Comparación de CIS v8, CIS AWS Foundations Benchmark v1.5 y PCI DSS v4.0 para CSPM. ¿Con cuál deberías empezar?

En el complejo mundo de la seguridad en la nube, las organizaciones deben elegir los marcos más adecuados para proteger sus entornos en la nube de forma eficaz. Tres marcos ampliamente reconocidos son el Centro de controles de seguridad de Internet (CIS) v8, el CIS AWS Foundations Benchmark v1.5 y el Estándar de seguridad de datos de la industria de tarjetas de pago (PCI DSS) v4.0. Cada marco ofrece pautas y controles distintos, que atienden diferentes aspectos de la seguridad en la nube . Este artículo compara estos marcos en el contexto de la gestión de la postura de seguridad en la nube (CSPM) y proporciona información sobre qué marco es más adecuado para condiciones específicas.

A continuación se muestra una comparación detallada de los controles de seguridad entre CIS Controls v8, CIS AWS Foundations Benchmark v1.5 y PCI DSS v4.0, incluidos los requisitos específicos y cómo se pueden aplicar en un contexto CSPM.

CONTROLES CIS V8

CIS Controls v8 ofrece un conjunto integral de prácticas de seguridad diseñadas para mejorar la postura general de ciberseguridad. A continuación se detallan los controles clave y sus requisitos:

  1. Inventario y Control de Activos Empresariales:
    • Objetivo: Mantener un inventario preciso de los activos de hardware para evitar que dispositivos no autorizados accedan a la red.
    • Requisitos:
      • Mantener un inventario de activos.
      • Utilice herramientas automatizadas para detectar e inventariar todo el hardware conectado a la red.
    • Aplicación CSPM: utilice herramientas de descubrimiento automatizadas para identificar e inventariar todos los activos de la nube.
  2. Inventario y Control de Activos de Software:
    • Objetivo: garantizar que se realice un seguimiento de todo el software, que solo se instale el software autorizado y que se evite el software no autorizado.
    • Requisitos:
      • Mantener un inventario de software.
      • Utilice herramientas automatizadas para detectar e inventariar todo el software instalado en los sistemas.
    • Aplicación CSPM: Implemente herramientas de inventario de software para mantener una lista de software autorizado en el entorno de la nube.
  3. Protección de Datos:
    • Objetivo: Proteger los datos del acceso no autorizado y la exfiltración.
    • Requisitos:
      • Implementar esquemas de clasificación de datos.
      • Aplicar cifrado para datos confidenciales.
    • Aplicación CSPM: aplique el cifrado de datos en reposo y en tránsito e implemente soluciones DLP.
  4. Configuración segura de activos y software empresariales:
    • Objetivo: Aplicar y mantener configuraciones seguras para todos los dispositivos y software.
    • Requisitos:
      • Establecer pautas de configuración segura.
      • Auditar periódicamente las configuraciones.
    • Aplicación CSPM: utilice herramientas de gestión de configuración para imponer configuraciones seguras en los recursos de la nube.
  5. Administración de cuentas:
    • Objetivo: Controlar las cuentas de usuarios y su acceso a datos y recursos.
    • Requisitos:
      • Implementar procesos de aprovisionamiento y desaprovisionamiento de cuentas.
      • Aplique políticas de contraseñas seguras.
    • Aplicación CSPM: utilice políticas de IAM para administrar los permisos de los usuarios y aplicar MFA.
  6. Gestión de control de acceso:
    • Objetivo: Implementar controles de acceso con privilegios mínimos y revisar periódicamente los permisos de acceso.
    • Requisitos:
      • Restrinja el acceso según los principios de necesidad de saber.
      • Revisar periódicamente los permisos de acceso.
    • Aplicación CSPM: revise y ajuste periódicamente las políticas de acceso para garantizar el acceso mínimo necesario.
  7. Gestión continua de vulnerabilidades:
    • Objetivo: Identificar, priorizar y remediar vulnerabilidades continuamente.
    • Requisitos:
      • Realice análisis periódicos de vulnerabilidades.
      • Aplique parches con prontitud.
    • Aplicación CSPM: utilice herramientas de escaneo de vulnerabilidades para identificar y abordar las vulnerabilidades del entorno de nube.
  8. Gestión de registros de auditoría:
    • Objetivo: recopilar, gestionar y analizar registros de auditoría para detectar y responder a incidentes de seguridad.
    • Requisitos:
      • Habilite el inicio de sesión en todos los sistemas.
      • Centralice la gestión de registros.
    • Aplicación CSPM: centralice el registro de todos los servicios en la nube y analice los registros en busca de actividades sospechosas.
  9. Protecciones de correo electrónico y navegador web:
    • Objetivo: Proteger el correo electrónico y los navegadores web del phishing y el malware.
    • Requisitos:
      • Implementar filtrado de correo electrónico.
      • Haga cumplir la configuración segura del navegador.
    • Aplicación CSPM: Implemente soluciones de filtrado de correo electrónico y protección web para servicios basados ​​en la nube.
  10. Defensas contra malware:
    • Objetivo: implementar herramientas antimalware para detectar y prevenir infecciones de malware.
    • Requisitos:
      • Instale software antimalware.
      • Actualice periódicamente las definiciones de malware.
    • Aplicación CSPM: utilice soluciones de protección de terminales en sistemas alojados en la nube.
  11. Recuperación de datos:
    • Objetivo: Garantizar la integridad y disponibilidad de los datos mediante copias de seguridad periódicas.
    • Requisitos:
      • Implemente programas de respaldo regulares.
      • Procedimientos de restauración de datos de prueba.
    • Aplicación CSPM: realice copias de seguridad periódicas de los datos de la nube y pruebe los procedimientos de restauración.
  12. Gestión de infraestructura de red:
    • Objetivo: Proteger la infraestructura de red y hacer cumplir la segmentación.
    • Requisitos:
      • Implementar la segmentación de la red.
      • Hacer cumplir los controles de acceso a la red.
    • Aplicación CSPM: utilice redes virtuales y firewalls para segmentar y proteger los recursos de la nube.
  13. Capacitación en habilidades y concientización sobre seguridad:
    • Objetivo: Capacitar al personal para reconocer y responder a amenazas a la seguridad.
    • Requisitos:
      • Llevar a cabo capacitaciones periódicas en materia de seguridad.
      • Evaluar la efectividad de la capacitación.
    • Aplicación CSPM: realice capacitaciones periódicas sobre seguridad para administradores y usuarios de la nube.
  14. Gestión de proveedores de servicios:
    • Objetivo: Garantizar que los proveedores externos cumplan con los requisitos de seguridad.
    • Requisitos:
      • Evaluar la seguridad de terceros.
      • Incluir requisitos de seguridad en los contratos.
    • Aplicación CSPM: Evaluar y monitorear la postura de seguridad de los proveedores de servicios en la nube.
  15. Seguridad del software de la aplicación:
    • Objetivo: Proteger las aplicaciones durante todo su ciclo de vida.
    • Requisitos:
      • Realizar pruebas de seguridad durante el desarrollo.
      • Aplique parches de seguridad con prontitud.
    • Aplicación CSPM: integre la seguridad en el SDLC y utilice herramientas de prueba de seguridad de la aplicación.
  16. Gestión de respuesta a incidentes:
    • Objetivo: Desarrollar e implementar capacidades de respuesta a incidentes.
    • Requisitos:
      • Desarrollar planes de respuesta a incidentes.
      • Realizar ejercicios regulares de respuesta a incidentes.
    • Aplicación CSPM: establezca planes de respuesta a incidentes específicos de la nube y realice simulacros periódicos.
  17. Pruebas de penetración:
    • Objetivo: Probar periódicamente la eficacia de los controles de seguridad.
    • Requisitos:
      • Realice pruebas de penetración periódicas.
      • Remediar las vulnerabilidades identificadas.
    • Aplicación CSPM: Realizar pruebas de penetración en infraestructura y aplicaciones en la nube.

CIS AWS FOUNDATIONS BENCHMARK V1.5

CIS AWS Foundations Benchmark v1.5 proporciona controles de seguridad específicos para entornos de Amazon Web Services (AWS). A continuación se detallan los controles clave y sus requisitos:

  1. Gestión de identidad y acceso (IAM):
    • Objetivo: gestionar identidades, imponer privilegios mínimos e implementar MFA.
    • Requisitos:
      • Habilite MFA para todos los usuarios de IAM.
      • Hacer cumplir el principio de privilegio mínimo.
    • Aplicación CSPM: utilice IAM para controlar el acceso, aplicar MFA para todos los usuarios y revisar periódicamente las políticas de IAM.
  2. Inicio sesión:
    • Objetivo: Permitir un registro integral para monitorear e investigar actividades.
    • Requisitos:
      • Habilite AWS CloudTrail en todas las regiones.
      • Habilite AWS Config para realizar un seguimiento de los cambios de recursos.
    • Aplicación CSPM: habilite AWS CloudTrail, AWS Config y VPC Flow Logs para rastrear y analizar actividades.
  3. Supervisión:
    • Objetivo: Monitorear continuamente el entorno en busca de eventos de seguridad.
    • Requisitos:
      • Habilite Amazon GuardDuty.
      • Configure alarmas de Amazon CloudWatch para eventos críticos.
    • Aplicación CSPM: utilice Amazon CloudWatch y AWS GuardDuty para monitorear y alertar sobre actividades sospechosas.
  4. Redes:
    • Objetivo: Proteger las configuraciones de red y hacer cumplir la segmentación.
    • Requisitos:
      • Implementar grupos de seguridad y ACL de red.
      • Restringir el tráfico entrante y saliente.
    • Aplicación CSPM: configure grupos de seguridad, ACL de red y VPC para controlar el tráfico y aplicar la segmentación.
  5. Protección de Datos:
    • Objetivo: Proteger los datos en reposo y en tránsito mediante cifrado.
    • Requisitos:
      • Habilite el cifrado para depósitos de S3.
      • Aplicar cifrado para volúmenes de EBS.
    • Aplicación CSPM: utilice AWS KMS para cifrar datos y aplicar TLS para los datos en tránsito.
  6. Respuesta al incidente:
    • Objetivo: Prepararse y responder a incidentes de seguridad.
    • Requisitos:
      • Desarrollar y documentar planes de respuesta a incidentes.
      • Implementar mecanismos de respuesta automatizados.
    • Aplicación CSPM: desarrolle planes de respuesta a incidentes y utilice herramientas de AWS como AWS Config y CloudTrail para respaldar las investigaciones.
  7. Gestión de configuración:
    • Objetivo: Mantener configuraciones seguras para los recursos de AWS.
    • Requisitos:
      • Habilite las reglas de AWS Config para conocer las mejores prácticas de seguridad.
      • Revise y actualice periódicamente las configuraciones.
    • Aplicación CSPM: utilice reglas de AWS Config para aplicar configuraciones seguras y corregir el incumplimiento.
  8. Gestión de vulnerabilidades:
    • Objetivo: Identificar y remediar vulnerabilidades en el entorno de AWS.
    • Requisitos:
      • Habilite el inspector de Amazon.
      • Escanee periódicamente en busca de vulnerabilidades.
    • Aplicación CSPM: utilice AWS Inspector para realizar evaluaciones de vulnerabilidad y aplicar parches rápidamente.

PCI DSS V4.0

PCI DSS v4.0 está diseñado para proteger los datos de los titulares de tarjetas y garantizar procesos de pago seguros. A continuación se detallan los requisitos clave y sus detalles:

  1. Instale y mantenga una configuración de firewall para proteger los datos de los titulares de tarjetas:
    • Objetivo: Utilizar firewalls para segmentar y proteger el entorno de datos de los titulares de tarjetas (CDE).
    • Requisitos:
      • Establecer estándares de configuración de firewall y enrutador.
      • Implementar controles de segmentación.
    • Aplicación CSPM: Implemente grupos de seguridad y firewalls virtuales para aislar los entornos de datos de los titulares de tarjetas en la nube.
  2. No utilice valores predeterminados proporcionados por el proveedor para contraseñas del sistema y otros parámetros de seguridad:
    • Objetivo: cambiar la configuración predeterminada para evitar el acceso no autorizado.
    • Requisitos:
      • Cambie todas las contraseñas y configuraciones predeterminadas.
      • Documente todos los cambios de configuración.
    • Aplicación CSPM: aplique políticas para cambiar las credenciales y configuraciones predeterminadas para los recursos de la nube.
  3. Proteger los datos almacenados del titular de la tarjeta:
    • Objetivo: Implementar cifrado y otros métodos para proteger los datos de los titulares de tarjetas en reposo.
    • Requisitos:
      • Cifre los datos de los titulares de tarjetas utilizando criptografía sólida.
      • Implementar políticas de retención y disposición de datos.
    • Aplicación CSPM: utilice servicios de cifrado como AWS KMS para proteger los datos almacenados.
  4. Cifre la transmisión de datos de titulares de tarjetas a través de redes públicas abiertas:
    • Objetivo: utilizar un cifrado sólido para proteger los datos en tránsito.
    • Requisitos:
      • Utilice protocolos de cifrado sólidos (por ejemplo, TLS).
      • Documentar e implementar protocolos de seguridad.
    • Aplicación CSPM: implemente TLS/SSL para la transmisión de datos y utilice VPN para canales de comunicación seguros.
  5. Proteja todos los sistemas contra malware y actualice periódicamente el software o programas antivirus:
    • Objetivo: implementar soluciones antimalware y garantizar actualizaciones periódicas.
    • Requisitos:
      • Instalar y mantener software antivirus.
      • Actualice periódicamente las definiciones de antivirus.
    • Aplicación CSPM: utilice soluciones de protección de terminales basadas en la nube y mantenga defensas contra malware actualizadas.
  6. Desarrollar y mantener sistemas y aplicaciones seguros:
    • Objetivo: Implementar seguridad en el proceso de desarrollo de software y parchear vulnerabilidades.
    • Requisitos:
      • Siga las pautas de codificación segura.
      • Actualizar y parchear los sistemas periódicamente.
    • Aplicación CSPM: utilice prácticas de desarrollo seguras, realice revisiones de código y mantenga un proceso de gestión de parches.
  7. Restringir el acceso a los datos de los titulares de tarjetas según las necesidades empresariales:
    • Objetivo: Garantizar que el acceso a los datos del titular de la tarjeta esté limitado únicamente al personal autorizado.
    • Requisitos:
      • Implementar controles de acceso basados ​​en roles (RBAC).
      • Revise periódicamente los privilegios de acceso.
    • Aplicación CSPM: implementar RBAC y políticas de acceso con privilegios mínimos.
  8. Identificar y autenticar el acceso a los componentes del sistema:
    • Objetivo: utilizar identificaciones únicas y métodos de autenticación sólidos.
    • Requisitos:
      • Aplique identificaciones de usuario únicas.
      • Implementar autenticación multifactor (MFA).
    • Aplicación CSPM: aplique MFA para acceder a entornos de nube y utilice servicios de autenticación centralizados.
  9. Restringir el acceso físico a los datos del titular de la tarjeta:
    • Objetivo: Controlar el acceso físico a los sistemas que manejan datos de titulares de tarjetas.
    • Requisitos:
      • Implementar controles de acceso físico.
      • Supervise y registre el acceso físico.
    • Aplicación CSPM: asegúrese de que los centros de datos de los proveedores de servicios en la nube cumplan con los estándares de seguridad física.
  10. Realice un seguimiento y controle todos los accesos a los recursos de la red y a los datos de los titulares de tarjetas:
    • Objetivo: Mantener registros y monitoreo integrales para detectar y responder a anomalías de acceso.
    • Requisitos:
      • Habilitar mecanismos de registro.
      • Revise y analice periódicamente los registros.
    • Aplicación CSPM: utilice herramientas de monitoreo y registro en la nube para rastrear el acceso e integrar con soluciones SIEM para análisis en tiempo real.
  11. Pruebe periódicamente los sistemas y procesos de seguridad:
    • Objetivo: Realizar análisis de vulnerabilidades y pruebas de penetración periódicamente.
    • Requisitos:
      • Realizar análisis de vulnerabilidades internos y externos.
      • Realizar pruebas de penetración al menos una vez al año.
    • Aplicación CSPM: programe análisis periódicos y pruebas de penetración en aplicaciones y entornos de nube.
  12. Mantener una política que aborde la seguridad de la información para empleados y contratistas:
    • Objetivo: Establecer y hacer cumplir una política de seguridad integral.
    • Requisitos:
      • Desarrollar y mantener una política de seguridad de la información.
      • Asegúrese de que las políticas se comuniquen a todo el personal.
    • Aplicación CSPM: desarrolle políticas de seguridad específicas de la nube y asegúrese de que todo el personal conozca y esté capacitado sobre estas políticas.

La integración de controles de CIS Controls v8, CIS AWS Foundations Benchmark v1.5 y PCI DSS v4.0 ayuda a las organizaciones a establecer un sistema sólido de gestión de la postura de seguridad en la nube. CIS Controls v8 proporciona un amplio conjunto de mejores prácticas para la ciberseguridad general, CIS AWS Foundations Benchmark v1.5 ofrece orientación específica para proteger los entornos de AWS y PCI DSS v4.0 se centra en proteger los datos de los titulares de tarjetas y garantizar procesos de pago seguros. La combinación de estos marcos garantiza una cobertura de seguridad integral adaptada a requisitos de cumplimiento específicos y mejores prácticas de ciberseguridad más amplias.

COMPARACIÓN DE CIS V8, CIS AWS FOUNDATIONS V1.5 Y PCI DSS V4.0 PARA CSPM

  1. Alcance y aplicabilidad
    • CIS Controls v8 : Ampliamente aplicable en diversas industrias y organizaciones. Proporciona un conjunto general de mejores prácticas de seguridad que se pueden adaptar a diferentes entornos.
    • CIS AWS Foundations Benchmark v1.5 : Diseñado específicamente para entornos de AWS, ofrece recomendaciones personalizadas para proteger la infraestructura y los servicios de AWS.
    • PCI DSS v4.0 : dirigido específicamente a organizaciones que manejan datos de tarjetas de pago, con controles estrictos centrados en proteger la información del titular de la tarjeta.
  2. Áreas de enfoque
    • CIS Controls v8 : enfatiza una amplia gama de controles de seguridad, incluida la gestión de activos, el control de acceso y la respuesta a incidentes, organizados en grupos de implementación.
    • CIS AWS Foundations Benchmark v1.5 : se centra en configuraciones de seguridad específicas de AWS y cubre la gestión de identidad y acceso, el registro, el monitoreo y la seguridad de la red dentro de AWS.
    • PCI DSS v4.0 : se centra principalmente en proteger los datos de las tarjetas de pago y la infraestructura asociada, con requisitos específicos de cifrado, control de acceso y seguridad de las transacciones.
  3. Cumplimiento normativo
    • CIS Controls v8 : No es un requisito reglamentario, pero se ha adoptado ampliamente como marco de mejores prácticas. Ayuda a las organizaciones a lograr el cumplimiento de diversas regulaciones al proporcionar una base de seguridad sólida.
    • CIS AWS Foundations Benchmark v1.5 : no es un requisito reglamentario, pero ayuda a las organizaciones a alinear sus configuraciones de AWS con las mejores prácticas y los estándares reglamentarios.
    • PCI DSS v4.0 : un requisito obligatorio para las organizaciones involucradas en el procesamiento de tarjetas de pago. Se requiere cumplimiento para evitar sanciones y mantener la capacidad de procesar pagos con tarjeta.
  4. Complejidad de implementación
    • CIS Controls v8 : Flexible y escalable, lo que permite a las organizaciones implementar controles de forma incremental en función de sus necesidades y capacidades específicas.
    • CIS AWS Foundations Benchmark v1.5 : requiere una comprensión profunda de los servicios y configuraciones de AWS, pero proporciona una guía clara y práctica.
    • PCI DSS v4.0 : Requiere un estricto cumplimiento de todos los controles especificados, lo que puede requerir muchos recursos y ser complejo de implementar, especialmente para organizaciones más pequeñas.

¿QUÉ MARCO ES MEJOR PARA CSPM?

  • CIS Controls v8 : ideal para organizaciones que buscan un enfoque integral, flexible y escalable para la seguridad en la nube. Es adecuado para empresas de todos los tamaños e industrias que buscan mejorar su postura general de seguridad sin la necesidad de un cumplimiento normativo específico.
  • CIS AWS Foundations Benchmark v1.5 : más adecuado para organizaciones que utilizan AWS como proveedor de servicios en la nube. Ofrece recomendaciones específicas y prácticas para proteger los entornos de AWS y se alinea con varios estándares regulatorios, lo que lo hace ideal para organizaciones centradas en AWS.
  • PCI DSS v4.0 : Esencial para organizaciones involucradas en el procesamiento de tarjetas de pago. Garantiza una protección sólida de los datos de los titulares de tarjetas y el cumplimiento de las regulaciones de la industria. Sin embargo, es menos flexible y de alcance más específico, lo que lo hace más adecuado para organizaciones con un requisito claro de proteger la información de las tarjetas de pago.

CIS Controls v8, CIS AWS Foundations Benchmark v1.5 y PCI DSS v4.0 ofrecen pautas valiosas para mejorar la seguridad en la nube a través de CSPM. La elección entre estos marcos depende de las necesidades específicas y los requisitos regulatorios de la organización. CIS Controls v8 proporciona un enfoque amplio y adaptable adecuado para diversas industrias, mientras que CIS AWS Foundations Benchmark v1.5 ofrece recomendaciones específicas de AWS. PCI DSS v4.0 ofrece controles estrictos necesarios para proteger los datos de las tarjetas de pago. Las organizaciones deben evaluar sus requisitos de seguridad únicos y obligaciones regulatorias para determinar qué marco se alinea mejor con sus objetivos y capacidades.