarial

• Estrategia de corrección en diferentes escenarios de amenazas y ataques

• Estrategia de entrada y salida y perimetral de Internet

• Estrategia de interconectividad entre el entorno local y la nube híbrida

• Artefactos de seguridad de red actualizados (por ejemplo, diagramas de red y arquitectura de red de referencia)

Para más información, consulte las siguientes referencias:

• Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única

• Azure Security Benchmark: seguridad de red

• Azure Network Security Overview (Información general sobre Azure Network Security)

• Estrategia para la arquitectura de red empresarial

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-6: Definición de la estrategia de acceso con privilegios e identidades

Establezca una identidad de Azure y enfoques de acceso con privilegios como parte de la estrategia de control de acceso de seguridad general de su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Un sistema de identidad y autenticación centralizado y su interconectividad con otros sistemas de identidad internos y externos

• Métodos de autenticación sólida en diferentes casos de uso y condiciones

• Protección de usuarios con privilegios elevados

• Supervisión y control de anomalías en las actividades de los usuarios

• Proceso de revisión y conciliación del acceso y la identidad de los usuarios

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: administración de identidades

• Azure Security Benchmark: acceso con privilegios

• Procedimiento recomendado de seguridad de Azure 11: Arquitectura. Estrategia de seguridad unificada única

• Información general sobre seguridad de administración de identidades de Azure

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-7: Definición de la estrategia de registro y respuesta a amenazas

Establezca una estrategia de registro y respuesta a amenazas para detectar y corregir rápidamente las amenazas mientras cumple los requisitos de cumplimiento. Dé prioridad a ofrecer a los analistas alertas de alta calidad y experiencias fluidas para que puedan centrarse en las amenazas, en lugar de en la integración y los pasos manuales.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Las responsabilidades y el rol de la organización en las operaciones de seguridad (SecOps)

• Un proceso de respuesta a incidentes bien definido que esté alineado con NIST u otro marco del sector.

• Captura y retención de registros para admitir la detección de amenazas, la respuesta ante incidentes y las necesidades de cumplimiento

• Visibilidad y correlación centralizada de la información sobre amenazas, mediante SIEM, funcionalidades nativas de Azure y otros orígenes

• Plan de comunicación y notificación con sus clientes, proveedores y entidades públicas de interés

• Uso de plataformas nativas de Azure y de terceros para el tratamiento de incidentes, como el registro y la detección de amenazas, los análisis forenses y la corrección y erradicación de ataques

• Procesos para controlar incidentes y actividades posteriores a incidentes, como las lecciones aprendidas y la retención de pruebas

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: registro y detección de amenazas

• Azure Security Benchmark: respuesta a incidentes

• Procedimiento recomendado de seguridad de Azure 4: Proceso. Actualización de los procesos de respuesta a incidentes para la nube

• Guía de decisiones sobre registros e informes en Azure Adoption Framework

• Escala, administración y supervisión empresarial de Azure

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas

GS-8: Definición de la estrategia de copia de seguridad y recuperación

Establezca una estrategia de copia de seguridad y recuperación de Azure para su organización.

Esta estrategia debe incluir instrucciones, directivas y estándares documentados para los siguientes elementos:

• Definiciones de objetivo de tiempo de recuperación (RTO) y objetivo de punto de recuperación (RPO) de acuerdo con los objetivos de resistencia de su negocio

• Diseño de redundancia en la configuración de la infraestructura y las aplicaciones

• Protección de la copia de seguridad mediante el control de acceso y el cifrado de datos

Para más información, consulte las siguientes referencias:

• Azure Security Benchmark: copia de seguridad y recuperación

• Marco de buena arquitectura de Azure: copia de seguridad y recuperación ante desastres para aplicaciones de Azure

• Azure Adoption Framework: continuidad empresarial y recuperación ante desastres

Responsabilidad: Customer

Partes interesadas de seguridad del cliente (Más información):

• Todas las partes interesadas