La nube ofrece grandes ventajas para las empresas que usan servicios en línea, como Microsoft Azure, pero también implica desafíos en materia de ciberseguridad. De allí que, los CIS Controls v8 y Azure Security Benchmark son piezas clave para la protección de datos confidenciales y la configuración segura de las cargas de trabajo en la nube.
En la era digital, millones de datos circulan cada día en la red y son el blanco de criminales digitales. Datos sobre la Ciberseguridad en México reflejan que, solo en 2021, se registraron 728 millones de intentos de ataques cibernéticos en América Latina.
Para fortalecer la seguridad de la información de su empresa, le recomendamos integrar el control CIS v8 y Azure Security Benchmark con la norma ISO 27001. Pero ¿en qué consisten?, ¿cómo se utilizan?, ¿cuál es el impacto que tienen en el desarrollo tecnológico de las organizaciones?
El CIS v8 es una colección de controles de seguridad cuyo objetivo es mitigar los ataques cibernéticos generalizados y severos contra los sistemas y redes. Se basa en los siguientes principios:
Priorización: los controles se escogen según su importancia para reducir el riesgo.
Prevención: se anticipa a los ataques en lugar de solo detectarlos o responder a ellos.
Defensa en profundidad: sus controles se implementan en capas para proporcionar múltiples niveles de defensa.
Flexibilidad: se adaptan a las necesidades específicas de cada empresa.
Entre sus características más importantes tenemos:
Actualización para sistemas modernos: la versión 8 de CIS Controls se adapta a los sistemas y software más modernos, como Microsoft Azure, Windows, Linux, y máquinas virtuales. Considera aspectos como la computación en la nube, la virtualización, la movilidad, el trabajo remoto, y la evolución de las vulnerabilidades de los entornos digitales.
Enfoque en la seguridad a escala: proporciona acciones priorizadas para proteger a las organizaciones y sus datos de ataques cibernéticos conocidos.
153 salvaguardias: El CIS v8 consta de 18 controles y 153 salvaguardias que abordan una variedad de áreas de seguridad, como la configuración de activos y softwares empresariales, gestión de cuentas, control de acceso basado en roles (RBAC), y seguridad del sistema operativo.
Mejora de la protección de datos: incluye actualizaciones de salvaguardia para atender la seguridad de los datos y reducir los riesgos de fuga de información.
Proporciona rentabilidad: se basa en prácticas recomendadas, establecidas y rentables para ayudar a mejorar la seguridad cibernética sin invertir una cantidad excesiva de dinero.
Facilidad de uso: está escritos en un lenguaje sencillo y entendible. Esto facilita la implementación y administración de los controles.
Para garantizar una postura sólida de Ciberseguridad, es fundamental entender las diferencias y similitudes entre CIS v8 y los estándares establecidos por Azure Security Benchmark. A continuación, presentamos un análisis:
CIS Controls v8
Los controles y salvaguardias están diseñados para proteger sistemas y redes contra amenazas cibernéticas conocidas.
Se aplican a una variedad de arquitecturas, como entornos en la nube, locales (on-premise) o híbridos. Proporcionan orientación específica para mitigar riesgos.
Proporcionan orientación específica para mitigar riesgos.
Es específico para Microsoft Azure y ofrece recomendaciones de seguridad para mitigar amenazas prioritarias.
La versión más reciente es la ASB v3, que incluye mapeos a los CIS Controls v81.
Aunque está centrado en Azure, es compatible para entornos en la nube, locales o híbridos.
Semejanzas entre CIS Controls v8 y Azure Security Benchmark
Se basan en mejores prácticas y proporcionan orientación específica para fortalecer la seguridad.
Toman en consideración la relevancia de los controles en diferentes arquitecturas.
Ambos se actualizan de forma regular para responder a las amenazas emergentes.
Azure Security Benchmark se centra en Microsoft Azure, mientras que los CIS Controls son más amplios y aplicables a cualquier entorno, incluidos AWS y Google Cloud.
Los CIS Controls tienen mayor número de controles y salvaguardias.
Azure Security Benchmark se alinea de forma específica a las características y servicios de Azure, como Azure Resource Manager, Azure Policy, Microsoft Defender for Cloud, y Azure Monitor.
La implementación de los controles CIS v8 en un entorno basado en Azure es bastante amplia, Estos son algunos ejemplos prácticos:
Inventario y control de activos: puede utilizar Azure Resource Manager para crear y administrar recursos de Azure, obtener una vista completa de la seguridad, recopilar y analizar registros de seguridad, entre otras funciones.
Gestión continua de vulnerabilidades: a través de Azure Security Center, tiene la opción de escanear y evaluar las vulnerabilidades en los equipos y servicios. Además, realiza actualizaciones automáticas y parches para mitigar las vulnerabilidades.
Credenciales seguras: con Azure Active Directory es más sencillo administrar la identidad y el acceso y habilitar la autenticación multifactor para todos los usuarios.
Control de acceso basado en roles: usar Azure RBAC es una buena práctica para controlar quién tiene acceso a qué recursos, implementar el principio de privilegios mínimos y realizar auditorías de acceso.
Seguridad de la red y las comunicaciones: con Azure Firewall tendrá el control del tráfico de red, es factible implementar redes y subredes para segregar el tráfico. Además, admite conexiones seguras a la red local.
Respuesta a incidentes: Implemente Azure Sentinel como SIEM (Gestión de Eventos e Información de Seguridad) para desarrollar un plan de respuesta a incidentes de seguridad y realizar simulaciones y pruebas de penetración.
Estos son solo algunos ejemplos de cómo implementar Center for Internet Security V8 en Azure, pero ha de considerar que el uso específico varía de acuerdo a las necesidades de la empresa.
Al implementar CIS V8 en un entorno Azure Security Benchmark se topará con una serie de ventajas y desafíos que debe conocer. A continuación, explicamos los más importantes:
Es un plus para la seguridad porque su función principal es proteger a la red empresarial de una amplia gama de amenazas.
Reduce el riesgo de ataques, ya que cada control ha sido probado para garantizar su efectividad.
Los controles de seguridad CIS V8 se alinean con diversas regulaciones de cumplimiento, como PCI-DSS y NIST.
La implementación puede ser compleja, especialmente para grandes empresas que manejan múltiples cargas de trabajo en la nube. Es crucial planificar cuidadosamente cada paso del ciclo de vida del proyecto.
Puede requerir una inversión significativa en tiempo, recursos y dinero. Para afrontar este desafío, se puede optar por implementar solo los controles que sean necesarios para su empresa.
Los controles deben actualizarse con regularidad para ser efectivos contra nuevas amenazas y vulnerabilidades. La recomendación es utilizar las herramientas que ayudan a automatizar las funciones de Estándar CIS versión 8.
La adopción del control CIS v8 en Azure Security Benchmark es un paso importante para la protección de las infraestructuras en la nube.
Si bien existen desafíos que afrontar, como la complejidad de la implementación o la necesidad de recursos, estos pueden superarse con una planificación adecuada, donde la cultura de Ciberseguridad sea una premisa.
En ne Digital le ofrecemos servicios a la medida de sus necesidades de Ciberseguridad y le ayudamos a afrontar los desafíos que trae consigo la era digital.
Para ampliar el tema, lo invitamos a nuestro post Cómo utilizar Azure Site Recovery con VMware para garantizar la disponibilidad de sus servicios.