Kudo

CIF-3 - Ciberseguridad en la Red y Sistemas

Control de seguridad de redes y sistemas cloud

Definición de Control

Es necesario segmentar las redes aplicando el principio de mínimo acceso, proteger los recursos expuestos a internet frente a ataques externos, y aplicar hardening a los sistemas siguiendo referencias de la industria, manteniendo documentada y actualizada su configuración y topología. Es necesario restringir y supervisar estrictamente los accesos administrativos y privilegiados a los entornos productivos, habilitándolos de forma temporal y centralizando su registro para detectar actividad anómala. Es necesario proteger físicamente las instalaciones donde se procesa o almacena información mediante perímetros y controles de acceso, salvaguardar los equipos frente a amenazas físicas y ambientales, cortes de suministro y daños en el cableado, garantizar su mantenimiento adecuado, y aplicar prácticas de escritorio despejado y pantalla limpia dentro y fuera de las instalaciones.

Requisitos

Requisito 1

Implementamos segmentación de red en entornos cloud con subnets diferenciadas por función: DMZ, aplicación, datos y gestión.

Requisito 2

Aplicamos el principio default-deny en todos los controles de tráfico: security groups, NACLs y network policies.

Requisito 3

Ubicamos los recursos críticos en subnets privadas sin acceso directo a internet.

Requisito 4

Definimos y usamos perímetros de seguridad física para proteger las áreas donde se encuentre información y activos relacionados.

Requisito 5

Diseñamos y aplicamos medidas de seguridad física para oficinas, despachos y otros espacios de trabajo.

Requisito 6

Diseñamos y aplicamos procedimientos para trabajar de forma segura dentro de las áreas protegidas.

Requisito 7

Ubicamos los equipos en lugares seguros y protegidos para reducir riesgos físicos.

Requisito 8

Protegemos los activos de la organización cuando se encuentren fuera de sus instalaciones.

Requisito 9

Nos aseguramos de que los equipos reciban el mantenimiento adecuado para garantizar la disponibilidad, integridad y confidencialidad de la información.

Requisito 10

Definimos y documentamos las configuraciones de seguridad del hardware, software, servicios y redes de la organización.

Requisito 11

Limitamos y supervisamos de forma rigurosa el uso de programas o herramientas que puedan saltarse o anular los controles de seguridad del sistema.

Requisito 12

Aplicamos procedimientos y medidas para gestionar de forma segura la instalación de software en los sistemas que están en producción.

Requisito 13

Identificamos los mecanismos de seguridad, los niveles de servicio y los requisitos de todos los servicios de red disponibles.

Requisito 14

Restringimos los accesos a los entornos productivos aplicando el principio de mínimo privilegio y la política de máxima restricción posible.

Requisito 15

Diagramamos los componentes y la topología de red de la infraestructura y mantenemos los diagramas actualizados ante cualquier cambio.

Requisito 16

Implementamos WAF para la protección de todas las aplicaciones web expuestas a internet.

Requisito 17

Implementamos protección DDoS en todos los recursos expuestos a internet.

Requisito 18

Aplicamos hardening de sistemas y VMs basado en las referencias de industria mediante gestión de configuración centralizada.

Requisito 19

Restringimos el acceso administrativo remoto exclusivamente a través de bastion hosts o servicios equivalentes con MFA obligatorio.

Requisito 20

Aplicamos network policies en entornos Kubernetes para controlar el tráfico entre pods y servicios.

Requisito 21

Habilitamos y centralizamos los flow logs de VPC/VNet en el SIEM para la detección de tráfico anómalo.

Requisito 22

Protegemos las áreas seguras con controles de entrada y puntos de acceso adecuados que impidan el acceso no autorizado.

Requisito 23

Diseñamos e implementamos protecciones para las infraestructuras frente a amenazas físicas y ambientales como desastres naturales u otros eventos inesperados.

Requisito 24

Protegemos las instalaciones de procesamiento de información contra cortes de energía y otras interrupciones causadas por fallos en los suministros básicos.

Requisito 25

Protegemos el cableado eléctrico y de telecomunicaciones que transmite datos frente a interceptaciones, interferencias o daños.

Requisito 26

Sincronizamos los relojes de todos los sistemas de procesamiento de información de la organización con fuentes de tiempo confiables y aprobadas.

Requisito 27

Configuramos cualquier cambio a nivel de nube mediante Privileged Identity Management (PIM), habilitando permisos privilegiados de forma temporal y bajo demanda (Just in Time).

Requisito 28

Revisamos trimestralmente las reglas de security groups y eliminamos los accesos no necesarios.

Requisito 29

Grabamos todas las sesiones de acceso administrativo y las mantenemos disponibles para auditoría.

Requisito 30

Monitorizamos de forma continua las instalaciones para detectar cualquier acceso físico no autorizado.

Requisito 31

Supervisamos y ajustamos el uso de los recursos tecnológicos teniendo en cuenta las necesidades actuales y futuras de capacidad.

On this page