Frameworks de Compliance Manager

En este documento, se proporciona contenido de referencia para los frameworks de nube integrados que se incluyen en Compliance Manager.

Google Recommended AI Essentials - Vertex AI

Proveedor de servicios en la nube compatible: Google Cloud

En este marco, se describen las prácticas recomendadas de seguridad que Google recomienda para las cargas de trabajo de Vertex AI, y se proporciona una colección prescriptiva de políticas preventivas y de detección esenciales. Cuando se active AI Protection en Security Command Center, se mostrará automáticamente en el panel de AI Security una evaluación detallada del cumplimiento de la seguridad en relación con este framework.

Este framework incluye los siguientes controles de la nube:

CIS GKE 1.7

Proveedor de servicios en la nube compatible: Google Cloud

La comparativa de CIS para GKE es un conjunto de recomendaciones de seguridad y prácticas recomendadas diseñadas específicamente para los clústeres de Google Kubernetes Engine (GKE). El objetivo de la comparativa es mejorar la postura de seguridad de los entornos de GKE.

Este framework incluye los siguientes controles de la nube:

CIS Critical Security Controls v8

Proveedor de servicios en la nube compatible: Google Cloud

Es un conjunto priorizado de medidas de protección para protegerse contra las ciberamenazas frecuentes. Ofrece un enfoque práctico para la defensa cibernética, organizado en grupos de implementación (IG1, IG2, IG3) para adaptarse a organizaciones de diferentes niveles de madurez.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

cis-controls-1-1

Establece y mantén un inventario preciso, detallado y actualizado de todos los activos empresariales que puedan almacenar o procesar datos, incluidos los dispositivos de los usuarios finales (incluidos los portátiles y móviles), los dispositivos de red, los dispositivos que no son de computación o de IoT, y los servidores. Asegúrate de que el inventario registre la dirección de red (si es estática), la dirección de hardware, el nombre de la máquina, el propietario del activo empresarial, el departamento de cada activo y si se aprobó la conexión del activo a la red. En el caso de los dispositivos móviles de los usuarios finales, las herramientas de tipo MDM pueden admitir este proceso, cuando corresponda. Este inventario incluye los activos conectados a la infraestructura de forma física, virtual, remota y aquellos que se encuentran en entornos de nube. Además, incluye los activos que se conectan con regularidad a la infraestructura de red de la empresa, incluso si no están bajo el control de la empresa. Revisa y actualiza el inventario de todos los activos empresariales dos veces al año o con mayor frecuencia.

cis-controls-10-2

Configura las actualizaciones automáticas para los archivos de firmas de software malicioso en todos los activos de la empresa.

cis-controls-10-3

Inhabilita la función de ejecución automática de reproducción automática para los medios extraíbles.

cis-controls-10-6

Administra de forma centralizada el software antimalware.

cis-controls-11-1

Establecer y mantener un proceso documentado de recuperación de datos que incluya procedimientos detallados de copias de seguridad En el proceso, aborda el alcance de las actividades de recuperación de datos, la priorización de la recuperación y la seguridad de los datos de copia de seguridad. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-11-2

Realizar copias de seguridad automáticas de los activos empresariales incluidos en el alcance Ejecuta copias de seguridad semanalmente o con mayor frecuencia, según la sensibilidad de los datos.

cis-controls-11-3

Protege los datos de recuperación con controles equivalentes a los de los datos originales. Encriptación de referencia o separación de datos, según los requisitos.

cis-controls-11-4

Establece y mantén una instancia aislada de datos de recuperación. Entre los ejemplos de implementaciones, se incluye el control de versiones de los destinos de copias de seguridad a través de sistemas o servicios sin conexión, en la nube o externos.

cis-controls-11-5

Prueba la recuperación de copias de seguridad trimestralmente o con mayor frecuencia para una muestra de los activos empresariales incluidos en el alcance.

cis-controls-12-2

Diseñar y mantener una arquitectura de red segura Una arquitectura de red segura debe abordar la segmentación, el principio de privilegio mínimo y la disponibilidad, como mínimo. Las implementaciones de ejemplo pueden incluir documentación, políticas y componentes de diseño.

cis-controls-12-3

Administrar de forma segura la infraestructura de red Entre los ejemplos de implementaciones, se incluyen la infraestructura como código (IaC) controlada por versiones y el uso de protocolos de red seguros, como SSH y HTTPS.

cis-controls-12-5

Centraliza la AAA de la red.

cis-controls-12-6

Adopta protocolos seguros de administración de redes (p.ej., 802.1X) y protocolos de comunicación seguros (p.ej., Acceso Wi-Fi protegido 2 (WPA2) Enterprise o alternativas más seguras).

cis-controls-12-7

Exige que los usuarios se autentiquen en los servicios de autenticación y VPN administrados por la empresa antes de acceder a los recursos empresariales en los dispositivos de los usuarios finales.

cis-controls-13-1

Centraliza las alertas de eventos de seguridad en todos los recursos de la empresa para la correlación y el análisis de registros. La implementación de prácticas recomendadas requiere el uso de un SIEM, que incluye alertas de correlación de eventos definidas por el proveedor. Una plataforma de análisis de registros configurada con alertas de correlación relevantes para la seguridad también satisface esta protección.

cis-controls-13-2

Implementa una solución de detección de intrusiones basada en el host en los activos de la empresa, cuando sea apropiado o esté disponible.

cis-controls-13-3

Implementa una solución de detección de intrusiones en la red en los activos de la empresa, cuando corresponda. Entre los ejemplos de implementaciones, se incluye el uso de un sistema de detección de intrusiones en la red (NIDS) o un servicio equivalente del proveedor de servicios en la nube (CSP).

cis-controls-13-4

Realiza el filtrado de tráfico entre segmentos de red, según corresponda.

cis-controls-13-5

Administrar el control de acceso para los activos que se conectan de forma remota a los recursos de la empresa Determinar el nivel de acceso a los recursos empresariales en función de lo siguiente: software antivirus actualizado instalado, cumplimiento de la configuración con el proceso de configuración segura de la empresa y garantía de que el sistema operativo y las aplicaciones estén actualizados

cis-controls-13-6

Recopila registros de flujo de tráfico de red o tráfico de red para revisar y generar alertas desde los dispositivos de red.

cis-controls-13-7

Implementa una solución de prevención de intrusiones basada en el host en los activos empresariales, cuando sea apropiado o esté disponible. Entre los ejemplos de implementaciones, se incluye el uso de un cliente de detección y respuesta de extremos (EDR) o un agente de IPS basado en el host.

cis-controls-13-8

Implementa una solución de prevención de intrusiones en la red, cuando corresponda. Entre los ejemplos de implementaciones, se incluye el uso de un sistema de prevención de intrusiones en la red (NIPS) o un servicio de CSP equivalente.

cis-controls-13-9

Implementa el control de acceso a nivel de puerto. El control de acceso a nivel del puerto utiliza 802.1x o protocolos de control de acceso a la red similares, como certificados, y puede incorporar la autenticación de usuarios o dispositivos.

cis-controls-14-1

Establecer y mantener un programa de concientización sobre la seguridad El objetivo de un programa de concientización sobre la seguridad es educar a la fuerza laboral de la empresa sobre cómo interactuar con los recursos y los datos de la empresa de forma segura. Realizar capacitaciones al momento de la contratación y, como mínimo, una vez al año Revisa y actualiza el contenido anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-14-3

Capacita a los miembros de la fuerza laboral sobre las prácticas recomendadas de autenticación. Entre los ejemplos de temas, se incluyen la MFA, la composición de contraseñas y la administración de credenciales.

cis-controls-14-5

Capacita a los miembros de la fuerza laboral para que conozcan las causas de la exposición involuntaria de datos. Entre los ejemplos de temas, se incluyen la entrega incorrecta de datos sensibles, la pérdida de un dispositivo portátil del usuario final o la publicación de datos para públicos no deseados.

cis-controls-16-1

Establece y mantén un proceso de desarrollo de aplicaciones seguro. En el proceso, se deben abordar elementos como los estándares de diseño de aplicaciones seguros, las prácticas de codificación seguras, la capacitación de los desarrolladores, la administración de vulnerabilidades, la seguridad del código de terceros y los procedimientos de prueba de seguridad de las aplicaciones. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-16-11

Aprovecha los módulos o servicios verificados para los componentes de seguridad de la aplicación, como la administración de identidades, la encriptación, la auditoría y el registro. Usar funciones de la plataforma en funciones de seguridad críticas reducirá la carga de trabajo de los desarrolladores y minimizará la probabilidad de errores de diseño o implementación. Los sistemas operativos modernos proporcionan mecanismos eficaces para la identificación, la autenticación y la autorización, y ponen esos mecanismos a disposición de las aplicaciones. Usar solo algoritmos de encriptación estandarizados, aceptados actualmente y revisados exhaustivamente Los sistemas operativos también proporcionan mecanismos para crear y mantener registros de auditoría seguros.

cis-controls-16-12

Aplica herramientas de análisis estático y dinámico dentro del ciclo de vida de la aplicación para verificar que se sigan las prácticas de programación segura.

cis-controls-16-13

Realiza pruebas de penetración de aplicaciones. En el caso de las aplicaciones críticas, las pruebas de penetración autenticadas son más adecuadas para encontrar vulnerabilidades de lógica empresarial que el análisis de código y las pruebas de seguridad automatizadas. Las pruebas de penetración dependen de la habilidad del verificador para manipular manualmente una aplicación como usuario autenticado y no autenticado. 

cis-controls-16-2

Establecer y mantener un proceso para aceptar y abordar los informes de vulnerabilidades de software, lo que incluye proporcionar un medio para que las entidades externas presenten informes El proceso debe incluir elementos como una política de tratamiento de vulnerabilidades que identifique el proceso de informes, la parte responsable del tratamiento de los informes de vulnerabilidades y un proceso para la admisión, la asignación, la corrección y las pruebas de corrección. Como parte del proceso, usa un sistema de seguimiento de vulnerabilidades que incluya calificaciones de gravedad y métricas para medir los tiempos de identificación, análisis y corrección de vulnerabilidades. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección. Los desarrolladores de aplicaciones de terceros deben considerar esta política como una política externa que ayuda a establecer expectativas para las partes interesadas externas.

cis-controls-16-3

Realiza análisis de causa raíz sobre las vulnerabilidades de seguridad. Cuando se revisan las vulnerabilidades, el análisis de la causa raíz es la tarea de evaluar los problemas subyacentes que crean vulnerabilidades en el código y permite que los equipos de desarrollo vayan más allá de solo corregir las vulnerabilidades individuales a medida que surgen.

cis-controls-16-7

Usa plantillas de configuración de protección estándar y recomendadas por la industria para los componentes de la infraestructura de la aplicación. Esto incluye servidores, bases de datos y servidores web subyacentes, y se aplica a los contenedores de la nube, los componentes de plataforma como servicio (PaaS) y los componentes de SaaS. No permitir que el software desarrollado internamente debilite el refuerzo de la configuración

cis-controls-17-2

Establece y mantén la información de contacto de las partes a las que se debe informar sobre los incidentes de seguridad. Los contactos pueden incluir personal interno, proveedores de servicios, fuerzas del orden, proveedores de seguros cibernéticos, agencias gubernamentales pertinentes, socios del Centro de Análisis y Compartimiento de Información (ISAC) o cualquier otra parte interesada. Verifica los contactos anualmente para asegurarte de que la información esté actualizada.

cis-controls-17-4

Establece y mantén un proceso de respuesta ante incidentes documentado que aborde las funciones y responsabilidades, los requisitos de cumplimiento y un plan de comunicación. Revisar anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección

cis-controls-17-9

Establecer y mantener umbrales de incidentes de seguridad, lo que incluye, como mínimo, diferenciar entre un incidente y un evento Entre los ejemplos, se incluyen los siguientes: actividad anormal, vulnerabilidad de seguridad, debilidad de seguridad, violación de la seguridad de los datos, incidente de privacidad, etcétera. Se debe revisar anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-18-1

Establece y mantén un programa de pruebas de penetración adecuado para el tamaño, la complejidad, la industria y la madurez de la empresa. Las características del programa de pruebas de penetración incluyen el alcance, como la red, la aplicación web, la interfaz de programación de aplicaciones (API), los servicios alojados y los controles de las instalaciones físicas; la frecuencia; las limitaciones, como los horarios aceptables y los tipos de ataques excluidos; la información del punto de contacto; la corrección, como la forma en que se enrutarán los hallazgos internamente; y los requisitos retrospectivos.

cis-controls-18-2

Realizar pruebas de penetración externas periódicas según los requisitos del programa, al menos una vez al año Las pruebas de penetración externas deben incluir el reconocimiento empresarial y ambiental para detectar información explotable. Las pruebas de penetración requieren habilidades y experiencia especializadas, y deben realizarse a través de un tercero calificado. La prueba puede ser de caja transparente o de caja opaca.

cis-controls-18-5

Realiza pruebas de penetración internas periódicas según los requisitos del programa, al menos una vez al año. La prueba puede ser de caja transparente o de caja opaca.

cis-controls-2-7

Usa controles técnicos, como firmas digitales y control de versión, para garantizar que solo se permitan ejecutar los secuencias de comandos autorizados, como archivos .ps1 y .py específicos. Bloquea la ejecución de secuencias de comandos no autorizadas. Reevalúa semestralmente o con mayor frecuencia.

cis-controls-3-1

Establecer y mantener un proceso de administración de datos documentado En el proceso, aborda la sensibilidad de los datos, el propietario de los datos, el manejo de los datos, los límites de retención de datos y los requisitos de eliminación, según los estándares de sensibilidad y retención de la empresa. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-3-11

Encripta los datos sensibles en reposo en servidores, aplicaciones y bases de datos. La encriptación a nivel del almacenamiento, también conocida como encriptación del servidor, cumple con el requisito mínimo de esta protección. Los métodos de encriptación adicionales pueden incluir la encriptación a nivel de la aplicación, también conocida como encriptación del cliente, en la que el acceso a los dispositivos de almacenamiento de datos no permite el acceso a los datos de texto sin formato.

cis-controls-3-14

Registrar el acceso a datos sensibles, incluida la modificación y la eliminación

cis-controls-3-2

Establecer y mantener un inventario de datos basado en el proceso de administración de datos de la empresa Inventaria los datos sensibles, como mínimo. Revisa y actualiza el inventario anualmente, como mínimo, y prioriza los datos sensibles.

cis-controls-3-3

Configura listas de control de acceso a los datos según la necesidad de conocer del usuario. Aplica listas de control de acceso a los datos, también conocidas como permisos de acceso, a los sistemas de archivos, las bases de datos y las aplicaciones locales y remotos.

cis-controls-3-4

Conserva los datos según el proceso de administración de datos documentado de la empresa. La retención de datos debe incluir plazos mínimos y máximos.

cis-controls-3-5

Desechar los datos de forma segura, según se describe en el proceso documentado de administración de datos de la empresa Asegúrate de que el proceso y el método de desecho sean proporcionales a la sensibilidad de los datos.

cis-controls-3-6

Encripta los datos en los dispositivos de los usuarios finales que contienen datos sensibles. Entre los ejemplos de implementaciones, se pueden incluir BitLocker® de Windows, FileVault® de Apple y dm-crypt de Linux®.

cis-controls-3-7

Establecer y mantener un esquema general de clasificación de datos para la empresa Las empresas pueden usar etiquetas, como “Sensible”, “Confidencial” y “Público”, y clasificar sus datos según esas etiquetas. Revisa y actualiza el esquema de clasificación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-3-8

Documentar los flujos de datos La documentación del flujo de datos incluye los flujos de datos del proveedor de servicios y debe basarse en el proceso de administración de datos de la empresa. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-3-9

Encripta los datos en medios extraíbles.

cis-controls-4-1

Establece y mantén un proceso de configuración seguro documentado para los recursos empresariales (dispositivos de usuarios finales, incluidos los portátiles y móviles, los dispositivos que no son de computación o de IoT, y los servidores) y el software (sistemas operativos y aplicaciones). Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-4-2

Establecer y mantener un proceso de configuración seguro documentado para los dispositivos de red Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-4-3

Configura el bloqueo automático de sesiones en los activos empresariales después de un período de inactividad definido. En el caso de los sistemas operativos de uso general, el período no debe exceder los 15 minutos. En el caso de los dispositivos móviles de los usuarios finales, el período no debe exceder los 2 minutos.

cis-controls-4-4

Implementa y administra un firewall en los servidores, cuando sea posible. Entre los ejemplos de implementaciones, se incluyen un firewall virtual, un firewall del sistema operativo o un agente de firewall de terceros.

cis-controls-4-5

Implementa y administra un firewall basado en el host o una herramienta de filtrado de puertos en los dispositivos de los usuarios finales, con una regla de rechazo predeterminada que descarte todo el tráfico, excepto los servicios y puertos que se permitan de forma explícita.

cis-controls-4-6

Administrar de forma segura los activos y el software de la empresa Entre los ejemplos de implementaciones, se incluyen la administración de la configuración a través de la infraestructura como código (IaC) controlada por versiones y el acceso a interfaces administrativas a través de protocolos de red seguros, como Secure Shell (SSH) y Hypertext Transfer Protocol Secure (HTTPS). No uses protocolos de administración no seguros, como Telnet (Teletype Network) y HTTP, a menos que sean esenciales para el funcionamiento.

cis-controls-4-7

Administrar las cuentas predeterminadas en los activos y el software de la empresa, como las cuentas raíz, de administrador y otras cuentas de proveedores preconfiguradas Entre los ejemplos de implementaciones, se pueden incluir la inhabilitación de las cuentas predeterminadas o la imposibilidad de usarlas.

cis-controls-4-8

Desinstala o inhabilita los servicios innecesarios en los recursos y el software de la empresa, como un servicio de uso compartido de archivos, un módulo de aplicación web o una función de servicio que no se usen.

cis-controls-5-1

Establecer y mantener un inventario de todas las cuentas administradas en la empresa El inventario debe incluir, como mínimo, cuentas de usuario, de administrador y de servicio. Como mínimo, el inventario debe contener el nombre, el nombre de usuario, las fechas de inicio y finalización, y el departamento de la persona. Valida que todas las cuentas activas estén autorizadas, con una programación recurrente al menos trimestral o con mayor frecuencia.

cis-controls-5-2

Usa contraseñas únicas para todos los activos de la empresa. La implementación de prácticas recomendadas incluye, como mínimo, una contraseña de 8 caracteres para las cuentas que usan la autenticación de varios factores (MFA) y una contraseña de 14 caracteres para las cuentas que no usan la MFA. 

cis-controls-5-4

Restringe los privilegios de administrador a las cuentas de administrador dedicadas en los recursos empresariales. Realizar actividades informáticas generales, como navegar por Internet, enviar correos electrónicos y usar el paquete de productividad, desde la cuenta principal no privilegiada del usuario

cis-controls-5-5

Establece y mantén un inventario de las cuentas de servicio. Como mínimo, el inventario debe contener el propietario del departamento, la fecha de revisión y el propósito. Realiza revisiones de las cuentas de servicio para validar que todas las cuentas activas estén autorizadas, según un programa recurrente, como mínimo trimestral, o con mayor frecuencia.

cis-controls-5-6

Centraliza la administración de cuentas a través de un directorio o un servicio de identidad.

cis-controls-6-1

Establece y sigue un proceso documentado, preferentemente automatizado, para otorgar acceso a los recursos empresariales cuando se contrata a un empleado nuevo o cuando un usuario cambia de rol.

cis-controls-6-2

Establece y sigue un proceso, preferentemente automatizado, para revocar el acceso a los activos de la empresa. Para ello, inhabilita las cuentas inmediatamente después de la rescisión, la revocación de derechos o el cambio de rol de un usuario. Es posible que sea necesario inhabilitar las cuentas en lugar de borrarlas para conservar los registros de auditoría.

cis-controls-6-3

Exige que todas las aplicaciones empresariales o de terceros expuestas externamente apliquen la MFA, cuando sea compatible. Aplicar la MFA a través de un servicio de directorio o un proveedor de SSO es una implementación satisfactoria de esta protección.

cis-controls-6-5

Exige la MFA para todas las cuentas con acceso administrativo, cuando sea compatible, en todos los activos empresariales, ya sea que se administren en las instalaciones o a través de un proveedor de servicios.

cis-controls-6-6

Establecer y mantener un inventario de los sistemas de autenticación y autorización de la empresa, incluidos los que se alojan en las instalaciones o en un proveedor de servicios remoto Revisa y actualiza el inventario, como mínimo, una vez al año o con mayor frecuencia.

cis-controls-6-7

Centraliza el control de acceso para todos los recursos empresariales a través de un servicio de directorio o un proveedor de SSO, cuando sea compatible.

cis-controls-6-8

Definir y mantener el control de acceso basado en roles, determinando y documentando los derechos de acceso necesarios para cada rol dentro de la empresa para llevar a cabo con éxito sus deberes asignados Realiza revisiones de control de acceso de los activos empresariales para validar que todos los privilegios estén autorizados, con una programación recurrente al menos anual o con mayor frecuencia.

cis-controls-7-2

Establece y mantén una estrategia de corrección basada en riesgos que se documente en un proceso de corrección, con revisiones mensuales o más frecuentes.

cis-controls-7-7

Corregir las vulnerabilidades detectadas en el software a través de procesos y herramientas de forma mensual o más frecuente, según el proceso de corrección

cis-controls-8-1

Establece y mantén un proceso documentado de administración de registros de auditoría que defina los requisitos de registro de la empresa. Como mínimo, aborda la recopilación, la revisión y la retención de registros de auditoría para los activos de la empresa. Revisa y actualiza la documentación anualmente o cuando se produzcan cambios empresariales significativos que puedan afectar esta protección.

cis-controls-8-11

Realiza revisiones de los registros de auditoría para detectar anomalías o eventos anormales que podrían indicar una amenaza potencial. Realiza revisiones semanales o con mayor frecuencia.

cis-controls-8-2

Recopila registros de auditoría. Asegúrate de que el registro, según el proceso de administración de registros de auditoría de la empresa, se haya habilitado en todos los recursos de la empresa.

cis-controls-8-3

Asegúrate de que los destinos de registro mantengan el almacenamiento adecuado para cumplir con el proceso de administración de registros de auditoría de la empresa.

cis-controls-8-4

Estandariza la sincronización de hora. Configura al menos dos fuentes de hora sincronizadas en los activos de la empresa, cuando sea posible.

cis-controls-8-5

Configura el registro de auditoría detallado para los activos empresariales que contienen datos sensibles. Incluye la fuente del evento, la fecha, el nombre de usuario, la marca de tiempo, las direcciones de origen, las direcciones de destino y otros elementos útiles que podrían ayudar en una investigación forense.

cis-controls-8-6

Recopila registros de auditoría de consultas de DNS en los recursos empresariales, cuando corresponda y sea compatible.

cis-controls-8-7

Recopila registros de auditoría de solicitudes de URL en los recursos empresariales, cuando corresponda y sea compatible.

cis-controls-8-8

Recopila registros de auditoría de la línea de comandos. Entre los ejemplos de implementaciones, se incluye la recopilación de registros de auditoría de PowerShell®, BASH™ y terminales administrativas remotas.

cis-controls-8-9

Centraliza, en la medida de lo posible, la recopilación y retención de registros de auditoría en todos los recursos de la empresa de conformidad con el proceso documentado de administración de registros de auditoría. Los ejemplos de implementaciones incluyen principalmente el uso de una herramienta de SIEM para centralizar varias fuentes de registros.

cis-controls-9-1

Asegúrate de que solo se permitan ejecutar en la empresa los navegadores y clientes de correo electrónico totalmente compatibles, y de que solo se use la versión más reciente de los navegadores y clientes de correo electrónico proporcionados por el proveedor.

cis-controls-9-2

Utiliza servicios de filtrado de DNS en todos los dispositivos de los usuarios finales, incluidos los activos remotos y locales, para bloquear el acceso a dominios maliciosos conocidos.

cis-controls-9-3

Aplicar y actualizar los filtros de URL basados en la red para evitar que un activo empresarial se conecte a sitios web potencialmente maliciosos o no aprobados Entre los ejemplos de implementaciones, se incluyen el filtrado basado en categorías, el filtrado basado en la reputación o el uso de listas de bloqueo. Aplicar filtros para todos los activos de la empresa

cis-controls-9-4

Restringe, ya sea desinstalando o inhabilitando, los complementos, las extensiones y las aplicaciones de complementos no autorizados o innecesarios del navegador o del cliente de correo electrónico.

CSA Cloud Controls Matrix v4.0.11

Proveedor de servicios en la nube compatible: Google Cloud

Es un marco de trabajo de controles de seguridad cibernética diseñado específicamente para el entorno de computación en la nube. Proporciona un conjunto integral de controles en dominios clave para ayudarte a evaluar la postura de seguridad de tus servicios en la nube.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

ccm-aa-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas, procedimientos y estándares de auditoría y garantía Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-aa-02

Realizar evaluaciones independientes de auditoría y garantía según los estándares pertinentes al menos una vez al año

ccm-ais-01

Establece, documenta, aprueba, comunica, aplica, evalúa y mantiene políticas y procedimientos para la seguridad de las aplicaciones con el objetivo de brindar orientación para la planificación, la entrega y la asistencia adecuadas de las capacidades de seguridad de las aplicaciones de la organización. Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-ais-02

Establece, documenta y mantén los requisitos básicos para proteger diferentes aplicaciones.

ccm-ais-03

Define e implementa métricas técnicas y operativas en consonancia con los objetivos comerciales, los requisitos de seguridad y las obligaciones de cumplimiento.

ccm-ais-04

Define y aplica un proceso de SDLC para el diseño, el desarrollo, la implementación y el funcionamiento de las aplicaciones de acuerdo con los requisitos de seguridad definidos por la organización.

ccm-ais-05

Implementa una estrategia de pruebas, incluidos los criterios de aceptación de nuevos sistemas de información, actualizaciones y versiones nuevas, que proporcione garantía de seguridad de las aplicaciones y mantenga el cumplimiento, al tiempo que permite los objetivos de velocidad de entrega de la organización. Automatiza cuando sea aplicable y posible.

ccm-bcr-03

Establecer estrategias para reducir el impacto de las interrupciones comerciales, resistirlas y recuperarse de ellas dentro del apetito de riesgo

ccm-bcr-07

Establecer la comunicación con las partes interesadas y los participantes en el curso de los procedimientos de continuidad y resiliencia del negocio

ccm-bcr-08

Crea copias de seguridad periódicas de los datos almacenados en la nube. Garantizar la confidencialidad, la integridad y la disponibilidad de la copia de seguridad, y verificar el restablecimiento de los datos a partir de la copia de seguridad para garantizar la capacidad de recuperación

ccm-bcr-09

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener un plan de respuesta ante desastres para recuperarse de desastres naturales y provocados por el hombre Actualiza el plan al menos una vez al año o cuando haya cambios significativos.

ccm-bcr-10

Ejecuta el plan de respuesta ante desastres anualmente o cuando se produzcan cambios significativos, incluidas, si es posible, las autoridades locales de emergencia.

ccm-bcr-11

Complementar el equipo fundamental para la empresa con equipo redundante ubicado de forma independiente a una distancia mínima razonable de conformidad con los estándares de la industria aplicables

ccm-ccc-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para administrar los riesgos asociados a la aplicación de cambios en los activos de la organización, incluidos los de aplicaciones, sistemas, infraestructura, configuración, etcétera. Las políticas y los procedimientos se deben administrar, independientemente de si los activos se administran de forma interna o externa. Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-ccc-02

Sigue un proceso definido de control, aprobación y prueba de cambios de calidad con estándares establecidos de pruebas, versiones y valores de referencia.

ccm-ccc-07

Implementa medidas de detección con notificaciones proactivas en caso de que los cambios se desvíen de la referencia establecida.

ccm-cek-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para la criptografía, la encriptación y la administración de claves Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-cek-02

Definir e implementar roles y responsabilidades de administración de claves, encriptación y criptografía

ccm-cek-03

Proporcionar protección criptográfica a los datos en reposo y en tránsito con bibliotecas criptográficas certificadas según los estándares aprobados

ccm-cek-04

Usa algoritmos de encriptación adecuados para la protección de datos, teniendo en cuenta la clasificación de los datos, los riesgos asociados y la usabilidad de la tecnología de encriptación.

ccm-cek-05

Establece un procedimiento estándar de administración de cambios para dar cabida a los cambios de fuentes internas y externas, para la revisión, aprobación, implementación y comunicación de cambios en la tecnología de criptografía, encriptación y administración de claves.

ccm-cek-08

Los CSP deben proporcionar la capacidad para que los CSC administren sus propias claves de encriptación de datos.

ccm-cek-10

Genera claves criptográficas con bibliotecas criptográficas aceptadas por la industria que especifican la potencia del algoritmo y el generador de números aleatorios que se usa.

ccm-cek-11

Administrar claves privadas y secretos criptográficos aprovisionados para un propósito único

ccm-cek-18

Define, implementa y evalúa procesos, procedimientos y medidas técnicas para administrar las claves archivadas en un repositorio seguro que requiera acceso con privilegio mínimo, lo que incluye disposiciones para los requisitos legales y reglamentarios.

ccm-cek-21

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para que el sistema de administración de claves haga un seguimiento de todos los materiales criptográficos y los cambios de estado, y los informe, lo que incluye disposiciones para los requisitos legales y reglamentarios

ccm-dcs-07

Implementa perímetros de seguridad física para proteger al personal, los datos y los sistemas de información. Establece perímetros de seguridad físicos entre las áreas administrativas y comerciales, y las áreas de las instalaciones de almacenamiento y procesamiento de datos.

ccm-dcs-09

Solo se permite el acceso a personal autorizado a las áreas seguras, con todos los puntos de entrada y salida restringidos, documentados y supervisados por mecanismos de control de acceso físico. Conserva los registros de control de acceso de forma periódica según lo considere apropiado la organización.

ccm-dsp-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para la clasificación, protección y manipulación de datos durante todo su ciclo de vida, y de acuerdo con todas las leyes y reglamentaciones, estándares y niveles de riesgo aplicables Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-dsp-02

Aplicar métodos aceptados por la industria para la eliminación segura de datos de los medios de almacenamiento, de modo que los datos no se puedan recuperar por ningún medio forense

ccm-dsp-07

Desarrollar sistemas, productos y prácticas comerciales basados en un principio de seguridad por diseño y las prácticas recomendadas de la industria

ccm-dsp-08

Desarrollar sistemas, productos y prácticas comerciales basados en el principio de privacidad desde el diseño y las prácticas recomendadas de la industria Asegúrate de que la configuración de privacidad de los sistemas esté establecida de forma predeterminada, de acuerdo con todas las leyes y reglamentaciones aplicables.

ccm-dsp-10

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas que garanticen que cualquier transferencia de datos personales o sensibles esté protegida contra el acceso no autorizado y solo se procese dentro del alcance permitido por las leyes y reglamentaciones respectivas

ccm-dsp-16

La retención, el archivo y la eliminación de datos se administran de conformidad con los requisitos comerciales, las leyes y las reglamentaciones aplicables.

ccm-dsp-17

Definir e implementar procesos, procedimientos y medidas técnicas para proteger los datos sensibles durante todo su ciclo de vida

ccm-grc-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para un programa de administración de la información, patrocinado por el liderazgo de la organización Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-grc-03

Revisa todas las políticas organizacionales pertinentes y los procedimientos asociados al menos una vez al año o cuando se produzca un cambio sustancial en la organización.

ccm-grc-07

Identifica y documenta todos los estándares, reglamentaciones, requisitos legales, contractuales y estatutarios pertinentes que se apliquen a tu organización.

ccm-iam-01

Establecer, documentar, aprobar, comunicar, implementar, aplicar, evaluar y mantener políticas y procedimientos para la administración de identidades y accesos Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-iam-03

Administrar, almacenar y revisar la información de las identidades del sistema y el nivel de acceso

ccm-iam-04

Aplica el principio de separación de obligaciones cuando implementes el acceso al sistema de información.

ccm-iam-05

Emplea el principio de privilegio mínimo cuando implementes el acceso al sistema de información.

ccm-iam-07

Anula el aprovisionamiento o modifica el acceso de los empleados que se mudan, los que se van o los cambios de identidad del sistema de manera oportuna para adoptar y comunicar de manera eficaz las políticas de administración de identidades y accesos.

ccm-iam-09

Define, implementa y evalúa procesos, procedimientos y medidas técnicas para la segregación de roles de acceso con privilegios, de modo que el acceso administrativo a los datos, las capacidades de encriptación y administración de claves, y las capacidades de registro sean distintos y estén separados.

ccm-iam-10

Define e implementa un proceso de acceso para garantizar que los roles y derechos de acceso privilegiado se otorguen por un período limitado y, además, implementa procedimientos para evitar la culminación del acceso privilegiado segregado.

ccm-iam-11

Definir, implementar y evaluar procesos y procedimientos para que los clientes participen, cuando corresponda, en el otorgamiento de acceso para roles de acceso privilegiado de alto riesgo acordados, según lo defina la evaluación de riesgos de la organización

ccm-iam-12

Define, implementa y evalúa procesos, procedimientos y medidas técnicas para garantizar que la infraestructura de registro sea de solo lectura para todos los usuarios con acceso de escritura, incluidos los roles de acceso privilegiado, y que la capacidad de inhabilitarla se controle a través de un procedimiento que garantice la segregación de tareas y los procedimientos de emergencia.

ccm-iam-13

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas que garanticen que los usuarios sean identificables a través de IDs únicos o que puedan asociar a las personas con el uso de IDs de usuario

ccm-iam-14

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para autenticar el acceso a los sistemas, las aplicaciones y los recursos de datos, incluida la autenticación de varios factores para el acceso de usuarios con privilegios mínimos y datos sensibles Adopta certificados digitales o alternativas que logren un nivel de seguridad equivalente para las identidades del sistema.

ccm-iam-16

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para verificar que el acceso a los datos y las funciones del sistema esté autorizado

ccm-ivs-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para la seguridad de la infraestructura y la virtualización Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-ivs-03

Supervisa, encripta y restringe las comunicaciones entre entornos solo a las conexiones autenticadas y autorizadas, según lo justifique la empresa. Revisa estas configuraciones al menos una vez al año y respalda su uso con una justificación documentada de todos los servicios, protocolos, puertos y controles compensatorios permitidos.

ccm-ivs-04

Refuerza el SO del host y del invitado, el hipervisor o el plano de control de la infraestructura según sus respectivas prácticas recomendadas y con el respaldo de controles técnicos, como parte de un nivel de referencia de seguridad.

ccm-ivs-06

Diseñar, desarrollar, implementar y configurar aplicaciones e infraestructuras de modo que el acceso de los usuarios de CSP y CSC (inquilinos) y el acceso entre inquilinos estén segmentados y segregados de forma adecuada, supervisados y restringidos de otros inquilinos

ccm-ivs-07

Usa canales de comunicación seguros y encriptados cuando migres servidores, servicios, aplicaciones o datos a entornos de nube. Estos canales solo deben incluir protocolos aprobados y actualizados.

ccm-ivs-09

Definir, implementar y evaluar procesos, procedimientos y técnicas de defensa en profundidad para la protección, la detección y la respuesta oportuna a los ataques basados en la red

ccm-log-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para el registro y la supervisión Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-log-02

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para garantizar la seguridad y la retención de los registros de auditoría

ccm-log-03

Identificar y supervisar eventos relacionados con la seguridad en las aplicaciones y la infraestructura subyacente Define y, luego, implementa un sistema para generar alertas a las partes interesadas responsables en función de esos eventos y las métricas correspondientes.

ccm-log-04

Restringe el acceso a los registros de auditoría al personal autorizado y mantén registros que proporcionen una responsabilidad de acceso única.

ccm-log-05

Supervisa los registros de auditoría de seguridad para detectar actividad fuera de los patrones típicos o esperados. Establece y sigue un proceso definido para revisar las anomalías detectadas y tomar las medidas adecuadas de manera oportuna.

ccm-log-07

Establece, documenta y aplica qué metadatos de información y eventos del sistema de datos se deben registrar. Revisa y actualiza el alcance al menos una vez al año o cada vez que haya un cambio en el entorno de amenazas.

ccm-log-08

Generar registros de auditoría que contengan información de seguridad pertinente

ccm-log-12

Supervisar y registrar el acceso físico con un sistema de control de acceso auditable

ccm-sef-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para la administración de incidentes de seguridad, el descubrimiento electrónico y la informática forense en la nube Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-sef-02

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para la administración oportuna de incidentes de seguridad Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-sef-08

Mantener puntos de contacto con las autoridades reguladoras aplicables, las agencias de orden público nacionales y locales, y otras autoridades jurisdiccionales legales

ccm-sta-04

Delimite la propiedad compartida y la aplicabilidad de todos los controles de la CCM del CSA según el SSRM para la oferta de servicios en la nube.

ccm-sta-08

Los CSP revisan periódicamente los factores de riesgo asociados con todas las organizaciones dentro de su cadena de suministro.

ccm-sta-09

Los acuerdos de servicio entre los CSP y los CSC (inquilinos) deben incorporar, al menos, las disposiciones y los términos acordados mutuamente que incluyen el alcance, las características y la ubicación de la relación comercial y los servicios ofrecidos, los requisitos de seguridad de la información (incluido el SSRM), el proceso de administración de cambios, la capacidad de registro y supervisión, los procedimientos de administración y comunicación de incidentes, el derecho a realizar auditorías y evaluaciones de terceros, la rescisión del servicio, los requisitos de interoperabilidad y portabilidad, y la privacidad de los datos.

ccm-tvm-01

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para identificar, informar y priorizar la corrección de vulnerabilidades, con el objetivo de proteger los sistemas contra la explotación de vulnerabilidades Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-tvm-02

Establecer, documentar, aprobar, comunicar, aplicar, evaluar y mantener políticas y procedimientos para proteger los activos administrados contra el software malicioso Revisa y actualiza las políticas y los procedimientos al menos una vez al año.

ccm-tvm-03

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para permitir respuestas programadas y de emergencia a las identificaciones de vulnerabilidades, según el riesgo identificado

ccm-tvm-06

Definir, implementar y evaluar procesos, procedimientos y medidas técnicas para la realización periódica de pruebas de penetración por parte de terceros independientes

ccm-uem-04

Mantén un inventario de todos los extremos que se utilizan para almacenar y acceder a los datos de la empresa.

ccm-uem-07

Administrar los cambios en los sistemas operativos, los niveles de parches y las aplicaciones de los extremos a través de los procesos de administración de cambios de la empresa

ccm-uem-10

Configura extremos administrados con firewalls de software configurados correctamente.

ccm-uem-11

Configurar extremos administrados con tecnologías y reglas de Prevención de pérdida de datos (DLP) de acuerdo con una evaluación de riesgos

Data Security and Privacy Essentials

Proveedor de servicios en la nube compatible: Google Cloud

Controles de la nube recomendados por Google para la seguridad y la privacidad de los datos

Este framework incluye los siguientes controles de la nube:

Data Security Framework Template

Proveedor de servicios en la nube compatible: Google Cloud

Es el framework integrado de Google para implementar controles avanzados de DSPM en la nube.

Este framework incluye los siguientes controles de la nube:

FedRAMP Low 20x

Proveedor de servicios en la nube compatible: Google Cloud

Es un programa para todo el Gobierno que ofrece un enfoque estandarizado y reutilizable en relación con la evaluación y autorización de la seguridad para los productos y servicios de computación en la nube que procesan información sin clasificar que utilizan las agencias. El impacto bajo de FedRAMP es más adecuado para las CSO en las que la pérdida de confidencialidad, integridad y disponibilidad tendría un efecto adverso limitado en las operaciones, los activos o las personas de una agencia.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

ksi-cmt-1

Registra y supervisa las modificaciones del sistema. Asegúrate de que todos los cambios del sistema estén documentados y que se actualicen los valores de referencia de la configuración.

ksi-cna-1

Configura todos los recursos de información para limitar el tráfico entrante y saliente.

ksi-cna-2

Diseña sistemas para reducir la superficie de ataque y minimizar el movimiento lateral en caso de que se vean comprometidos.

ksi-cna-4

Usa una infraestructura inmutable con privilegios y funcionalidad estrictamente definidos.

ksi-cna-6

Diseña sistemas de información con alta disponibilidad y capacidades de recuperación rápida para evitar la pérdida de datos.

ksi-cna-7

Implementa recursos de información basados en la nube que se basen en las prácticas recomendadas y la orientación documentada del proveedor de hosting.

ksi-iam-3

Aplica métodos de autenticación seguros para todas las cuentas y servicios que no sean de usuario en Google Cloud para proteger los datos y los recursos del acceso no autorizado.

ksi-iam-4

Implementa un modelo de autorización de seguridad que sea de privilegio mínimo, basado en roles y atributos, y justo a tiempo. Usa este modelo para todas las cuentas y servicios de usuarios y no usuarios para ayudar a reducir el riesgo de acceso no autorizado o uso inadecuado.

ksi-mla-2

Revisa periódicamente los registros de auditoría de tus aplicaciones y servicios.

ksi-mla-3

Detectar vulnerabilidades y corregirlas o mitigarlas de inmediato para ayudar a reducir el impacto del riesgo en las aplicaciones y los servicios

ksi-piy-1

Mantener un inventario o código de recursos de información actualizado que defina todos los activos, el software y los servicios implementados

ksi-piy-4

Incorpora consideraciones de seguridad en el ciclo de vida de desarrollo de software (SDLC) y alinea con los principios de Secure By Design de la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA).

ksi-svc-1

Revisa y refuerza periódicamente la configuración de la red y el sistema para garantizar una base segura.

ksi-svc-2

Encripta todos los datos de contenido principales que se intercambian entre las máquinas que se conectan a Google Cloud o, de forma alternativa, protege todo el tráfico de red para ayudar a proteger los datos.

ksi-svc-6

Usa sistemas automatizados de administración de claves para proteger, administrar y rotar periódicamente las claves y los certificados digitales.

ksi-svc-7

Implementa un enfoque coherente y basado en el riesgo para aplicar parches de seguridad a tus aplicaciones y servicios.

ISO 27001:2022

Proveedor de servicios en la nube compatible: Google Cloud

Es el estándar internacional para un sistema de administración de la seguridad de la información (ISMS). Proporciona un enfoque sistemático basado en el riesgo para administrar la información sensible, ya que especifica los requisitos para establecer y mejorar los controles de seguridad.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

iso-27001-2022-a-5-1

Se definirán políticas de seguridad de la información y políticas específicas para cada tema, que la administración aprobará, publicará, comunicará y confirmará el personal pertinente y las partes interesadas pertinentes, y se revisarán en intervalos planificados y si se producen cambios significativos.

iso-27001-2022-a-5-10

Se identificarán, documentarán y aplicarán las reglas para el uso aceptable y los procedimientos para el manejo de la información y otros activos asociados.

iso-27001-2022-a-5-12

La información se clasificará según las necesidades de seguridad de la información de la organización en función de la confidencialidad, la integridad, la disponibilidad y los requisitos pertinentes de las partes interesadas.

iso-27001-2022-a-5-14

Se deben implementar reglas, procedimientos o acuerdos de transferencia de información para todos los tipos de instalaciones de transferencia dentro de la organización y entre la organización y otras partes.

iso-27001-2022-a-5-15

Se establecerán y aplicarán reglas para controlar el acceso físico y lógico a la información y otros activos asociados en función de los requisitos comerciales y de seguridad de la información.

iso-27001-2022-a-5-17

La asignación y la administración de la información de autenticación se controlarán mediante un proceso de administración, que incluye asesorar al personal sobre el manejo adecuado de la información de autenticación.

iso-27001-2022-a-5-18

Los derechos de acceso a la información y otros recursos asociados se aprovisionarán, revisarán, modificarán y quitarán de conformidad con la política específica del tema y las reglas de control de acceso de la organización.

iso-27001-2022-a-5-19

Se definirán e implementarán procesos y procedimientos para administrar los riesgos de seguridad de la información asociados con el uso de los productos o servicios del proveedor.

iso-27001-2022-a-5-20

Se establecerán y acordarán con cada proveedor los requisitos de seguridad de la información pertinentes según el tipo de relación con el proveedor.

iso-27001-2022-a-5-23

Los procesos para la adquisición, el uso, la administración y la salida de los servicios en la nube se establecerán de acuerdo con los requisitos de seguridad de la información de la organización.

iso-27001-2022-a-5-24

La organización debe planificar y prepararse para administrar los incidentes de seguridad de la información definiendo, estableciendo y comunicando los procesos, los roles y las responsabilidades de la administración de incidentes de seguridad de la información.

iso-27001-2022-a-5-25

La organización debe evaluar los eventos de seguridad de la información y decidir si se deben categorizar como incidentes de seguridad de la información.

iso-27001-2022-a-5-28

La organización debe establecer e implementar procedimientos para la identificación, recopilación, adquisición y conservación de evidencia relacionada con eventos de seguridad de la información.

iso-27001-2022-a-5-30

La preparación de las TIC se debe planificar, implementar, mantener y probar en función de los objetivos de continuidad empresarial y los requisitos de continuidad de las TIC.

iso-27001-2022-a-5-33

Los registros deben protegerse contra pérdida, destrucción, falsificación, acceso no autorizado y divulgación no autorizada.

iso-27001-2022-a-5-5

La organización debe establecer y mantener contacto con las autoridades pertinentes.

iso-27001-2022-a-5-6

La organización debe establecer y mantener contacto con grupos de interés especial o con otros foros de seguridad especializados y asociaciones profesionales.

iso-27001-2022-a-5-9

Se desarrollará y mantendrá un inventario de la información y otros activos asociados, incluidos los propietarios.

iso-27001-2022-a-6-7

Se implementarán medidas de seguridad cuando el personal trabaje de forma remota para proteger la información a la que se accede, que se procesa o que se almacena fuera de las instalaciones de la organización.

iso-27001-2022-a-8-1

Se protegerá la información almacenada en los dispositivos de los usuarios finales, la que se procese en ellos o a la que se pueda acceder a través de ellos.

iso-27001-2022-a-8-10

La información almacenada en sistemas de información, dispositivos o cualquier otro medio de almacenamiento se borrará cuando ya no sea necesaria.

iso-27001-2022-a-8-13

Se deben mantener copias de seguridad de la información, el software y los sistemas, y se deben probar periódicamente de conformidad con la política específica del tema acordado sobre copias de seguridad.

iso-27001-2022-a-8-14

Las instalaciones de procesamiento de información se implementarán con redundancia suficiente para cumplir con los requisitos de disponibilidad.

iso-27001-2022-a-8-15

Se producirán, almacenarán, protegerán y analizarán los registros que registren actividades, excepciones, fallas y otros eventos relevantes.

iso-27001-2022-a-8-16

Se supervisarán las redes, los sistemas y las aplicaciones para detectar comportamientos anómalos, y se tomarán las medidas adecuadas para evaluar los posibles incidentes de seguridad de la información.

iso-27001-2022-a-8-17

Los relojes de los sistemas de procesamiento de información que utiliza la organización deben sincronizarse con fuentes de tiempo aprobadas.

iso-27001-2022-a-8-2

Se restringirán y administrarán la asignación y el uso de derechos de acceso privilegiado.

iso-27001-2022-a-8-20

Las redes y los dispositivos de red deben protegerse, administrarse y controlarse para proteger la información en los sistemas y las aplicaciones.

iso-27001-2022-a-8-21

Se deben identificar, implementar y supervisar los mecanismos de seguridad, los niveles de servicio y los requisitos de servicio de los servicios de red.

iso-27001-2022-a-8-22

Los grupos de servicios de información, usuarios y sistemas de información deben estar separados en las redes de la organización.

iso-27001-2022-a-8-23

Se administrará el acceso a sitios web externos para reducir la exposición a contenido malicioso.

iso-27001-2022-a-8-24

Se definirán y se implementarán reglas para el uso eficaz de la criptografía, incluida la administración de claves criptográficas.

iso-27001-2022-a-8-25

Se establecerán y aplicarán reglas para el desarrollo seguro de software y sistemas.

iso-27001-2022-a-8-26

Los requisitos de seguridad de la información se deben identificar, especificar y aprobar cuando se desarrollen o adquieran aplicaciones.

iso-27001-2022-a-8-27

Se deben establecer, documentar, mantener y aplicar principios para diseñar sistemas seguros a todas las actividades de desarrollo de sistemas de información.

iso-27001-2022-a-8-28

Se deben aplicar principios de programación segura al desarrollo de software.

iso-27001-2022-a-8-29

Se definirán e implementarán procesos de pruebas de seguridad en el ciclo de vida del desarrollo.

iso-27001-2022-a-8-3

El acceso a la información y a otros recursos asociados se restringirá de acuerdo con la política específica del tema establecida sobre el control de acceso.

iso-27001-2022-a-8-30

La organización debe dirigir, supervisar y revisar las actividades relacionadas con el desarrollo de sistemas subcontratados.

iso-27001-2022-a-8-4

El acceso de lectura y escritura al código fuente, las herramientas de desarrollo y las bibliotecas de software se administrará de forma adecuada.

iso-27001-2022-a-8-5

Se implementarán tecnologías y procedimientos de autenticación seguros según las restricciones de acceso a la información y la política específica del tema sobre el control de acceso.

iso-27001-2022-a-8-6

El uso de los recursos se supervisará y ajustará de acuerdo con los requisitos de capacidad actuales y esperados.

iso-27001-2022-a-8-7

La protección contra software malicioso se implementará y respaldará con la capacitación adecuada de los usuarios.

iso-27001-2022-a-8-8

Se obtendrá información sobre las vulnerabilidades técnicas de los sistemas de información en uso, se evaluará la exposición de la organización a dichas vulnerabilidades y se tomarán las medidas adecuadas.

iso-27001-2022-a-8-9

Se establecerán, documentarán, implementarán, supervisarán y revisarán las configuraciones, incluidas las de seguridad, del hardware, el software, los servicios y las redes.

Qatar National Information Assurance Standard v2.1

Proveedor de servicios en la nube compatible: Google Cloud

El NIAS de Qatar tiene como objetivo proporcionar a las organizaciones del Estado de Qatar la base necesaria y las herramientas pertinentes para permitir la implementación de un Sistema de administración de la seguridad de la información completo dentro de las organizaciones.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

qa-nias-2-1-am-1

Se les proporciona acceso a los usuarios según el concepto de privilegio mínimo y se rigen por una base de necesidad de saber o necesidad de tener.

qa-nias-2-1-am-11

Los repositorios de autenticación centralizados, como LDAP y las bases de datos de autenticación, están protegidos contra ataques de denegación de servicio y utilizan canales seguros y autenticados para recuperar los datos de autenticación. Dichos repositorios registrarán los siguientes eventos: actualización o acceso no autorizados; fecha y hora de inicio y finalización de la actividad (junto con el identificador del sistema); identificación del usuario (para el inicio de sesión ilegal); actividad de inicio y cierre de sesión (para el inicio de sesión ilegal); y sesión, terminal o conexión remota.

qa-nias-2-1-am-12

Las organizaciones deben desarrollar y mantener un conjunto de políticas, planes y procedimientos, derivados de la Política Nacional de Clasificación de Datos (IAP-NAT-DCLS), que abarquen la identificación, la autenticación y la autorización de los usuarios del sistema.

qa-nias-2-1-am-14

Todos los usuarios del sistema se pueden identificar de forma única y se autentican cada vez que se les otorga acceso a un sistema.

qa-nias-2-1-am-17

La información de autenticación no protegida que otorga acceso al sistema o desencripta un dispositivo encriptado se encuentra en el sistema o dispositivo al que la información de autenticación otorga acceso, o con ellos.

qa-nias-2-1-am-18

Los datos de autenticación del sistema mientras están en uso no son susceptibles a ataques, incluidos, sin limitaciones, los de repetición, de intermediario y de secuestro de sesión.

qa-nias-2-1-am-2

El acceso se administra y controla a través de controles de acceso al sistema, identificación y autenticación, y registros de auditoría según la sensibilidad de la información. El supervisor o administrador de un miembro del personal debe autorizar estas solicitudes de acceso.

qa-nias-2-1-am-20

Las contraseñas se cambian al menos cada 90 días.

qa-nias-2-1-am-23

Los bloqueos de pantalla y de sesión se configuran de la siguiente manera: se activan después de un máximo de 15 minutos de inactividad del usuario del sistema; se activan de forma estándar por el usuario del sistema, si lo desea; se bloquean para ocultar por completo toda la información de la pantalla; se aseguran de que la pantalla no parezca apagada mientras está en estado de bloqueo; requieren que el usuario del sistema se vuelva a autenticar para desbloquear el sistema; y niegan a los usuarios del sistema la capacidad de inhabilitar el mecanismo de bloqueo.

qa-nias-2-1-am-24

El acceso a un sistema se suspende después de una cantidad específica de intentos de acceso fallidos o lo antes posible después de que el miembro del personal ya no necesite acceso, debido a cambios de roles o a que abandone la organización.

qa-nias-2-1-am-3

Los derechos de acceso de un usuario o una entidad para crear, leer, actualizar, borrar o transmitir los activos de información de una organización se basarán en un modelo de matriz (jerárquico) de derechos definidos por las reglas comerciales que establezcan los propietarios de esa información.

qa-nias-2-1-am-31

El uso de cuentas con privilegios está documentado, controlado, es responsable y se mantiene al mínimo. Las cuentas con privilegios solo se usarán para el trabajo administrativo.

qa-nias-2-1-am-32

A los administradores del sistema se les asigna una cuenta individual para realizar sus tareas de administración.

qa-nias-2-1-am-34

El registro de administración del sistema se actualiza para registrar la siguiente información: actividades de limpieza, inicio y apagado del sistema, fallas de componentes o del sistema, actividades de mantenimiento, actividades de copia de seguridad y archivo, actividades de recuperación del sistema y actividades especiales o fuera de horario.

qa-nias-2-1-am-35

No se proporcionará acceso remoto a menos que el jefe del departamento lo autorice explícitamente y solo si está justificado por los requisitos comerciales y después de que se haya realizado la diligencia debida para analizar los riesgos asociados y se implementen los controles adecuados para mitigar los riesgos identificados.

qa-nias-2-1-am-36

Se usa la autenticación de dos factores, con un token de hardware, control biométrico o similar, cuando se accede a sistemas que procesan datos clasificados como C3 o superior.

qa-nias-2-1-am-37

Las sesiones de acceso remoto se protegen con la encriptación de extremo a extremo adecuada, como se especifica en la sección C-10, Seguridad criptográfica (CY).

qa-nias-2-1-am-6

Todo intento no autorizado de eludir el control de acceso de la organización se considerará un incidente de seguridad y se gestionará de acuerdo con el procedimiento establecido para la gestión de incidentes y las políticas y los procedimientos de recursos humanos correspondientes.

qa-nias-2-1-am-7

Los registros de auditoría se deben habilitar y mantener de manera tal que permitan supervisar el cumplimiento de la política gubernamental y ayudar en la administración de incidentes.

qa-nias-2-1-am-8

El acceso lógico a las redes de la organización se controla de forma técnica. Esto puede hacerse con dispositivos y servicios de Control de admisión de red (NAC).

qa-nias-2-1-cy-1

Los algoritmos criptográficos, el hardware o software de encriptación, los sistemas de administración de claves y las firmas digitales deben demostrar el cumplimiento de los algoritmos y sistemas criptográficos o de encriptación aprobados, según lo especifique la autoridad competente en la Ley núm. (16) de 2010 sobre la Promulgación de la Ley de Comercio y Transacciones Electrónicas.

qa-nias-2-1-cy-2

La vida útil de la clave se determinará principalmente según la aplicación y la infraestructura de información en la que se use. Las claves se revocarán y reemplazarán de inmediato si se sospecha que se vulneraron.

qa-nias-2-1-cy-3

Los activos de información clasificados como C3 (IAP-NAT-DCLS) se encriptan y protegen contra la divulgación no autorizada cuando se almacenan y están en tránsito, independientemente del formato o medio de almacenamiento. Las organizaciones pueden aplicar estos controles criptográficos a los activos con requisitos de confidencialidad más bajos, si su evaluación de riesgos lo determina necesario.

qa-nias-2-1-cy-4

Los activos de información clasificados como I3 (IAP-NAT-DCLS) tienen integridad garantizada a través del hashing criptográfico. Las organizaciones pueden aplicar estos controles criptográficos a los activos con requisitos de integridad más bajos, si su evaluación de riesgos lo determina necesario.

qa-nias-2-1-cy-5

Para proteger los datos clasificados como C3 durante el tránsito, se utilizan los siguientes protocolos o mejores, con algoritmos aprobados que se describen en el Estándar Criptográfico Nacional de Qatar, versión 1.0 en inglés (o posterior) emitido por la autoridad competente: para proteger el tráfico web: TLS (+128 bits) (RFC4346); para proteger las transferencias de archivos: SFTP (SFTP); para el acceso remoto seguro: SSH v2 (RFC4253) o IPSEC (RFC 4301); y solo se utiliza S/MIME v3 (RFC3851) o una versión mejor para proteger los correos electrónicos. Consulta el CY11 para conocer el requisito asociado.

qa-nias-2-1-cy-6

Las contraseñas siempre deben estar encriptadas o protegidas con hash, y protegidas contra la divulgación no autorizada cuando se almacenan o están en tránsito, independientemente del formato o medio de almacenamiento. Las contraseñas privilegiadas se encriptarán y almacenarán fuera del sitio con archivos de copia de seguridad cada vez que se cambie la contraseña para garantizar una recuperación completa.

qa-nias-2-1-cy-7

Cuando se usan módulos de seguridad de hardware (HSM), estos están certificados al menos según el nivel 2 de FIPS 2-140 (FIPS2-140) o el nivel EAL4 de Common Criteria (CC3.1).

qa-nias-2-1-cy-9

Se definen procesos adecuados de administración de claves, según (ISO1-11770), y se utilizan para administrar el ciclo de vida de las claves criptográficas, lo que abarca las siguientes funciones: roles y responsabilidades de los custodios de claves, generación de claves, control doble y conocimiento dividido, almacenamiento seguro de claves, uso de claves, distribución segura de claves y en tránsito, copia de seguridad y recuperación de claves, verificación periódica del estado de las claves, vulneración de claves, revocación y destrucción de claves, y registros de auditoría y documentación.

qa-nias-2-1-gs-1

Las redes están protegidas de otras redes por puertas de enlace, y los flujos de datos se controlan correctamente.

qa-nias-2-1-gs-13

La exportación de datos a un sistema menos clasificado se restringe filtrando los datos con, al menos, verificaciones en las etiquetas de clasificación.

qa-nias-2-1-gs-2

Las puertas de enlace que conectan las redes de la organización con otras redes de la organización o con redes públicas no controladas se implementan de la siguiente manera: con un dispositivo de red adecuado para controlar el flujo de datos, con todos los flujos de datos controlados de forma adecuada y con los componentes de la puerta de enlace ubicados físicamente dentro de una sala de servidores protegida de forma adecuada.

qa-nias-2-1-gs-6

Las zonas desmilitarizadas (DMZ) se utilizan para separar los sistemas accesibles de forma externa de las redes públicas no controladas y las redes internas a través del uso de firewalls y otros equipos capaces de brindar seguridad de red.

qa-nias-2-1-gs-7

Las puertas de enlace deben ser las únicas rutas de comunicación hacia las redes internas y desde ellas; de forma predeterminada, deben rechazar todas las conexiones hacia la red y desde ella; deben permitir solo las conexiones autorizadas de forma explícita; deben administrarse con una ruta segura aislada de todas las redes conectadas; deben proporcionar una capacidad de auditoría suficiente para detectar fallas de seguridad en la puerta de enlace y los intentos de intrusión en la red; y deben proporcionar alarmas en tiempo real.

qa-nias-2-1-gs-8

Las puertas de enlace se refuerzan antes de cualquier implementación en el sitio de producción y están protegidas contra lo siguiente: código y vulnerabilidades maliciosos, configuraciones incorrectas o deficientes, vulneración de cuentas y elevación de privilegios, supervisión de redes no autorizada, ataques de denegación de servicio (DoS) y filtración de información o datos.

qa-nias-2-1-gs-9

Se supervisan y controlan las puertas de enlace, y se incluyen mecanismos de prevención de amenazas, registros, alertas y vigilancia del equipo. Consulta la sección B-10, Logging and Security Monitoring (SM).

qa-nias-2-1-ie-12

Garantizar que la información que se intercambia entre los sistemas esté protegida contra el uso inadecuado, el acceso no autorizado o la corrupción de datos Para transmitir información clasificada como C2, I2 o superior, se deben usar canales autenticados y encriptados, tal como se especifica en CY5, sección C-10, Seguridad criptográfica (CY).

qa-nias-2-1-ie-3

Asegúrate de que se hayan establecido los acuerdos necesarios (específicamente, los acuerdos de confidencialidad) entre las entidades que intercambian información antes de que se realice el intercambio. Los acuerdos deben proporcionar información sobre las responsabilidades, el procedimiento de notificación de intercambio de información, los estándares técnicos para la transmisión, la identificación de los servicios de mensajería, las responsabilidades, la propiedad y los controles. En el caso de los proveedores y terceros, se utilizará un Acuerdo de Confidencialidad (NDA) formal. En el Apéndice D, se proporciona una plantilla de NDA.

qa-nias-2-1-ie-4

La organización debe garantizar que los medios que se utilizan para intercambiar información estén protegidos contra el acceso, la manipulación o el uso indebido no autorizados dentro o fuera del entorno de la organización.

qa-nias-2-1-ie-8

Proteger la información intercambiada a través de mensajes electrónicos contra el acceso no autorizado, los cambios o las interrupciones del servicio

qa-nias-2-1-ms-20

Los medios, incluidos los defectuosos, que contienen información clasificada se desinfectan en la medida de lo posible antes de desecharse.

qa-nias-2-1-ns-1

Los detalles de la configuración interna de la red y el sistema, los servicios de directorio relacionados con los empleados o los dispositivos, y otra tecnología sensible no se divulgan públicamente ni pueden ser enumerados por personal no autorizado.

qa-nias-2-1-ns-17

Se configura un servidor DNS interno independiente y se coloca en la red interna para la información del dominio interno que no se divulga en Internet.

qa-nias-2-1-ns-2

La organización quita o inhabilita todas las cuentas predeterminadas (por ejemplo, la raíz o la de administrador) o cambia la contraseña según se especifica en la sección C-6, Seguridad del software (SS).

qa-nias-2-1-ns-20

Los archivos de zona están firmados digitalmente y se proporcionan autenticación mutua criptográfica e integridad de datos de las transferencias de zona y las actualizaciones dinámicas.

qa-nias-2-1-ns-21

Se proporciona autenticación de origen criptográfico y garantía de integridad de los datos de DNS.

qa-nias-2-1-ns-22

Los servicios de DNS, incluidas las transferencias de zona, solo se proporcionan a los usuarios autorizados.

qa-nias-2-1-ns-25

La puerta de enlace de Internet rechaza todos los servicios de Internet, a menos que se habiliten específicamente.

qa-nias-2-1-ns-27

La organización tiene la capacidad necesaria para supervisar el tráfico, deducir patrones de tráfico, uso, etc. Consulta la sección B-10, Registro y supervisión de seguridad (SM) para obtener más información.

qa-nias-2-1-ns-29

La protección de TLS se usa con el servidor de correo SMTP de conformidad con la sección C-10, Seguridad criptográfica (CY).

qa-nias-2-1-ns-3

La configuración de la red se mantiene bajo el control del administrador de la red o de un rol similar, y todos los cambios en la configuración se realizan de la siguiente manera: se aprueban a través de un proceso formal de control de cambios, como se define en la sección B-5, Administración de cambios (CM); se documentan y cumplen con la política de seguridad de la red y el plan de seguridad, como se define en la sección B-12, Documentación (DC); y se revisan periódicamente. Las configuraciones anteriores, según lo exigen los procedimientos de la organización, se mantienen como parte de la revisión de cambios. La frecuencia de revisión de la configuración dependerá del riesgo y los procesos de la organización.

qa-nias-2-1-ns-5

Las redes se diseñan y configuran para limitar las oportunidades de acceso no autorizado a la información que transita por la infraestructura de red. Las organizaciones deben usar las siguientes tecnologías para cumplir con este requisito: conmutadores en lugar de concentradores; seguridad de puertos en los conmutadores para limitar el acceso y habilitar todos los puertos no utilizados; routers y firewalls que aíslan partes de la red según la necesidad de conocer; IPsec o IP versión 6; encriptación a nivel de la aplicación; una herramienta automatizada que compara la configuración en ejecución de los dispositivos de red con la configuración documentada; autenticación perimetral de la red; restringir y administrar los dispositivos de los usuarios finales que se comunican con la red de la organización a través de técnicas como el filtrado de direcciones MAC; IPS o IDS para detectar y prevenir la actividad maliciosa dentro de la red; y restricciones de hora y día.

qa-nias-2-1-ns-53

Las redes de voz y datos son independientes. La separación debe ser física, pero se permite el uso de LAN virtuales. La puerta de enlace de voz, que se conecta con la PSTN, segrega los protocolos H.323, SIP o de VoIP de la red de datos.

qa-nias-2-1-ns-6

Las redes de administración adoptan las siguientes medidas de protección: se usan redes dedicadas para los dispositivos de administración mediante la implementación de una VLAN de administración independiente o una infraestructura físicamente separada, y se usan canales seguros, por ejemplo, a través de VPN o SSH.

qa-nias-2-1-ns-7

Las VLAN se usan para separar el tráfico de telefonía IP en redes críticas para la empresa.

qa-nias-2-1-ns-8

El acceso administrativo solo se permite desde la VLAN con la clasificación más alta a una con el mismo nivel de clasificación o con una clasificación inferior.

qa-nias-2-1-pr-5

La evaluación de seguridad del producto se realiza en una configuración de evaluación dedicada que incluye pruebas de funcionalidad, pruebas de seguridad y parches para proteger contra posibles amenazas y vulnerabilidades.

qa-nias-2-1-pr-6

La entrega de productos es coherente con la práctica de seguridad de la organización para la entrega segura.

qa-nias-2-1-pr-7

Los procedimientos de entrega segura deben incluir medidas para detectar la manipulación o la suplantación.

qa-nias-2-1-pr-8

Se compraron productos de desarrolladores que se comprometieron a mantener la garantía de sus productos.

qa-nias-2-1-pr-9

Se implementaron procesos de actualización y aplicación de parches de productos. Las actualizaciones de los productos deben seguir las políticas de administración de cambios especificadas en la sección B-5, Administración de cambios (CM).

qa-nias-2-1-ss-13

Las estaciones de trabajo usan un entorno operativo estándar (SOE) reforzado que abarca lo siguiente: eliminación de software no deseado, inhabilitación de funciones no utilizadas o no deseadas en el software y los sistemas operativos instalados, implementación de controles de acceso en objetos relevantes para limitar los usuarios y programas del sistema al acceso mínimo necesario para realizar sus tareas, instalación de firewalls basados en software que limitan las conexiones de red entrantes y salientes, y configuración del registro remoto o la transferencia de registros de eventos locales a un servidor central.

qa-nias-2-1-ss-14

Las posibles vulnerabilidades en sus SOE y sistemas se reducen de la siguiente manera: se quitan los recursos compartidos de archivos innecesarios, se garantiza que las actualizaciones estén al día, se inhabilita el acceso a toda la funcionalidad de entrada y salida innecesaria, se quitan las cuentas no utilizadas, se cambian los nombres de las cuentas predeterminadas y se reemplazan las contraseñas predeterminadas.

qa-nias-2-1-ss-15

Los servidores de alto riesgo, como los servidores web, de correo electrónico, de archivos y de telefonía por protocolo de Internet, que tienen conectividad a redes públicas no controladas cumplen con los siguientes lineamientos: mantienen una separación funcional eficaz entre los servidores, lo que les permite operar de forma independiente; minimizan las comunicaciones entre los servidores a nivel de la red y del sistema de archivos, según corresponda; y limitan los usuarios y programas del sistema al acceso mínimo necesario para realizar sus tareas.

qa-nias-2-1-ss-16

Verifica la integridad de todos los servidores cuyas funciones son críticas para la organización y de aquellos que se identificaron como de alto riesgo de vulneración. Siempre que sea posible, estas verificaciones se deben realizar desde un entorno de confianza en lugar del sistema en sí.

qa-nias-2-1-ss-17

Almacenar la información de integridad de forma segura fuera del servidor de una manera que mantenga la integridad

qa-nias-2-1-ss-19

Como parte del programa de auditoría continua de la organización, compara la información de integridad almacenada con la información de integridad actual para determinar si se produjo una vulneración o una modificación legítima del sistema que se completó de forma incorrecta.

qa-nias-2-1-ss-2

Todas las aplicaciones (incluidas las nuevas y las desarrolladas) se clasifican según la Política Nacional de Clasificación de Datos (IAP-NAT-DCLS) y reciben la protección de seguridad adecuada para sus calificaciones de confidencialidad, integridad y disponibilidad.

qa-nias-2-1-ss-20

La organización debe resolver cualquier cambio detectado de acuerdo con los procedimientos de administración de incidentes de seguridad de la tecnología de la información y las comunicaciones (TIC) de la organización.

qa-nias-2-1-ss-21

Todas las aplicaciones de software se revisan para determinar si intentan establecer conexiones externas. Si se incluye la funcionalidad de conexión saliente automatizada, las organizaciones deben tomar una decisión comercial para determinar si permiten o rechazan estas conexiones, lo que incluye una evaluación de los riesgos que implica hacerlo.

qa-nias-2-1-ss-23

Se minimiza la conectividad y el acceso entre cada componente de la aplicación web.

qa-nias-2-1-ss-24

La información personal y los datos sensibles se protegen durante el almacenamiento y la transmisión con controles criptográficos adecuados.

qa-nias-2-1-ss-29

Los archivos de la base de datos están protegidos contra el acceso que omite los controles de acceso normales de la base de datos.

qa-nias-2-1-ss-3

Los requisitos de seguridad, incluidos los requisitos funcionales, técnicos y de garantía, se desarrollan y se implementan como parte de los requisitos del sistema.

qa-nias-2-1-ss-30

Las bases de datos proporcionan funcionalidad para permitir la auditoría de las acciones de los usuarios del sistema.

qa-nias-2-1-ss-31

Los usuarios del sistema que no tienen privilegios suficientes para ver el contenido de la base de datos no pueden ver los metadatos asociados en una lista de resultados de una consulta del motor de búsqueda. Si los resultados de las consultas de bases de datos no se pueden filtrar de forma adecuada, las organizaciones deben asegurarse de que todos los resultados de las consultas se depuren de forma adecuada para cumplir con el privilegio de seguridad mínimo de los usuarios del sistema.

qa-nias-2-1-ss-4

La infraestructura de prueba y desarrollo exclusiva, incluidos los sistemas y los datos, está disponible y separada de los sistemas de producción. Además, el flujo de información entre los entornos se limitará estrictamente según una política definida y documentada, y el acceso se otorgará solo a los usuarios del sistema con un requisito comercial claro. También se inhabilitará el acceso de escritura a la fuente autorizada del software.

qa-nias-2-1-ss-5

Todas las aplicaciones, ya sean adquiridas o desarrolladas, están disponibles para su uso en producción solo después de las pruebas y verificaciones de garantía de calidad y seguridad adecuadas para garantizar que el sistema confirme y cumpla con los requisitos de seguridad previstos.

qa-nias-2-1-ss-6

Los desarrolladores de software usan prácticas de programación seguras cuando escriben código, incluidas las siguientes: cumplir con las prácticas recomendadas, por ejemplo, los 25 errores de programación más peligrosos de Mitre (Mitre); diseñar software para usar el nivel de privilegio más bajo necesario para lograr su tarea; denegar el acceso de forma predeterminada; verificar los valores de retorno de todas las llamadas al sistema; y validar todas las entradas.

qa-nias-2-1-ss-7

El software se debe revisar o probar para detectar vulnerabilidades antes de usarse en un entorno de producción. El software debe ser revisado o probado por un tercero independiente y no por el desarrollador.

qa-nias-2-1-vl-1

Se cuenta con un plan de destrucción de emergencia, bloqueo, borrado remoto o autodestrucción para todos los MD y las laptops.

qa-nias-2-1-vl-2

Refuerza el hipervisor, la capa administrativa, la máquina virtual y los componentes relacionados según las prácticas recomendadas y los lineamientos de seguridad aceptados por la industria, así como las recomendaciones del proveedor.

qa-nias-2-1-vl-3

Aplica el principio de privilegio mínimo y la separación de tareas para administrar el entorno virtual de la siguiente manera: Define roles específicos y privilegios detallados para cada administrador en el software central de administración de virtualización, limita el acceso administrativo directo al hipervisor en la medida de lo posible y, según el riesgo y la clasificación de la información procesada, las organizaciones deben considerar el uso de la autenticación de múltiples factores o el control doble o dividido de las contraseñas administrativas entre varios administradores. Para obtener más información, consulta la sección C9, Administración de acceso.

qa-nias-2-1-vl-5

El entorno de tecnología virtualizado debe complementarse con tecnología de seguridad de terceros para proporcionar controles de seguridad en capas, como un enfoque de defensa en profundidad, que complementen los controles proporcionados por el proveedor y la tecnología en sí.

qa-nias-2-1-vl-6

Segrega las máquinas virtuales según la clasificación de los datos que procesan o almacenan.

qa-nias-2-1-vl-7

Un proceso de administración de cambios abarca el entorno de tecnología virtual. Esto incluye lo siguiente: garantizar que el perfil de la máquina virtual esté actualizado y que la integridad de la imagen de la máquina virtual se mantenga en todo momento. Además, se debe tener cuidado para mantener y actualizar las VMs que no están en un estado activo (inactivas o que ya no se usan). Para obtener más información, consulta la sección B6, Administración de cambios.

qa-nias-2-1-vl-8

Los registros del entorno tecnológico virtual se registrarán y supervisarán junto con el resto de la infraestructura de TI. Consulta la sección B10, Registros y supervisión de seguridad.

NIST 800-53 Revision 5

Proveedor de servicios en la nube compatible: Google Cloud

Un catálogo integral de controles de seguridad y privacidad para crear un programa de seguridad sólido. Es obligatorio para los sistemas federales de EE.UU. y, ahora, es un marco de trabajo de prácticas recomendadas que utilizan organizaciones de todos los sectores.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

nist-r5-ac-02

A. Definir y documentar los tipos de cuentas permitidas y específicamente prohibidas para su uso dentro del sistema B. Asigna administradores de cuentas. C. Exigir requisitos previos y criterios definidos por la organización para la membresía de grupos y roles D. Especifica lo siguiente: a. Usuarios autorizados del sistema. b. Membresía a grupos y roles c. Autorizaciones o privilegios de acceso y atributos definidos por la organización para cada cuenta E. Exige aprobaciones de personal o roles definidos por la organización para las solicitudes de creación de cuentas. F. Crear, habilitar, modificar, inhabilitar y quitar cuentas de acuerdo con la política, los procedimientos, los requisitos previos y los criterios definidos por la organización G. Supervisar el uso de las cuentas H. Notifica a los administradores de cuentas y al personal o los roles definidos por la organización en los siguientes casos: a. Es un período definido por la organización en el que ya no se requieren las cuentas. b. Es un período definido por la organización en el que se desvinculan o transfieren los usuarios. c. Es un período definido por la organización en el que el uso del sistema o la necesidad de conocer información cambian para una persona. I. Autoriza el acceso al sistema según lo siguiente: a. Es una autorización de acceso válida. b. Uso previsto del sistema. c. Son atributos definidos por la organización. J. Revisar las cuentas para garantizar el cumplimiento de los requisitos de administración de cuentas según la frecuencia definida por la organización K. Establece y aplica un proceso para cambiar los autenticadores de cuentas compartidas o grupales cuando se quitan personas del grupo. L. Alinea los procesos de administración de cuentas con los procesos de desvinculación y transferencia del personal.

nist-r5-ac-03

Aplica las autorizaciones aprobadas para el acceso lógico a la información y los recursos del sistema de acuerdo con las políticas de control de acceso aplicables.

nist-r5-ac-04

Aplica las autorizaciones aprobadas para controlar el flujo de información dentro del sistema y entre los sistemas conectados según las políticas de control de flujo de información definidas por la organización.

nist-r5-ac-05

Identificar y documentar las obligaciones definidas por la organización de las personas que requieren separación Define las autorizaciones de acceso al sistema para respaldar la separación de obligaciones.

nist-r5-ac-06

Aplica el principio de privilegio mínimo, que permite solo los accesos autorizados para los usuarios o los procesos que actúan en nombre de los usuarios que son necesarios para completar las tareas organizativas asignadas.

nist-r5-ac-06-05

Restringe las cuentas con privilegios en el sistema al personal o los roles definidos por la organización.

nist-r5-ac-07

Aplicar un límite de la cantidad de intentos de acceso consecutivos no válidos definidos por la organización que puede realizar un usuario durante un período definido por la organización Cuando se supera la cantidad máxima de intentos fallidos, se bloquea automáticamente la cuenta o el nodo durante un período definido por la organización, se bloquea la cuenta o el nodo hasta que un administrador lo desbloquee, se retrasa el siguiente mensaje de inicio de sesión según el algoritmo de retraso definido por la organización, se notifica al administrador del sistema y se toma otra acción definida por la organización.

nist-r5-ac-12

Finalizar automáticamente una sesión del usuario después de que se cumplan las condiciones definidas por la organización o se activen eventos que requieran la desconexión de la sesión

nist-r5-ac-17

Establece y documenta las restricciones de uso, los requisitos de configuración y conexión, y la orientación para la implementación de cada tipo de acceso remoto permitido. Autoriza cada tipo de acceso remoto al sistema antes de permitir esas conexiones.

nist-r5-ac-17-03

Dirige los accesos remotos a través de puntos de control de acceso a la red autorizados y administrados.

nist-r5-ac-17-04

Autoriza la ejecución de comandos con privilegios y el acceso a información relevante para la seguridad a través del acceso remoto solo en un formato que proporcione evidencia evaluable y para las necesidades definidas por la organización. Documenta la justificación del acceso remoto en el plan de seguridad del sistema.

nist-r5-ac-18

Establecer los requisitos de configuración, los requisitos de conexión y la orientación para la implementación de cada tipo de acceso inalámbrico Autoriza cada tipo de acceso inalámbrico al sistema antes de permitir dichas conexiones.

nist-r5-ac-19

Establece requisitos de configuración, requisitos de conexión y orientación para la implementación de dispositivos móviles controlados por la organización, incluso cuando dichos dispositivos se encuentren fuera de las áreas controladas. Autorizar la conexión de dispositivos móviles a los sistemas de la organización

nist-r5-au-01

Desarrolla, documenta y difunde una política de auditoría y responsabilidad que cumpla con los requisitos, así como los procedimientos para su implementación, y asegúrate de que la política aborde su propósito, alcance, funciones y responsabilidades. Designa a un funcionario específico para que administre esta documentación y revise y actualice periódicamente la política y los procedimientos según un cronograma definido o en respuesta a eventos específicos.

nist-r5-au-02

A. Identifica los tipos de eventos que el sistema puede registrar para admitir la función de auditoría: B. Coordina la función de registro de eventos con otras entidades de la organización que requieran información relacionada con la auditoría para guiar e informar los criterios de selección de los eventos que se registrarán. C. Especifica los tipos de eventos definidos por la organización que son un subconjunto de los tipos de eventos definidos en AU-02a, junto con la frecuencia o la situación que requiere el registro para cada tipo de evento identificado. D. Proporciona una justificación de por qué los tipos de eventos seleccionados para el registro se consideran adecuados para respaldar las investigaciones posteriores a los incidentes. E. Revisa y actualiza los tipos de eventos seleccionados para el registro según la frecuencia definida por la organización.

nist-r5-au-03

Asegúrate de que los registros de auditoría contengan información que establezca lo siguiente: A. Tipo de evento que ocurrió. B. Cuándo ocurrió el evento C. Lugar donde ocurrió el evento D. Es la fuente del evento. D. Es el resultado del evento. F. Identidad de las personas, los sujetos, los objetos y las entidades asociados con el evento

nist-r5-au-03-01

Genera registros de auditoría que contienen información adicional definida por la organización.

nist-r5-au-04

Asigna capacidad de almacenamiento de registros de auditoría para satisfacer los requisitos de retención de registros de auditoría definidos por la organización.

nist-r5-au-05

Alertar al personal o a los roles definidos por la organización dentro del período definido por la organización en caso de que falle el proceso de registro de auditoría Tomar medidas adicionales definidas por la organización

nist-r5-au-05-02

Proporcionar una alerta dentro del período en tiempo real definido por la organización al personal, los roles o las ubicaciones definidos por la organización cuando se produzcan eventos de falla de registro de auditoría definidos por la organización que requieran alertas en tiempo real

nist-r5-au-06

Revisa y analiza los registros de auditoría del sistema según la frecuencia definida por la organización para detectar indicios de actividad inapropiada o inusual definida por la organización y el posible impacto de dicha actividad. Informa los hallazgos al personal o a los roles definidos por la organización. Ajustar el nivel de revisión, análisis y generación de informes de registros de auditoría dentro del sistema cuando hay un cambio en el riesgo según la información de las fuerzas del orden, la información de inteligencia o cualquier otra fuente de información creíble

nist-r5-au-07

Proporcionar e implementar una capacidad de reducción de registros de auditoría y generación de informes que satisfaga los requisitos de revisión, análisis y generación de informes de registros de auditoría a pedido, así como las investigaciones posteriores a los incidentes La capacidad no debe alterar el contenido original ni el orden cronológico de los registros de auditoría.

nist-r5-au-11

Conserva los registros de auditoría durante el período definido por la organización, de conformidad con la política de retención de registros, para brindar asistencia en las investigaciones posteriores a los incidentes y cumplir con los requisitos de retención de información reglamentarios y de la organización.

nist-r5-au-12

A. Proporcionar capacidad de generación de registros de auditoría para los tipos de eventos que el sistema puede auditar, según se define en AU-2a en los componentes del sistema definidos por la organización B. Permitir que el personal o los roles definidos por la organización seleccionen los tipos de eventos que registrarán los componentes específicos del sistema C. Generar registros de auditoría para los tipos de eventos definidos en AU-2c que incluyen el contenido del registro de auditoría definido en AU-3

nist-r5-ca-2-2

Incluir como parte de las evaluaciones de control, según la frecuencia definida por la organización, anunciadas o no anunciadas: supervisión profunda, instrumentación de seguridad, casos de prueba de seguridad automatizados, análisis de vulnerabilidades, pruebas de usuarios maliciosos, evaluación de amenazas internas, pruebas de rendimiento y carga, evaluación de filtración o pérdida de datos, o bien otras formas de evaluación definidas por la organización.

nist-r5-ca-7

Desarrolla una estrategia de supervisión continua a nivel del sistema y, luego, implementa la supervisión continua de acuerdo con la estrategia de supervisión continua a nivel de la organización, que incluye lo siguiente: A. Establecer las métricas a nivel del sistema definidas por la organización B. Establecer frecuencias definidas por la organización para la supervisión y la evaluación de la eficacia del control C. Evaluaciones de control continuas de acuerdo con la estrategia de supervisión continua D. Supervisión continua de las métricas definidas por el sistema y la organización, de conformidad con la estrategia de supervisión continua E. Correlación y análisis de la información generada por las evaluaciones y la supervisión de los controles F. Acciones de respuesta para abordar los resultados del análisis de la información de supervisión y evaluación de controles. G. Informar el estado de seguridad y privacidad del sistema al personal o los roles definidos por la organización con la frecuencia que esta determine

nist-r5-ca-9

A. Autoriza las conexiones internas de los componentes del sistema o las clases de componentes definidos por la organización al sistema. B. Documenta, para cada conexión interna, las características de la interfaz, los requisitos de seguridad y privacidad, y la naturaleza de la información comunicada. C. Finalizar las conexiones internas del sistema después de que se cumplan las condiciones definidas por la organización D. Revisa, con la frecuencia definida por la organización, la necesidad continua de cada conexión interna.

nist-r5-cm-01

A. Desarrollar, documentar y difundir al personal o los roles definidos por la organización: a. Es una política de administración de la configuración que se define a nivel de la organización, de la misión o del proceso comercial, o bien a nivel del sistema. La política debe abordar el propósito, el alcance, los roles, las responsabilidades, el compromiso de la administración, la coordinación entre las entidades organizativas y el cumplimiento. La política debe ser coherente con las leyes, órdenes ejecutivas, directivas, reglamentaciones, políticas, estándares y lineamientos aplicables. b. Procedimientos para facilitar la implementación de la política de administración de la configuración y los controles de administración de la configuración asociados B. Designa a un funcionario oficial definido por la organización para que administre el desarrollo, la documentación y la difusión de la política y los procedimientos de administración de configuración. C. Revisa y actualiza las políticas y los procedimientos actuales de administración de la configuración según los eventos y las frecuencias definidos por la organización.

nist-r5-cm-02

A. Desarrollar, documentar y mantener bajo control de configuración una configuración de referencia actual del sistema B. Revisa y actualiza la configuración de referencia del sistema: a. Según la frecuencia definida por la organización b. Cuando sea necesario debido a circunstancias definidas por la organización c. Cuando se instalan o actualizan los componentes del sistema

nist-r5-cm-06

A. Establece y documenta la configuración de los componentes empleados en el sistema que reflejen el modo más restrictivo coherente con los requisitos operativos, utilizando configuraciones seguras comunes definidas por la organización. B. Implementa los parámetros de configuración. C. Identifica, documenta y aprueba cualquier desviación de los parámetros de configuración establecidos para los componentes del sistema definidos por la organización según los requisitos operativos definidos por la organización. D. Supervisar y controlar los cambios en la configuración de acuerdo con las políticas y los procedimientos de la organización

nist-r5-cm-07

Configura el sistema para que proporcione solo las capacidades esenciales para la misión definidas por la organización. Prohibir o restringir el uso de funciones, puertos, protocolos, software o servicios definidos por la organización

nist-r5-cm-09

Desarrolla, documenta e implementa un plan de administración de la configuración para el sistema que cumpla con los siguientes requisitos: A. Aborda los roles, las responsabilidades y los procesos y procedimientos de administración de la configuración. B. Establece un proceso para identificar los elementos de configuración a lo largo del ciclo de vida del desarrollo del sistema y para administrar la configuración de los elementos de configuración. C. Define los elementos de configuración del sistema y los coloca bajo la administración de configuración. D. Se revisa y aprueba por el personal o los roles definidos por la organización. E. Protege el plan de administración de la configuración contra la divulgación y la modificación no autorizadas.

nist-r5-cp-06

Establece un sitio de almacenamiento alternativo, incluidos los acuerdos necesarios para permitir el almacenamiento y la recuperación de la información de copias de seguridad del sistema. Asegúrate de que el sitio de almacenamiento alternativo proporcione controles equivalentes a los del sitio principal.

nist-r5-cp-07

A. Establece un sitio de procesamiento alternativo, incluidos los acuerdos necesarios para permitir la transferencia y la reanudación de las operaciones del sistema definidas por la organización para las funciones comerciales y de misión esenciales dentro del período definido por la organización, de conformidad con los objetivos de tiempo de recuperación y punto de recuperación, cuando las capacidades de procesamiento principales no estén disponibles. B. Poner a disposición en el sitio de procesamiento alternativo el equipo y los suministros necesarios para transferir y reanudar las operaciones, o bien celebrar contratos para respaldar la entrega en el sitio dentro del período definido por la organización para la transferencia y la reanudación C. Proporciona controles en el sitio de procesamiento alternativo que sean equivalentes a los del sitio principal.

nist-r5-ia-04

Administra los identificadores del sistema de la siguiente manera: A. Recibir autorización de personal o roles definidos por la organización para asignar un identificador de persona, grupo, rol, servicio o dispositivo B. Seleccionar un identificador que identifique a una persona, un grupo, un rol, un servicio o un dispositivo C. Asignar el identificador a la persona, el grupo, el rol, el servicio o el dispositivo deseados D. Se evita la reutilización de identificadores durante el período definido por la organización.

nist-r5-ia-05

Administra los autenticadores del sistema de la siguiente manera: a. Verificar, como parte de la distribución inicial del autenticador, la identidad de la persona, el grupo, el rol, el servicio o el dispositivo que recibe el autenticador. b. Establecer el contenido inicial del autenticador para cualquier autenticador emitido por la organización. c. Garantizar que los autenticadores tengan la suficiente solidez del mecanismo para el uso previsto. d. Establecer e implementar procedimientos administrativos para la distribución inicial de autenticadores, para los autenticadores perdidos, vulnerados o dañados, y para revocar autenticadores. Cambiar los autenticadores predeterminados antes del primer uso (f.) Cambiar o actualizar los autenticadores según el período definido por la organización para cada tipo de autenticador o cuando ocurren eventos definidos por la organización (p. ej., Proteger el contenido del autenticador contra la divulgación y modificación no autorizadas (h.) Exigir que las personas tomen medidas específicas y que los dispositivos implementen controles específicos para proteger los autenticadores. I. Cambiar los autenticadores de las cuentas de grupo o de rol cuando cambia la membresía de esas cuentas

nist-r5-ia-08

Identificar y autenticar de forma inequívoca a los usuarios o procesos externos a la organización que actúan en nombre de usuarios externos a la organización

nist-r5-ma-04

A. Aprobar y supervisar las actividades de mantenimiento y diagnóstico no locales B. Permite el uso de herramientas de diagnóstico y mantenimiento no locales solo de conformidad con la política de la organización y según se documenta en el plan de seguridad del sistema. C. Emplea una autenticación sólida para establecer sesiones de mantenimiento y diagnóstico no locales. D. Mantén registros de las actividades de mantenimiento y diagnóstico no locales. E. Finaliza las conexiones de sesión y de red cuando se complete el mantenimiento no local.

nist-r5-mp-02

Restringe el acceso a los tipos de medios digitales o no digitales definidos por la organización al personal o los roles definidos por la organización.

nist-r5-pe-01

A. Desarrollar, documentar y difundir al personal o los roles definidos por la organización: a. Una política de protección física y ambiental que se define a nivel de la organización, de la misión o del proceso comercial, o bien a nivel del sistema La política debe abordar el propósito, el alcance, los roles, las responsabilidades, el compromiso de la administración, la coordinación entre las entidades organizativas y el cumplimiento. La política debe ser coherente con las leyes, órdenes ejecutivas, directivas, reglamentaciones, políticas, estándares y lineamientos aplicables. b. Procedimientos para facilitar la implementación de la política de protección física y ambiental, y los controles de protección física y ambiental asociados B. Designa a un funcionario oficial definido por la organización para que administre el desarrollo, la documentación y la difusión de la política y los procedimientos de protección física y ambiental. C. Revisa y actualiza las políticas y los procedimientos de protección física y ambiental actuales según las frecuencias y los eventos definidos por la organización.

nist-r5-pl-08

A. Desarrolla arquitecturas de seguridad y privacidad para el sistema: a. Describe los requisitos y el enfoque que se deben adoptar para proteger la confidencialidad, la integridad y la disponibilidad de la información de la organización. b. Describe los requisitos y el enfoque que se deben adoptar para procesar la información de identificación personal y minimizar el riesgo de privacidad para las personas. c. Describe cómo las arquitecturas se integran en la arquitectura empresarial y la respaldan. d. Describe cualquier suposición sobre los sistemas y servicios externos, y las dependencias de estos. B. Revisa y actualiza las arquitecturas con la frecuencia que defina la organización para reflejar los cambios en la arquitectura empresarial. C. Reflejar los cambios de arquitectura planificados en los planes de seguridad y privacidad, el concepto de operaciones (CONOPS), el análisis de criticidad, los procedimientos organizacionales y las adquisiciones.

nist-r5-ra-03

A. Realiza una evaluación de riesgos, que incluya lo siguiente: a. Identificar las amenazas y las vulnerabilidades del sistema b. Determinar la probabilidad y la magnitud del daño que podría causar el acceso, el uso, la divulgación, la interrupción, la modificación o la destrucción no autorizados del sistema, la información que procesa, almacena o transmite, y cualquier información relacionada. c. Determinar la probabilidad y el impacto de los efectos adversos en las personas que surjan del tratamiento de la información de identificación personal B. Integrar los resultados de la evaluación de riesgos y las decisiones de administración de riesgos desde las perspectivas de la organización y de la misión o el proceso comercial con las evaluaciones de riesgos a nivel del sistema; C. Documentar los resultados de la evaluación de riesgos en planes de seguridad y privacidad, informes de evaluación de riesgos y documentos definidos por la organización D. Revisar los resultados de la evaluación de riesgos con la frecuencia que defina la organización E. Difunde los resultados de la evaluación de riesgos al personal o los roles definidos por la organización. F. Actualiza la evaluación de riesgos con la frecuencia que defina la organización o cuando haya cambios significativos en el sistema, su entorno de operación o cualquier otra condición que pueda afectar la seguridad o la privacidad del sistema.

nist-r5-ra-05

A. Supervisar y analizar el sistema y las aplicaciones alojadas para detectar vulnerabilidades con la frecuencia definida por la organización o de forma aleatoria de acuerdo con el proceso definido por la organización y cuando se identifiquen y notifiquen nuevas vulnerabilidades que puedan afectar el sistema; B. Emplear herramientas y técnicas de supervisión de vulnerabilidades que faciliten la interoperabilidad entre las herramientas y automatizar partes del proceso de administración de vulnerabilidades con estándares para lo siguiente: a. Enumerar plataformas, fallas de software y configuraciones inadecuadas b. Listas de verificación de formato y procedimientos de prueba c. Medir el impacto de la vulnerabilidad C. Analizar los informes y los resultados de los análisis de vulnerabilidades, y de la supervisión de vulnerabilidades D. Corregir las vulnerabilidades legítimas en los tiempos de respuesta definidos por la organización de acuerdo con una evaluación de riesgos de la organización E. Comparte la información obtenida del proceso de supervisión de vulnerabilidades y las evaluaciones de control con el personal o los roles definidos por la organización para ayudar a eliminar vulnerabilidades similares en otros sistemas. F. Emplea herramientas de supervisión de vulnerabilidades que incluyan la capacidad de actualizar fácilmente las vulnerabilidades que se analizarán.

nist-r5-sa-03

Adquiere, desarrolla y administra el sistema con un ciclo de vida de desarrollo del sistema definido por la organización que incorpore consideraciones de seguridad y privacidad de la información. Define y documenta los roles y las responsabilidades de seguridad y privacidad de la información durante todo el ciclo de vida del desarrollo del sistema. Identificar a las personas que tienen roles y responsabilidades relacionados con la seguridad y la privacidad de la información Integrar el proceso de administración de riesgos de privacidad y seguridad de la información de la organización en las actividades del ciclo de vida del desarrollo del sistema

nist-r5-sa-08

Aplicar los principios de ingeniería de seguridad y privacidad definidos por la organización en la especificación, el diseño, el desarrollo, la implementación y la modificación del sistema y los componentes del sistema

nist-r5-sa-10

Exigir al desarrollador del sistema, el componente del sistema o el servicio del sistema que cumpla con lo siguiente: A. Realizar la administración de la configuración durante el sistema, el componente o el servicio; el diseño, el desarrollo, la implementación, la operación o la eliminación. B. Documentar, administrar y controlar la integridad de los cambios en los elementos de configuración definidos por la organización en virtud de la administración de la configuración C. Implementar solo los cambios aprobados por la organización en el sistema, el componente o el servicio D. Documenta los cambios aprobados en el sistema, el componente o el servicio, y los posibles impactos en la seguridad y la privacidad de dichos cambios. E. Realizar un seguimiento de las fallas de seguridad y su resolución dentro del sistema, el componente o el servicio, y comunicar los resultados al personal definido por la organización

nist-r5-sa-11

En todas las etapas posteriores al diseño del ciclo de vida del desarrollo del sistema, se debe exigir al desarrollador del sistema, del componente del sistema o del servicio del sistema que haga lo siguiente: A. Desarrollar e implementar un plan para las evaluaciones continuas de seguridad y privacidad; B. Realizar pruebas de unidades, integración, sistema y regresión según la frecuencia definida por la organización y con la profundidad y cobertura definidas por la organización C. Producir evidencia de la ejecución del plan de evaluación y los resultados de las pruebas y la evaluación D. Implementa un proceso de corrección de errores verificable. E. Corregir las fallas identificadas durante las pruebas y la evaluación

nist-r5-sa-15

Exigir que el desarrollador del sistema, el componente del sistema o el servicio del sistema siga un proceso de desarrollo documentado que aborde explícitamente los requisitos de seguridad y privacidad, identifique los estándares y las herramientas que se usan en el proceso de desarrollo, documente las opciones y configuraciones específicas de las herramientas que se usan en el proceso de desarrollo, y documente, administre y garantice la integridad de los cambios en el proceso y las herramientas que se usan en el desarrollo. Revisar el proceso de desarrollo, los estándares, las herramientas, las opciones de herramientas y las configuraciones de herramientas según la frecuencia definida por la organización para determinar si el proceso, los estándares, las herramientas, las opciones de herramientas y las configuraciones de herramientas seleccionados y empleados pueden satisfacer los requisitos de seguridad y privacidad definidos por la organización

nist-r5-sa-21

Exigir que el desarrollador de un sistema, un componente del sistema o un servicio del sistema definidos por la organización tenga las autorizaciones de acceso adecuadas según lo determinen los deberes oficiales gubernamentales definidos por la organización que se le asignen El desarrollador debe cumplir con los criterios adicionales de selección de personal que defina la organización.

nist-r5-sc-03

Aísla las funciones de seguridad de las que no lo son.

nist-r5-sc-05

Protegerse contra los efectos de los eventos de denegación de servicio definidos por la organización Emplea controles definidos por la organización según el tipo de evento de denegación de servicio.

nist-r5-sc-07

Supervisar y controlar las comunicaciones en las interfaces administradas externas al sistema y en las interfaces administradas internas clave dentro del sistema Implementa subredes para los componentes del sistema de acceso público que estén separados física y lógicamente de las redes internas de la organización. Conéctate a redes o sistemas externos solo a través de interfaces administradas que consistan en dispositivos de protección de límites dispuestos de acuerdo con una arquitectura de seguridad y privacidad de la organización.

nist-r5-sc-07-05

Rechaza el tráfico de comunicaciones de red de forma predeterminada y permite excepciones en las interfaces administradas para los sistemas definidos por la organización.

nist-r5-sc-08

Proteger la confidencialidad y la integridad de la información transmitida

nist-r5-sc-10

Finalizar la conexión de red asociada a una sesión de comunicaciones al final de la sesión o después de un período de inactividad definido por la organización

nist-r5-sc-12

Establecer y administrar claves criptográficas cuando se emplea la criptografía dentro del sistema de acuerdo con los requisitos de administración de claves, como los requisitos definidos por la organización para la generación, distribución, almacenamiento, acceso y destrucción de claves

nist-r5-sc-13

Determina los usos requeridos para la criptografía y, luego, implementa los tipos específicos de criptografía necesarios para cada uno de esos usos definidos.

nist-r5-sc-23

Proteger la autenticidad de las sesiones de comunicación

nist-r5-sc-28

Proteger la confidencialidad y la integridad de la información en reposo definida por la organización

nist-r5-sc-28-01

Implementa mecanismos criptográficos para evitar la divulgación y modificación no autorizadas de la información definida por la organización en reposo en los componentes del sistema definidos por la organización.

nist-r5-si-01

A. Desarrollar, documentar y difundir al personal o los roles definidos por la organización: a. Una política de integridad de la información y del sistema que se define a nivel de la organización, a nivel de la misión o del proceso comercial, o a nivel del sistema La política debe abordar el propósito, el alcance, los roles, las responsabilidades, el compromiso de la administración, la coordinación entre las entidades organizativas y el cumplimiento. La política debe ser coherente con las leyes, órdenes ejecutivas, directivas, reglamentaciones, políticas, estándares y lineamientos aplicables. b. Procedimientos para facilitar la implementación de la política de integridad del sistema y de la información, y los controles de integridad del sistema y de la información asociados B. Designa a un funcionario oficial definido por la organización para administrar el desarrollo, la documentación y la difusión de la política y los procedimientos de integridad del sistema y de la información. C. Revisa y actualiza las políticas y los procedimientos actuales de integridad del sistema y de la información según las frecuencias y los eventos definidos por la organización.

nist-r5-si-02

Identificar, informar y corregir las fallas del sistema Prueba las actualizaciones de software y firmware relacionadas con la corrección de fallas para determinar su eficacia y los posibles efectos secundarios antes de la instalación. Instalar las actualizaciones de software y firmware pertinentes para la seguridad dentro del período definido por la organización a partir del lanzamiento de las actualizaciones Incorpora la corrección de defectos en el proceso de administración de la configuración de la organización.

nist-r5-si-02-02

Determinar si los componentes del sistema tienen instaladas las actualizaciones de software y firmware pertinentes para la seguridad con mecanismos automatizados definidos por la organización y con una frecuencia definida por la organización

nist-r5-si-03

A. Implementa mecanismos de protección contra código malicioso basados en firmas o no basados en firmas en los puntos de entrada y salida del sistema para detectar y erradicar el código malicioso. B. Actualizar automáticamente los mecanismos de protección contra código malicioso a medida que haya nuevas versiones disponibles, de conformidad con la política y los procedimientos de administración de la configuración de la organización C. Configura mecanismos de protección contra código malicioso para hacer lo siguiente: a. Realiza análisis periódicos del sistema con la frecuencia definida por la organización y análisis en tiempo real de los archivos de fuentes externas en el extremo, y en los puntos de entrada y salida de la red a medida que los archivos se descargan, abren o ejecutan de conformidad con la política de la organización. b. Bloquear y poner en cuarentena el código malicioso, tomar las medidas definidas por la organización y enviar alertas al personal o a los roles definidos por la organización en respuesta a la detección de código malicioso D. Aborda la recepción de falsos positivos durante la detección y erradicación de código malicioso, y el posible impacto resultante en la disponibilidad del sistema.

nist-r5-si-04

A. Supervisa el sistema para detectar lo siguiente: a. Ataques e indicadores de posibles ataques de acuerdo con los objetivos de supervisión definidos por la organización b. Conexiones locales, de red y remotas no autorizadas B. Identificar el uso no autorizado del sistema a través de técnicas y métodos definidos por la organización C. Invocar capacidades de supervisión interna o implementar dispositivos de supervisión: a. Estratégicamente dentro del sistema para recopilar información esencial determinada por la organización b. En ubicaciones ad hoc dentro del sistema para hacer un seguimiento de tipos específicos de transacciones que son de interés para la organización D. Analizar los eventos y las anomalías detectados E. Ajustar el nivel de actividad de supervisión del sistema cuando hay un cambio en el riesgo para las operaciones y los activos de la organización, las personas, otras organizaciones o la Nación F. Obtener una opinión legal sobre las actividades de supervisión del sistema G. Proporciona información de supervisión del sistema definida por la organización al personal o a los roles definidos por la organización según sea necesario o con la frecuencia definida por la organización.

nist-r5-si-04-02

Emplea herramientas y mecanismos automatizados para admitir el análisis de eventos casi en tiempo real.

nist-r5-si-04-04

Determina los criterios para las actividades o condiciones inusuales o no autorizadas para el tráfico de comunicaciones entrantes y salientes. Supervisar el tráfico de comunicaciones entrantes y salientes con una frecuencia definida por la organización para detectar actividades o condiciones inusuales o no autorizadas definidas por la organización

nist-r5-si-07

a. Emplea herramientas de verificación de integridad para detectar cambios no autorizados en el software, el firmware y la información definidos por la organización. b. Toma las medidas definidas por la organización cuando se detecten cambios no autorizados en el software, el firmware y la información.

nist-r5-si-07-01

Realiza una verificación de integridad del software, el firmware y la información definidos por la organización, en el inicio y en los estados de transición o eventos relacionados con la seguridad definidos por la organización, con una frecuencia definida por la organización.

nist-r5-si-07-02

Emplea herramientas automatizadas que envían notificaciones al personal o a los roles definidos por la organización cuando se descubren discrepancias durante la verificación de integridad.

nist-r5-si-12

Administrar y conservar la información dentro del sistema y la información que genera el sistema de conformidad con las leyes, las órdenes ejecutivas, las directivas, las reglamentaciones, las políticas, los estándares, los lineamientos y los requisitos operativos aplicables

NIST AI 600-1 Privacy Controls

Proveedor de servicios en la nube compatible: Google Cloud

Controles de privacidad basados en NIST AI 600-1 para la adopción de la IA generativa

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

nist-600-1-gv-6.1-001

Clasificar diferentes tipos de contenido de IA generativa (IAG) con derechos de terceros asociados Por ejemplo, derechos de autor de categorías, propiedades intelectuales y privacidad de los datos.

nist-600-1-mg-2.2-002

Documentamos las fuentes de datos de entrenamiento para rastrear el origen y la procedencia del contenido generado por IA.

nist-600-1-mg-2.2-007

Usa herramientas de auditoría en tiempo real en los casos en que se pueda demostrar que ayudan a hacer un seguimiento y validar el linaje y la autenticidad de los datos generados por IA.

nist-600-1-mg-2.2-009

Considera oportunidades para usar de forma responsable datos sintéticos y otras técnicas que mejoran la privacidad en el desarrollo de la GAI. Cuando sea apropiado y aplicable, haz coincidir las propiedades estadísticas de los datos del mundo real sin divulgar información de identificación personal ni contribuir a la homogeneización.

nist-600-1-mg-3.2-003

Fuentes de documentos y tipos de datos de entrenamiento, y sus orígenes; posibles sesgos presentes en los datos relacionados con la aplicación de la GAI y la procedencia de su contenido; arquitectura; proceso de entrenamiento del modelo previamente entrenado, incluida la información sobre los hiperparámetros, la duración del entrenamiento y los procesos de ajuste aplicados

nist-600-1-mp-2.1-002

Instituir pruebas y evaluaciones para los flujos de datos y contenido dentro del sistema de la IAG, incluidos, sin limitaciones, las fuentes de datos originales, las transformaciones de datos y los criterios de toma de decisiones

nist-600-1-mp-4.1-001

Supervisar periódicamente el contenido generado por IA para detectar riesgos de privacidad y abordar cualquier posible caso de exposición de PII o datos sensibles

nist-600-1-mp-4.1-004

Documenta las políticas de selección de datos de entrenamiento, en la medida de lo posible y de acuerdo con las leyes y políticas aplicables.

nist-600-1-mp-4.1-005

Establecer políticas para la recopilación, la retención y la calidad mínima de los datos, teniendo en cuenta los siguientes riesgos: divulgación de información inadecuada sobre CBRN, uso de contenido ilegal o peligroso, capacidades cibernéticas ofensivas, desequilibrios en los datos de entrenamiento que podrían generar sesgos dañinos, filtración de información de identificación personal, incluidas las imágenes faciales de las personas

nist-600-1-mp-4.1-009

Aprovecha los enfoques para detectar la presencia de PII o datos sensibles en el texto, las imágenes, los videos o el audio generados.

nist-600-1-mp-4.1-010

Realizar la diligencia debida adecuada sobre el uso de los datos de entrenamiento para evaluar los riesgos de propiedad intelectual y privacidad, lo que incluye examinar si el uso de datos de entrenamiento sensibles o de propiedad exclusiva es coherente con las leyes aplicables

nist-600-1-ms-1.1-002

Integra herramientas diseñadas para analizar la procedencia del contenido y detectar anomalías en los datos, verificar la autenticidad de las firmas digitales y detectar patrones asociados con la desinformación o la manipulación.

nist-600-1-ms-2.2-004

Utiliza técnicas como la anonimización, la privacidad diferencial o cualquier otra tecnología que mejore la privacidad para minimizar los riesgos asociados con la vinculación del contenido generado por IA con personas físicas individuales.

nist-600-1-ms-2.5-005

Verifica que los datos de entrenamiento y los datos de prueba, evaluación, verificación y validación (TEVV) del sistema de Inteligencia Artificial Generativa (IAG), así como la procedencia de los datos de ajuste o de generación mejorada por recuperación, estén fundamentados.

nist-600-1-ms-2.6-002

Evaluar la existencia o los niveles de sesgos perjudiciales, infracciones de propiedad intelectual, incumplimientos de la privacidad de los datos, obscenidad, extremismo, violencia o información sobre CBRN en los datos de entrenamiento del sistema

nist-600-1-ms-2.9-002

Detalles del modelo de GAI del documento, incluidos los siguientes: uso propuesto y valor organizacional; suposiciones y limitaciones; metodologías de recopilación de datos; procedencia de los datos; calidad de los datos; arquitectura del modelo (por ejemplo, red neuronal convolucional y transformadores); objetivos de optimización; algoritmos de entrenamiento; enfoques de RLHF; enfoques de generación aumentada por recuperación o ajuste; datos de evaluación; consideraciones éticas; requisitos legales y reglamentarios

NIST Cybersecurity Framework 1.1

Proveedor de servicios en la nube compatible: Google Cloud

Es un marco estratégico para ayudar a las organizaciones a administrar el riesgo de seguridad cibernética. Organiza las actividades en cinco funciones principales: identificar, proteger, detectar, responder y recuperar, lo que proporciona una vista de alto nivel de tu postura de seguridad.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

nist-csf-de-ae

Anomalías y eventos (DE.AE): Se detecta actividad anómala y se comprende el impacto potencial de los eventos.

nist-csf-de-ae-1

Se establece y administra una línea de base de las operaciones de red y los flujos de datos esperados para los usuarios y los sistemas.

nist-csf-de-ae-2

Los eventos detectados se analizan para comprender los objetivos y los métodos de los ataques.

nist-csf-de-ae-3

Los datos de eventos se recopilan y correlacionan de múltiples fuentes y sensores.

nist-csf-de-ae-4

Se determina el impacto de los eventos.

nist-csf-de-ae-5

Se establecen los umbrales de alertas de incidentes.

nist-csf-de-cm

Supervisión continua de la seguridad (DE.CM): Se supervisan el sistema de información y los activos para identificar eventos de ciberseguridad y verificar la eficacia de las medidas de protección.

nist-csf-de-cm-1

Se supervisa la red para detectar posibles eventos de seguridad cibernética.

nist-csf-de-cm-2

Se supervisa el entorno físico para detectar posibles eventos de seguridad cibernética.

nist-csf-de-cm-3

Se supervisa la actividad del personal para detectar posibles eventos de seguridad cibernética.

nist-csf-de-cm-4

Se detectó código malicioso.

nist-csf-de-cm-5

Se detectó un código móvil no autorizado.

nist-csf-de-cm-6

Se supervisa la actividad de los proveedores de servicios externos para detectar posibles eventos de seguridad cibernética.

nist-csf-de-cm-7

Se supervisa la presencia de personal, conexiones, dispositivos y software no autorizados.

nist-csf-de-cm-8

Se realizan análisis de vulnerabilidades.

nist-csf-de-dp-1

Los roles y las responsabilidades de la detección están bien definidos para garantizar la rendición de cuentas.

nist-csf-de-dp-4

Se comunica la información de detección de eventos.

nist-csf-id-am

Administración de activos: Se identifican y administran los datos, el personal, los dispositivos, los sistemas y las instalaciones que permiten a la organización alcanzar sus objetivos comerciales de manera coherente con su importancia relativa para los objetivos de la organización y la estrategia de riesgo de la organización.

nist-csf-id-am-1

Se realiza un inventario de los dispositivos y sistemas físicos de la organización.

nist-csf-id-am-4

Se catalogan los sistemas de información externos.

nist-csf-id-am-6

Se establecen los roles y las responsabilidades de ciberseguridad para toda la fuerza laboral y las partes interesadas externas (por ejemplo, proveedores, clientes y socios).

nist-csf-id-gv-1

Se establece y comunica la política de ciberseguridad de la organización.

nist-csf-id-gv-3

Se comprenden y administran los requisitos legales y reglamentarios relacionados con la seguridad cibernética, incluidas las obligaciones de privacidad y libertades civiles.

nist-csf-id-gv-4

Los procesos de administración de riesgos y gobernanza abordan los riesgos de ciberseguridad.

nist-csf-id-ra-1

Se identifican y documentan las vulnerabilidades de los activos.

nist-csf-id-ra-2

La inteligencia contra amenazas cibernéticas se recibe de foros y fuentes de intercambio de información.

nist-csf-id-ra-3

Se identifican y documentan las amenazas, tanto internas como externas.

nist-csf-id-sc-3

Los contratos con proveedores y socios externos se utilizan para implementar medidas adecuadas diseñadas para cumplir con los objetivos del programa de ciberseguridad y el Plan de administración de riesgos de la cadena de suministro cibernética de una organización.

nist-csf-pr-ac

Administración de identidades, autenticación y control de acceso (PR.AC): El acceso a los activos físicos y lógicos, y a las instalaciones asociadas, se limita a los usuarios, procesos y dispositivos autorizados, y se administra de manera coherente con el riesgo evaluado de acceso no autorizado a las actividades y transacciones autorizadas.

nist-csf-pr-ac-1

Las identidades y las credenciales se emiten, administran, verifican, revocan y auditan para los dispositivos, los usuarios y los procesos autorizados.

nist-csf-pr-ac-2

El acceso físico a los activos se administra y protege.

nist-csf-pr-ac-3

Se administra el acceso remoto.

nist-csf-pr-ac-4

Se administran los permisos y las autorizaciones de acceso, lo que incorpora los principios de privilegio mínimo y separación de obligaciones.

nist-csf-pr-ac-5

Se protege la integridad de la red (por ejemplo, segregación y segmentación de la red).

nist-csf-pr-ac-6

Las identidades se verifican y se vinculan a las credenciales, y se confirman en las interacciones.

nist-csf-pr-ac-7

Los usuarios, los dispositivos y otros activos se autentican (por ejemplo, con un solo factor o varios factores) en proporción al riesgo de la transacción (por ejemplo, riesgos de seguridad y privacidad de las personas, y otros riesgos organizacionales).

nist-csf-pr-ds-1

Los datos en reposo están protegidos.

nist-csf-pr-ds-2

Los datos en tránsito están protegidos.

nist-csf-pr-ds-3

Los activos se administran formalmente durante la eliminación, las transferencias y la disposición.

nist-csf-pr-ds-4

Capacidad adecuada para garantizar que se mantenga la disponibilidad

nist-csf-pr-ds-5

Se implementaron protecciones contra las filtraciones de datos.

nist-csf-pr-ip

Procesos y procedimientos de protección de la información (PR.IP): Se mantienen y utilizan políticas de seguridad (que abordan el propósito, el alcance, los roles, las responsabilidades, el compromiso de la administración y la coordinación entre las entidades de la organización), procesos y procedimientos para administrar la protección de los sistemas y activos de información.

nist-csf-pr-ip-1

Se crea y mantiene una configuración de referencia de los sistemas de tecnología de la información o de control industrial que incorpora principios de seguridad (p.ej., el concepto de mínima funcionalidad).

nist-csf-pr-ip-10

Se prueban los planes de respuesta y recuperación.

nist-csf-pr-ip-12

Se desarrolla y se implementa un plan de administración de vulnerabilidades.

nist-csf-pr-ip-2

Se implementa un ciclo de vida de desarrollo del sistema para administrar los sistemas.

nist-csf-pr-ip-3

Se implementaron procesos de control de cambios en la configuración.

nist-csf-pr-ip-4

Se realizan, mantienen y prueban copias de seguridad de la información.

nist-csf-pr-ip-6

Los datos se destruyen según la política.

nist-csf-pr-ip-9

Se administran y se implementan planes de respuesta (respuesta ante incidentes y continuidad empresarial) y planes de recuperación (recuperación ante incidentes y recuperación ante desastres).

nist-csf-pr-ma-1

El mantenimiento y la reparación de los activos de la organización se realizan y registran con herramientas aprobadas y controladas.

nist-csf-pr-pt

Tecnologías de protección (PR.PT): Se administran las soluciones de seguridad técnicas para garantizar la seguridad y la resiliencia de los sistemas y los activos, de conformidad con las políticas, los procedimientos y los acuerdos relacionados.

nist-csf-pr-pt-1

Los registros de auditoría y de registro se determinan, documentan, implementan y revisan de acuerdo con la política.

nist-csf-pr-pt-3

El principio de mínima funcionalidad se incorpora configurando los sistemas para que proporcionen solo las capacidades esenciales.

nist-csf-pr-pt-4

Las redes de comunicación y control están protegidas.

nist-csf-pr-pt-5

Se implementan mecanismos (por ejemplo, a prueba de fallas, balanceo de cargas, intercambio en caliente) para cumplir con los requisitos de resiliencia en situaciones normales y adversas.

nist-csf-rc-im

Mejoras (RC.IM): Los procesos y la planificación de la recuperación mejoran al incorporar las lecciones aprendidas en actividades futuras.

nist-csf-rc-rp-1

El plan de recuperación se ejecuta durante un incidente de seguridad cibernética o después de que este ocurre.

nist-csf-rs-an

Análisis (RS.AN): Se realiza un análisis para garantizar una respuesta eficaz y respaldar las actividades de recuperación.

nist-csf-rs-an-1

Se investigan las notificaciones de los sistemas de detección.

nist-csf-rs-an-5

Se establecen procesos para recibir, analizar y responder a las vulnerabilidades que se divulgan a la organización desde fuentes internas y externas (por ejemplo, pruebas internas, boletines de seguridad o investigadores de seguridad).

nist-csf-rs-co-1

El personal conoce sus roles y el orden de las operaciones cuando se necesita una respuesta.

nist-csf-rs-co-4

La coordinación con las partes interesadas se realiza de acuerdo con los planes de respuesta.

nist-csf-rs-im-2

Se actualizaron las estrategias de respuesta.

nist-csf-rs-mi-2

Se mitigan los incidentes.

nist-csf-rs-rp-1

El plan de respuesta se ejecuta durante o después de un incidente.

PCI DSS v4.0.1

Proveedor de servicios en la nube compatible: Google Cloud

Es un marco regulatorio que define las Normas de seguridad de datos (DSS) de la PCI obligatorias para las empresas que procesan, almacenan o transmiten datos de titulares de tarjetas. Las PCI DSS definen requisitos técnicos y operativos específicos para ayudar a proteger los datos de los titulares de tarjetas dondequiera que se procesen, almacenen o transmitan. Las PCI DSS proporcionan un conjunto de requisitos técnicos y operativos prescriptivos para ayudar a prevenir el fraude. El marco de trabajo se alinea con la versión 4.0.1 de PCI DSS.

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

pci-dss-v4-1-2-1

Se deben definir, implementar y mantener los estándares de configuración para los conjuntos de reglas del NSC.

pci-dss-v4-1-2-6

Se deben definir e implementar funciones de seguridad para todos los servicios, protocolos y puertos que se usen y se consideren inseguros, de modo que se mitigue el riesgo.

pci-dss-v4-1-3-1

El tráfico entrante al CDE debe restringirse solo al tráfico necesario, y todo el resto del tráfico debe rechazarse de forma específica.

pci-dss-v4-1-3-2

El tráfico saliente del CDE debe restringirse solo al tráfico necesario, y todo el resto del tráfico debe rechazarse de forma específica.

pci-dss-v4-1-4-1

Los NSC se implementan entre redes de confianza y no confiables.

pci-dss-v4-1-4-2

El tráfico entrante de redes no confiables a redes confiables debe restringirse a lo siguiente: comunicaciones con componentes del sistema que estén autorizados para proporcionar servicios, protocolos y puertos de acceso público; respuestas con estado a las comunicaciones iniciadas por componentes del sistema en una red confiable; y se debe rechazar todo otro tráfico.

pci-dss-v4-1-4-3

Se deben implementar medidas contra la falsificación de identidad para detectar y bloquear la entrada de direcciones IP de origen falsificadas en la red de confianza.

pci-dss-v4-1-4-4

No se debe poder acceder directamente a los componentes del sistema que almacenan datos de titulares de tarjetas desde redes no confiables.

pci-dss-v4-10-1-1

Todas las políticas de seguridad y los procedimientos operativos que se identifican en el requisito 10 están documentados, actualizados, en uso y son conocidos por todas las partes afectadas.

pci-dss-v4-10-2-1

Los registros de auditoría están habilitados y activos para todos los componentes del sistema y los datos del titular de la tarjeta.

pci-dss-v4-10-2-1-1

Los registros de auditoría capturan todo el acceso de los usuarios individuales a los datos de los titulares de tarjetas.

pci-dss-v4-10-2-1-2

Los registros de auditoría capturan todas las acciones que realiza cualquier persona con acceso de administrador, incluido cualquier uso interactivo de cuentas de aplicaciones o sistemas.

pci-dss-v4-10-2-1-4

Los registros de auditoría capturan todos los intentos de acceso lógico no válidos.

pci-dss-v4-10-3-3

Los archivos de registro de auditoría, incluidos los de las tecnologías externas, se copian de inmediato en servidores de registro internos, centrales y seguros, o en otros medios que son difíciles de modificar.

pci-dss-v4-10-4-1-1

Se usan mecanismos automatizados para realizar revisiones de los registros de auditoría.

pci-dss-v4-10-5-1

Conservar el historial de registros de auditoría durante al menos 12 meses, con al menos los tres meses más recientes disponibles de inmediato para el análisis

pci-dss-v4-11-5-1

Se usan técnicas de detección y prevención de intrusiones para detectar o prevenir intrusiones en la red de la siguiente manera: Se supervisa todo el tráfico en el perímetro del CDE y en los puntos críticos del CDE, se alerta al personal sobre posibles vulnerabilidades y se mantienen actualizados todos los motores de detección y prevención de intrusiones, las líneas de base y las firmas.

pci-dss-v4-12-10-5

El plan de respuesta ante incidentes de seguridad incluye la supervisión y la respuesta a las alertas de los sistemas de supervisión de seguridad, incluidos, sin limitaciones, los sistemas de detección y prevención de intrusiones, los controles de seguridad de la red, los mecanismos de detección de cambios en archivos críticos, el mecanismo de detección de cambios y manipulación en las páginas de pago, y la detección de puntos de acceso inalámbricos no autorizados.

pci-dss-v4-12-5-1

Se mantiene y actualiza un inventario de los componentes del sistema que están dentro del alcance de las PCI DSS, incluida una descripción de su función y uso.

pci-dss-v4-2-2-1

Se deben desarrollar, implementar y mantener estándares de configuración para garantizar que abarquen todos los componentes del sistema, aborden todas las vulnerabilidades de seguridad conocidas, sean coherentes con los estándares de endurecimiento del sistema aceptados en la industria o las recomendaciones de endurecimiento del proveedor, se actualicen a medida que se identifiquen nuevos problemas de vulnerabilidad, según se define en el requisito 6.3.1, y se apliquen cuando se configuren sistemas nuevos y se verifiquen como implementados antes o inmediatamente después de que un componente del sistema se conecte a un entorno de producción.

pci-dss-v4-2-2-3

Las funciones principales que requieren diferentes niveles de seguridad deben administrarse para garantizar lo siguiente: solo existe una función principal en un componente del sistema, o bien las funciones principales con diferentes niveles de seguridad que existen en el mismo componente del sistema están aisladas entre sí, o bien las funciones principales con diferentes niveles de seguridad en el mismo componente del sistema están protegidas al nivel requerido por la función con la mayor necesidad de seguridad.

pci-dss-v4-2-2-4

Solo se deben habilitar los servicios, protocolos, daemons y funciones necesarios, y se debe quitar o inhabilitar toda la funcionalidad innecesaria.

pci-dss-v4-2-2-5

Si hay servicios, protocolos o daemons no seguros, asegúrate de que la justificación comercial esté documentada y de que se documenten e implementen funciones de seguridad adicionales que reduzcan el riesgo de usar servicios, protocolos o daemons no seguros.

pci-dss-v4-2-2-6

Se deben configurar los parámetros de seguridad del sistema para evitar el uso inadecuado.

pci-dss-v4-2-2-7

Todo acceso administrativo que no sea a la consola debe encriptarse con criptografía sólida.

pci-dss-v4-3-2-1

El almacenamiento de datos de la cuenta debe mantenerse al mínimo a través de la implementación de políticas, procedimientos y procesos de retención y eliminación de datos que deben incluir, al menos, lo siguiente: cobertura para todas las ubicaciones de los datos de la cuenta almacenados; cobertura para cualquier dato de autenticación sensible (SAD) almacenado antes de completar la autorización; limitación de la cantidad de almacenamiento de datos y el tiempo de retención a lo que se requiere para los requisitos legales o reglamentarios y comerciales; requisitos de retención específicos para los datos de la cuenta almacenados que definan la duración del período de retención y que incluyan una justificación comercial documentada; procesos para borrar de forma segura o hacer que los datos de la cuenta sean irrecuperables cuando ya no se necesiten según la política de retención; y un proceso para verificar, al menos una vez cada tres meses, que los datos de la cuenta almacenados que superen el período de retención definido se hayan borrado de forma segura o se hayan hecho irrecuperables.

pci-dss-v4-3-3-2

Los SAD que se almacenan de forma electrónica antes de que se complete la autorización deben encriptarse con una criptografía sólida.

pci-dss-v4-3-3-3

Los emisores y las empresas que admiten servicios de emisión y almacenan datos de autenticación sensibles deben garantizar que el almacenamiento de datos de autenticación sensibles se limite a lo que se necesita para una necesidad comercial legítima de emisión, y que esté protegido y encriptado con criptografía sólida.

pci-dss-v4-3-5-1

El PAN se renderiza ilegible en cualquier lugar en el que se almacene con cualquiera de los siguientes enfoques: hashes unidireccionales basados en criptografía sólida de todo el PAN; truncamiento (no se puede usar el hash para reemplazar el segmento truncado del PAN); si en un entorno hay versiones con hash y truncadas del mismo PAN, o diferentes formatos de truncamiento del mismo PAN, se aplican controles adicionales para que las diferentes versiones no se puedan correlacionar para reconstruir el PAN original; tokens de índice; y criptografía sólida con procesos y procedimientos de administración de claves asociados.

pci-dss-v4-3-5-1-3

Si se usa la encriptación a nivel de disco o partición (en lugar de la encriptación de bases de datos a nivel de archivo, columna o campo) para que el PAN sea ilegible, asegúrate de lo siguiente: el acceso lógico se administra por separado y de forma independiente de los mecanismos nativos de autenticación y control de acceso del sistema operativo; las claves de desencriptación no están asociadas a cuentas de usuario; y los factores de autenticación (como contraseñas, frases de contraseña o claves criptográficas) que permiten el acceso a datos sin encriptar se almacenan de forma segura.

pci-dss-v4-3-6-1

Se deben definir e implementar procedimientos para proteger las claves criptográficas que se usan para proteger los datos de la cuenta almacenados contra la divulgación y el uso inadecuado, lo que incluye restringir el acceso a las claves a la menor cantidad posible de custodios necesarios.

pci-dss-v4-3-6-1-2

Las claves privadas y secretas que se usan para proteger los datos de la cuenta almacenados deben guardarse en una (o más) de las siguientes formas en todo momento: encriptadas con una clave de encriptación de claves que sea al menos tan segura como la clave de encriptación de datos y que se almacene por separado de la clave de encriptación de datos; dentro de un dispositivo criptográfico seguro (SCD) (por ejemplo, un módulo de seguridad de hardware [HSM] o un dispositivo de punto de interacción aprobado por PTS); y como al menos dos componentes de clave o partes de clave de longitud completa, de conformidad con un método aceptado por la industria.

pci-dss-v4-3-7-1

Se deben implementar políticas y procedimientos de administración de claves que incluyan la generación de claves criptográficas sólidas que se usen para proteger los datos de la cuenta almacenados.

pci-dss-v4-3-7-2

Se deben implementar políticas y procedimientos de administración de claves que incluyan la distribución segura de las claves criptográficas que se usan para proteger los datos de la cuenta almacenados.

pci-dss-v4-3-7-3

Se deben implementar políticas y procedimientos de administración de claves que incluyan el almacenamiento seguro de las claves criptográficas que se usan para proteger los datos de la cuenta almacenados.

pci-dss-v4-3-7-5

Se deben implementar políticas y procedimientos de administración de claves que incluyan la baja, el reemplazo o la destrucción de las claves que se usan para proteger los datos de la cuenta almacenados, según se considere necesario en los siguientes casos: la clave llegó al final de su período criptográfico definido, se debilitó la integridad de la clave (incluido cuando el personal con conocimiento de un componente de clave de texto sin formato deja la empresa o el rol para el que se conocía el componente de clave), se sospecha que la clave está comprometida o se sabe que lo está, y las claves retiradas o reemplazadas no se usan para operaciones de encriptación.

pci-dss-v4-4-2-1

Se deben implementar protocolos de seguridad y criptografía sólidos para proteger el PAN durante la transmisión en redes abiertas y públicas, y garantizar lo siguiente: solo se aceptan claves y certificados de confianza; se confirma que los certificados que se usan para proteger el PAN durante la transmisión en redes abiertas y públicas son válidos y no están vencidos ni revocados; el protocolo en uso solo admite versiones o configuraciones seguras y no admite el uso de versiones, algoritmos, tamaños de clave o implementaciones no seguros, ni la reversión a ellos; y la potencia de encriptación es adecuada para la metodología de encriptación en uso.

pci-dss-v4-5-2-1

Se deben implementar soluciones contra software malicioso en todos los componentes del sistema, excepto en aquellos que se identifican en las evaluaciones periódicas según el requisito 5.2.3, en las que se concluye que los componentes del sistema no están en riesgo de software malicioso.

pci-dss-v4-5-2-2

Las soluciones contra software malicioso implementadas deben detectar todos los tipos conocidos de software malicioso y quitar, bloquear o contener todos los tipos conocidos de software malicioso.

pci-dss-v4-6-2-3

El software personalizado debe revisarse antes de lanzarse a producción o a los clientes para identificar y corregir posibles vulnerabilidades de codificación, de la siguiente manera: Las revisiones de código garantizan que el código se desarrolle de acuerdo con las pautas de codificación segura; las revisiones de código buscan vulnerabilidades de software existentes y emergentes; y se implementan las correcciones adecuadas antes del lanzamiento.

pci-dss-v4-6-3-1

Se deben identificar y administrar las vulnerabilidades de seguridad para garantizar lo siguiente: Se identifican nuevas vulnerabilidades de seguridad con fuentes reconocidas de la industria para obtener información sobre vulnerabilidades de seguridad, incluidas las alertas de los equipos de respuesta ante emergencias informáticas (CERT) nacionales e internacionales; se asigna una clasificación de riesgo a las vulnerabilidades según las prácticas recomendadas de la industria y la consideración del impacto potencial; las clasificaciones de riesgo identifican, como mínimo, todas las vulnerabilidades que se consideran de alto riesgo o críticas para el entorno; y se cubren las vulnerabilidades del software personalizado y de terceros (por ejemplo, sistemas operativos y bases de datos).

pci-dss-v4-6-3-3

Todos los componentes del sistema deben protegerse de las vulnerabilidades conocidas instalando los parches o las actualizaciones de seguridad aplicables para garantizar lo siguiente: Los parches o las actualizaciones para las vulnerabilidades críticas (identificadas según el proceso de clasificación de riesgos del requisito 6.3.1) se instalan en el plazo de un mes a partir de su lanzamiento, y todos los demás parches o actualizaciones de seguridad aplicables se instalan dentro de un plazo adecuado según la evaluación de la entidad sobre la criticidad del riesgo para el entorno, tal como se identifica según el proceso de clasificación de riesgos del requisito 6.3.1.

pci-dss-v4-6-4-1

En el caso de las aplicaciones web públicas, las nuevas amenazas y vulnerabilidades se deben abordar de forma continua, y estas aplicaciones se deben proteger contra ataques conocidos con uno de los siguientes dos métodos: Revisar las aplicaciones web públicas con herramientas o métodos de evaluación de seguridad de vulnerabilidades de aplicaciones manuales o automatizados de la siguiente manera: al menos una vez cada 12 meses y después de cambios significativos; por una entidad que se especialice en seguridad de aplicaciones; incluyendo, como mínimo, todos los ataques de software comunes en el requisito 6.2.4; todas las vulnerabilidades se clasifican de acuerdo con el requisito 6.3.1; todas las vulnerabilidades se corrigen; y la aplicación se vuelve a evaluar después de las correcciones. O bien instalar una o varias soluciones técnicas automatizadas que detecten y prevengan continuamente los ataques basados en la Web de la siguiente manera: instaladas delante de las aplicaciones web orientadas al público para detectar y prevenir ataques basados en la Web; en ejecución activa y actualizadas según corresponda; que generen registros de auditoría; y configuradas para bloquear ataques basados en la Web o generar una alerta que se investigue de inmediato.

pci-dss-v4-6-4-2

En el caso de las aplicaciones web públicas, se debe implementar una solución técnica automatizada que detecte y evite continuamente los ataques basados en la Web, con estas verificaciones mínimas: estar instalada delante de las aplicaciones web públicas y estar configurada para detectar y evitar ataques basados en la Web; ejecutarse de forma activa y estar actualizada según corresponda; generar registros de auditoría; y estar configurada para bloquear ataques basados en la Web o generar una alerta que se investigue de inmediato.

pci-dss-v4-7-2-1

Se debe definir un modelo de control de acceso que incluya el otorgamiento de acceso de la siguiente manera: acceso adecuado según las necesidades comerciales y de acceso de la entidad; acceso a los componentes del sistema y a los recursos de datos que se basa en la clasificación y las funciones laborales de los usuarios; y los privilegios mínimos requeridos (por ejemplo, usuario, administrador) para realizar una función laboral.

pci-dss-v4-7-2-2

El acceso se debe asignar a los usuarios (incluidos los usuarios privilegiados) según la clasificación y la función del trabajo, y los privilegios mínimos necesarios para cumplir con las responsabilidades laborales.

pci-dss-v4-7-2-5

Todas las cuentas de aplicaciones y sistemas, y los privilegios de acceso relacionados, deben asignarse y administrarse según los privilegios mínimos necesarios para la operatividad del sistema o la aplicación, y garantizar que el acceso se limite a los sistemas, las aplicaciones o los procesos que específicamente requieran su uso.

pci-dss-v4-7-3-1

Debe haber un sistema o sistemas de control de acceso que restrinjan el acceso según la necesidad de conocer del usuario y que abarquen todos los componentes del sistema.

pci-dss-v4-7-3-2

Los sistemas de control de acceso deben configurarse para aplicar los permisos asignados a personas, aplicaciones y sistemas según la clasificación y la función del trabajo.

pci-dss-v4-7-3-3

Los sistemas de control de acceso deben configurarse para denegar todo de forma predeterminada.

pci-dss-v4-8-2-1

Se debe asignar un ID único a todos los usuarios antes de permitir el acceso a los componentes del sistema o a los datos del titular de la tarjeta.

pci-dss-v4-8-2-3

Los proveedores de servicios con acceso remoto a las instalaciones del cliente deben usar factores de autenticación únicos para cada instalación del cliente.

pci-dss-v4-8-2-5

El acceso de los usuarios rescindidos se debe revocar de inmediato.

pci-dss-v4-8-2-8

Si una sesión de usuario estuvo inactiva durante más de 15 minutos, el usuario debe volver a autenticarse para reactivar la terminal o la sesión.

pci-dss-v4-8-3-1

Se debe autenticar todo el acceso de los usuarios y administradores a los componentes del sistema con al menos uno de los siguientes factores de autenticación: algo que sabes (por ejemplo, una contraseña o frase de contraseña), algo que tienes (por ejemplo, un dispositivo de token o una tarjeta inteligente) y algo que eres (por ejemplo, un elemento biométrico).

pci-dss-v4-8-3-2

Se debe usar una criptografía sólida para que todos los factores de autenticación sean ilegibles durante la transmisión y el almacenamiento en todos los componentes del sistema.

pci-dss-v4-8-3-9

Si las contraseñas o frases de contraseña se usan como el único factor de autenticación para el acceso del usuario (en cualquier implementación de autenticación de un solo factor), se deben cambiar al menos una vez cada 90 días, o bien se debe analizar de forma dinámica la postura de seguridad de las cuentas y determinar automáticamente el acceso en tiempo real a los recursos según corresponda.

pci-dss-v4-8-6-2

Las contraseñas o frases de contraseña para cualquier cuenta de aplicación y sistema que se pueda usar para el acceso interactivo no deben estar codificadas en secuencias de comandos, archivos de configuración o de propiedades, ni en código fuente personalizado y a medida.

pci-dss-v4-8-6-3

Las contraseñas o frases de contraseña para cualquier cuenta de aplicación y sistema deben protegerse contra el uso indebido. Para ello, se debe garantizar lo siguiente: las contraseñas o frases de contraseña se cambian periódicamente (con la frecuencia definida en el análisis de riesgo objetivo de la entidad, que se realiza según todos los elementos especificados en el requisito 12.3.1) y ante la sospecha o confirmación de vulneración; y las contraseñas o frases de contraseña se construyen con la complejidad suficiente adecuada para la frecuencia con la que la entidad cambia las contraseñas o frases de contraseña.

Security Essentials

Proveedor de servicios en la nube compatible: Google Cloud

Google Cloud Security Essentials proporciona una base de seguridad y cumplimiento para los clientes de Google Cloud.El marco se basa en la amplia inteligencia sobre amenazas y las prácticas recomendadas de Google,lo que te brinda visibilidad de tu posición de seguridad y te ayuda a cumplir con los requisitos de cumplimiento comunes desde el principio.

Este framework incluye los siguientes controles de la nube:

SOC2 2017

Proveedor de servicios en la nube compatible: Google Cloud

Es un marco regulatorio que un auditor independiente puede usar para evaluar los controles de tu organización que son relevantes para los criterios de servicios de confianza del AICPA, como la seguridad y la disponibilidad, y generar informes sobre ellos. El informe de auditoría resultante te proporciona una evaluación de los sistemas de tu organización y los datos que manejan.El marco de trabajo se alinea con SOC 2 2017 (con puntos de enfoque revisados, 2022).

Este marco de trabajo incluye los grupos de control y los controles de la nube en las siguientes secciones.

soc2-2017-a-1-2-11

La administración identifica las amenazas a la capacidad de recuperación de datos (como los ataques de ransomware) que podrían afectar la disponibilidad del sistema y los datos relacionados, y aplica procedimientos de mitigación.

soc2-2017-a-1-2-8

Existen procedimientos para crear copias de seguridad de los datos, supervisar para detectar fallas en las copias de seguridad y tomar medidas correctivas cuando se producen dichas fallas.

soc2-2017-c-1-1-2

La información confidencial se retiene durante el tiempo necesario para cumplir con el propósito identificado, a menos que una ley o reglamentación exijan específicamente lo contrario.

soc2-2017-c-1-1-3

Existen políticas y procedimientos para proteger la información confidencial contra el borrado o la destrucción durante el período de retención especificado de la información.

soc2-2017-c-1-2-2

Existen políticas y procedimientos para borrar o destruir de alguna otra manera, de forma automática o manual, la información confidencial que se identificó para su destrucción.

soc2-2017-cc-1-3-3

La administración y el consejo de administración delegan autoridad, definen responsabilidades y usan los procesos y la tecnología adecuados para asignar responsabilidades y separar las tareas según sea necesario en los distintos niveles de la organización.

soc2-2017-cc-2-1-2

Los sistemas de información capturan fuentes de datos internas y externas.

soc2-2017-cc-2-1-6

La entidad identifica, documenta y mantiene registros de los componentes del sistema, como la infraestructura, el software y otros activos de información. Los activos de información incluyen dispositivos y sistemas de terminales físicos, sistemas virtuales, datos y flujos de datos, sistemas de información externos y roles organizacionales.

soc2-2017-cc-2-2-1

Existe un proceso para comunicar la información requerida que permite que todo el personal comprenda y lleve a cabo sus responsabilidades de control interno.

soc2-2017-cc-3-2-5

La evaluación de riesgos incluye considerar cómo se debe administrar el riesgo y si se debe aceptar, evitar, reducir o compartir.

soc2-2017-cc-3-2-7

La entidad identifica las vulnerabilidades de los componentes del sistema, incluidos los procesos del sistema, la infraestructura, el software,

soc2-2017-cc-4-1-1

La administración incluye un equilibrio entre las evaluaciones continuas y las separadas.

soc2-2017-cc-4-1-5

Las evaluaciones continuas se incorporan a los procesos comerciales y se ajustan a las condiciones cambiantes.

soc2-2017-cc-4-1-8

La administración utiliza una variedad de evaluaciones de riesgos y controles continuas y separadas para determinar si los controles internos están presentes y funcionan. Según los objetivos de la entidad, estas evaluaciones de riesgos y controles pueden incluir pruebas de supervisión y control de primera y segunda línea, evaluaciones de auditoría interna, evaluaciones de cumplimiento, evaluaciones de resiliencia, análisis de vulnerabilidades, evaluaciones de seguridad, pruebas de penetración y evaluaciones de terceros.

soc2-2017-cc-4-2-2

Las deficiencias se comunican a las partes responsables de tomar medidas correctivas y a la alta dirección y al consejo de administración, según corresponda.

soc2-2017-cc-5-2-2

La administración selecciona y desarrolla actividades de control sobre la infraestructura tecnológica, que se diseñan y se implementan para ayudar a garantizar la integridad, la precisión y la disponibilidad del procesamiento tecnológico.

soc2-2017-cc-5-2-3

La administración selecciona y desarrolla actividades de control diseñadas e implementadas para restringir los derechos de acceso a la tecnología a los usuarios autorizados en proporción a sus responsabilidades laborales y para proteger los activos de la entidad de amenazas externas.

soc2-2017-cc-5-3-1

La administración establece actividades de control integradas en los procesos comerciales y las actividades diarias de los empleados a través de políticas que establecen lo que se espera y procedimientos pertinentes que especifican las acciones.

soc2-2017-cc-6-1-10

La entidad usa la encriptación para proteger los datos en reposo, durante el procesamiento o en la transmisión, cuando se consideran adecuadas dichas protecciones según la estrategia de mitigación de riesgos de la entidad.

soc2-2017-cc-6-1-11

La entidad protege las claves criptográficas durante la generación, el almacenamiento, el uso y la destrucción. Los módulos, algoritmos, longitudes de clave y arquitecturas criptográficos son adecuados según la estrategia de mitigación de riesgos de la entidad.

soc2-2017-cc-6-1-12

El acceso lógico a la información confidencial y su uso se restringen a los fines identificados.

soc2-2017-cc-6-1-3

La entidad restringe el acceso lógico a los activos de información, lo que incluye la infraestructura (por ejemplo, servidores, almacenamiento, elementos de red, APIs y dispositivos de extremos), el software y los datos en reposo, durante el procesamiento o en transmisión, a través del uso de software de control de acceso, conjuntos de reglas y procesos de refuerzo de la configuración estándar.

soc2-2017-cc-6-1-4

La entidad identifica y autentica a las personas, la infraestructura y el software antes de acceder a los activos de información, ya sea de forma local o remota. La entidad utiliza técnicas de autenticación de usuarios más complejas o avanzadas, como la autenticación de varios factores, cuando se consideran adecuadas dichas protecciones según su estrategia de mitigación de riesgos.

soc2-2017-cc-6-1-5

La entidad usa segmentación de red, arquitecturas de confianza cero y otras técnicas para aislar las partes no relacionadas de la tecnología de la información de la entidad entre sí según la estrategia de mitigación de riesgos de la entidad.

soc2-2017-cc-6-1-7

Se usan combinaciones de clasificación de datos, estructuras de datos separadas, restricciones de puertos, restricciones de protocolos de acceso, identificación de usuarios y certificados digitales para establecer reglas de control de acceso y estándares de configuración para los activos de información.

soc2-2017-cc-6-1-9

La nueva infraestructura y el software internos y externos se registran, autorizan y documentan antes de que se otorguen las credenciales de acceso y se implementen en la red o el punto de acceso. Las credenciales se quitan y el acceso se inhabilita cuando ya no se requiere el acceso o cuando ya no se usan la infraestructura y el software.

soc2-2017-cc-6-2-3

Existen procesos para inhabilitar, destruir o impedir el uso de credenciales de acceso cuando ya no son válidas.

soc2-2017-cc-6-3-2

Existen procesos para quitar el acceso a los recursos de información protegida cuando ya no se requiere.

soc2-2017-cc-6-3-3

La entidad usa estructuras de control de acceso, como controles de acceso basados en roles, para restringir el acceso a los activos de información protegidos, limitar los privilegios y respaldar la segregación de funciones incompatibles.

soc2-2017-cc-6-5-1

Existen procedimientos para quitar, borrar o, de otro modo, hacer que los datos y el software sean inaccesibles desde los activos físicos y otros dispositivos que son propiedad de la entidad, sus proveedores y empleados cuando ya no se requieren los datos y el software en el activo o cuando el activo ya no estará bajo el control de la entidad.

soc2-2017-cc-6-6

La entidad implementa medidas de seguridad de acceso lógico para protegerse de las amenazas provenientes de fuentes externas a los límites de su sistema.

soc2-2017-cc-6-6-1

Se restringen los tipos de actividades que pueden ocurrir a través de un canal de comunicación, por ejemplo, un sitio FTP o un puerto de router.

soc2-2017-cc-6-6-4

Los sistemas de protección de límites, por ejemplo, firewalls, zonas desmilitarizadas, sistemas de detección o prevención de intrusiones y sistemas de detección y respuesta de extremos, se configuran, implementan y mantienen para proteger los puntos de acceso externos.

soc2-2017-cc-6-7-1

Se utilizan procesos y tecnologías de prevención de pérdida de datos para restringir la capacidad de autorizar y ejecutar la transmisión, el movimiento y la eliminación de información.

soc2-2017-cc-6-7-2

Se usan tecnologías de encriptación o canales de comunicación seguros para proteger la transmisión de datos y otras comunicaciones más allá de los puntos de acceso a la conectividad.

soc2-2017-cc-6-8-1

La capacidad de instalar y modificar aplicaciones y software está restringida a personas autorizadas. El software de utilidad capaz de eludir los procedimientos operativos o de seguridad normales se limita al uso por parte de personas autorizadas y se supervisa periódicamente.

soc2-2017-cc-6-8-2

Existen procesos para detectar cambios en el software y los parámetros de configuración que pueden ser indicativos de software no autorizado o malicioso.

soc2-2017-cc-7-1-1

La entidad tiene estándares de configuración definidos que se usarán para proteger los sistemas.

soc2-2017-cc-7-1-3

El sistema de TI incluye un mecanismo de detección de cambios, por ejemplo, herramientas de supervisión de la integridad de los archivos, para alertar al personal sobre las modificaciones no autorizadas de archivos críticos del sistema, archivos de configuración o archivos de contenido.

soc2-2017-cc-7-1-5

La entidad realiza análisis de vulnerabilidades de infraestructura y software diseñados para identificar posibles vulnerabilidades o parámetros de configuración incorrectos de forma periódica y después de que se realizan cambios significativos en el entorno. Se toman medidas para corregir las deficiencias identificadas de manera oportuna para respaldar el logro de los objetivos de la entidad.

soc2-2017-cc-7-2-1

Se definen y se implementan políticas, procedimientos y herramientas de detección en la infraestructura y el software para identificar posibles intrusiones, accesos inadecuados y anomalías en el funcionamiento o actividad inusual en los sistemas. Los procedimientos pueden incluir un proceso de administración definido para la detección y administración de eventos de seguridad, el uso de fuentes de inteligencia para identificar amenazas y vulnerabilidades recién descubiertas, y el registro de actividades inusuales del sistema.

soc2-2017-cc-7-2-2

Las medidas de detección están diseñadas para identificar anomalías que podrían ser el resultado de la vulneración real o el intento de vulneración de barreras físicas, las acciones no autorizadas del personal autorizado, el uso de credenciales de identificación y autenticación vulneradas, el acceso no autorizado desde fuera de los límites del sistema, la vulneración de terceros externos autorizados y la implementación o conexión de hardware y software no autorizados.

soc2-2017-cc-7-3-2

Los eventos de seguridad detectados se comunican a las personas responsables de la administración del programa de seguridad y se someten a su revisión, y se toman medidas si es necesario.

soc2-2017-cc-8-1-1

Se utiliza un proceso para administrar los cambios del sistema durante todo el ciclo de vida del sistema y sus componentes (infraestructura, datos, software y procedimientos manuales y automatizados) para respaldar el logro de los objetivos de la entidad.

soc2-2017-cc-8-1-14

Existe un proceso para identificar, evaluar, probar, aprobar e implementar parches de manera oportuna en la infraestructura y el software.

soc2-2017-cc-8-1-5

Existe un proceso para hacer un seguimiento de los cambios del sistema antes de la implementación.

soc2-2017-p-4-2-1

La información personal se retiene solo durante el tiempo necesario para cumplir con los fines establecidos, a menos que una ley o reglamentación exijan específicamente lo contrario.

soc2-2017-p-4-2-2

Se implementaron políticas y procedimientos para proteger la información personal contra el borrado o la destrucción durante el período de retención especificado de la información.

soc2-2017-pi-1-2-3

Los registros de las actividades de entrada del sistema se crean y mantienen de forma completa y precisa de manera oportuna.

soc2-2017-pi-1-3-4

Las actividades de procesamiento del sistema se registran de forma completa y precisa de manera oportuna.

soc2-2017-pi-1-5

La entidad implementa políticas y procedimientos para almacenar las entradas, los elementos en procesamiento y los resultados de forma completa, precisa y oportuna de acuerdo con las especificaciones del sistema para cumplir con los objetivos de la entidad.

soc2-2017-pi-1-5-1

Los elementos almacenados están protegidos para evitar robos, corrupción, destrucción o deterioro que impidan que el resultado cumpla con las especificaciones.

soc2-2017-pi-1-5-2

Los registros del sistema se archivan y los archivos se protegen contra robos, corrupción, destrucción o deterioro que impidan su uso.

¿Qué sigue?