Establecer y Mantener un Proceso de Configuración Segura
Descripción
Establecer y mantener un proceso de configuración segura para activos empresariales (dispositivos de usuario final, incluyendo portátiles y móviles, dispositivos no informáticos/IoT y servidores) y software (sistemas operativos y aplicaciones). Revisar y actualizar la documentación anualmente o cuando ocurran cambios empresariales significativos que puedan impactar esta Salvaguarda.
Lista de Verificación de Implementación
Herramientas Recomendadas
Herramienta automatizada de evaluación de CIS Benchmark para escaneo de cumplimiento de configuración en sistemas operativos, aplicaciones y nube
Center for Internet Security · Membresía CIS SecureSuite
Plataforma de evaluación de configuración y cumplimiento basada en la nube con soporte de CIS Benchmark y monitoreo continuo
Qualys · Suscripción por activo
Plataforma de gestión de configuración de seguridad y monitoreo de integridad de archivos con cumplimiento de políticas y detección de desviaciones
Fortra (Tripwire) · Suscripción por nodo
Amenazas y Vulnerabilidades (CIS RAM)
Escenarios de Amenazas
Explotación de Configuraciones Predeterminadas o Débiles del Sistema
IntegridadLos atacantes explotan configuraciones predeterminadas de fábrica incluyendo puertos abiertos, servicios innecesarios y configuraciones de seguridad débiles que nunca fueron reforzadas según una línea base segura.
Desviación de Configuración que Habilita Vectores de Ataque
ConfidencialidadCon el tiempo, los sistemas se desvían de las configuraciones seguras a través de cambios ad hoc, reintroduciendo vulnerabilidades que fueron previamente mitigadas y creando posturas de seguridad inconsistentes.
Ransomware Explotando Sistemas No Reforzados
DisponibilidadEl ransomware se propaga rápidamente a través de sistemas que carecen de configuraciones reforzadas, explotando protocolos habilitados por defecto como SMBv1 y servicios de acceso remoto innecesarios.
Vulnerabilidades (Cuando la Salvaguarda está Ausente)
Sin Línea Base de Configuración Segura Definida
Sin un proceso documentado de configuración segura, los sistemas se implementan con valores predeterminados del proveedor que priorizan la facilidad de uso sobre la seguridad, dejando superficies de ataque conocidas expuestas.
Sin Cadencia de Revisión o Actualización de Configuración
Sin una revisión anual de los estándares de configuración segura, las líneas base se vuelven obsoletas a medida que surgen nuevas técnicas de ataque y cambian las recomendaciones del proveedor.
Requisitos de Evidencia
| Tipo | Elemento de Evidencia | Frecuencia de Recolección |
|---|---|---|
| Técnico | Capturas de pantalla o exportaciones de configuración que muestren los controles de protección habilitados | Capturado trimestralmente |
| Documento | Documentación de procedimientos para medidas de protección | Revisado anualmente |
| Documento | Documento de política vigente (actual, aprobado, comunicado) | Revisado anualmente |