Compartir vía


Detalles de la iniciativa integrada de cumplimiento normativo de SWIFT CSP-CSCF v2022

En el siguiente artículo, se detalla la correspondencia entre la definición de la iniciativa integrada de cumplimiento normativo de Azure Policy y los dominios de cumplimiento y controles de SWIFT CSP-CSCF v2022. Para obtener más información sobre este estándar de cumplimiento, consulte SWIFT CSP CSCF v2022. Para entender el concepto de Propiedad, revise el tipo de directiva y Responsabilidad compartida en la nube.

Las siguientes asignaciones se realizan en los controles de SWIFT CSP-CSCF v2022. Muchos de los controles se implementan con una definición de iniciativa de Azure Policy. Para revisar la definición de iniciativa completa, abra Policy en Azure Portal y seleccione la página Definiciones. A continuación, busque y seleccione la definición de la iniciativa integrada de cumplimiento normativo de SWIFT CSP-CSCF v2022.

Importante

Cada control que se muestra a continuación está asociado a una o varias definiciones de Azure Policy. Estas directivas pueden ayudarle a evaluar el cumplimiento mediante el control. Sin embargo, con frecuencia no hay una correspondencia completa o exacta entre un control y una o varias directivas. Como tal, el cumplimiento en Azure Policy solo se refiere a las propias definiciones de directiva; esto no garantiza que se cumpla totalmente con todos los requisitos de un control. Además, el estándar de cumplimiento incluye controles que no se abordan con las definiciones de Azure Policy en este momento. Por lo tanto, el cumplimiento en Azure Policy es solo una vista parcial del estado general de cumplimiento. Las asociaciones entre los dominios de cumplimiento, los controles y las definiciones de Azure Policy para este estándar de cumplimiento pueden cambiar con el tiempo. Para ver el historial de cambios, consulte el historial de confirmación de GitHub.

1. Restricción del acceso a Internet y protección de los sistemas críticos del entorno general de TI

Garantice la protección de la infraestructura WFIFT local del usuario de los elementos potencialmente comprometidos del entorno de TI general y del entorno externo.

ID: SWIFT CSCF v2022 1.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
Azure Key Vault debe tener el firewall habilitado Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Comprobación del cumplimiento de privacidad y seguridad antes de establecer conexiones internas CMA_0053: Comprobar el cumplimiento de privacidad y seguridad antes de establecer conexiones internas Manual, Deshabilitado 1.1.0
Garantía de que los proveedores externos cumplen de forma coherente los intereses de los clientes CMA_C1592: Garantizar que los proveedores externos cumplen de forma coherente los intereses de los clientes Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0
Las plantillas de VM Image Builder deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Restrinja y controle la asignación y el uso de cuentas del sistema operativo de nivel de administrador.

ID: SWIFT CSCF v2022 1.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Definición y aplicación de condiciones para las cuentas de grupo y compartidas CMA_0117: Definir y aplicar condiciones para las cuentas de grupo y compartidas Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Desarrollo y establecimiento de un plan de seguridad del sistema CMA_0151: Desarrollar y establecer un plan de seguridad del sistema Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de seguridad de la información CMA_0158: Desarrollar directivas y procedimientos de seguridad de la información Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Establecimiento de un programa de privacidad CMA_0257: Establecer un programa de privacidad Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de seguridad para la fabricación de dispositivos conectados CMA_0279: Establecer los requisitos de seguridad para la fabricación de dispositivos conectados Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Implementación de principios de ingeniería de seguridad de los sistemas de información CMA_0325: Implementar principios de ingeniería de seguridad de los sistemas de información Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Supervisión de la asignación de roles con privilegios CMA_0378: Supervisar la asignación de roles con privilegios Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0
Usar Privileged Identity Management CMA_0533: Usar Privileged Identity Management Manual, Deshabilitado 1.1.0

ID: SWIFT CSCF v2022 1.3 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0

Controle o proteja el acceso a Internet desde los equipos y sistemas del operador dentro de la zona segura.

ID: SWIFT CSCF v2022 1.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Las máquinas virtuales sin conexión a Internet deben protegerse con grupos de seguridad de red Proteja las máquinas virtuales no accesibles desde Internet de posibles amenazas limitando el acceso con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0

Garantice la protección de la infraestructura de conectividad del cliente contra el entorno externo y los elementos potencialmente peligrosos del entorno general de TI.

ID: SWIFT CSCF v2022 1.5A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Vista previa]: Todo el tráfico de Internet debe enrutarse mediante la instancia de Azure Firewall implementada Azure Security Center ha identificado que algunas de las subredes no están protegidas con un firewall de próxima generación. Proteja las subredes frente a posibles amenazas mediante la restricción del acceso a ellas con Azure Firewall o un firewall de próxima generación compatible. AuditIfNotExists, Disabled 3.0.0-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Todos los puertos de red deben estar restringidos en los grupos de seguridad de red asociados a la máquina virtual Azure Security Center identificó que algunas de las reglas de entrada de sus grupos de seguridad de red son demasiado permisivas. Las reglas de entrada no deben permitir el acceso desde los intervalos "Cualquiera" o "Internet". Esto podría permitir que los atacantes pudieran acceder a sus recursos. AuditIfNotExists, Disabled 3.0.0
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. AuditIfNotExists, Disabled 2.0.1
La versión de Azure DDoS Protection debe estar habilitada DDoS Protection debe estar habilitado en todas las redes virtuales que tengan una subred que forme parte de una instancia de Application Gateway con una dirección IP pública. AuditIfNotExists, Disabled 3.0.1
Azure Key Vault debe tener el firewall habilitado Habilite el firewall del almacén de claves para que el almacén de claves no sea accesible de forma predeterminada a ninguna dirección IP pública. De manera opcional, puede configurar intervalos IP específicos para limitar el acceso a esas redes. Más información en: https://docs.microsoft.com/azure/key-vault/general/network-security Audit, Deny, Disabled 3.2.1
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Uso de restricciones en las interconexiones del sistema externo CMA_C1155: Usar restricciones en las interconexiones del sistema externo Manual, Deshabilitado 1.1.0
Establecer estándares de configuración de firewall y enrutador CMA_0272: Establecer estándares de configuración de firewall y enrutador Manual, Deshabilitado 1.1.0
Establecimiento de la segmentación de red para el entorno de datos del titular de la tarjeta CMA_0273: Establecer la segmentación de red para el entorno de datos del titular de la tarjeta Manual, Deshabilitado 1.1.0
Identificar y administrar intercambios de información de nivel inferior CMA_0298: Identificar y administrar los intercambios de información de nivel inferior Manual, Deshabilitado 1.1.0
Implementación de una interfaz administrada para cada servicio externo CMA_C1626: Implementar una interfaz administrada para cada servicio externo Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Las máquinas virtuales accesibles desde Internet deben estar protegidas con grupos de seguridad de red Proteja sus máquinas virtuales de posibles amenazas limitando el acceso a ellas con grupos de seguridad de red (NSG). Más información sobre cómo controlar el tráfico con los grupos de seguridad de red en https://aka.ms/nsg-doc. AuditIfNotExists, Disabled 3.0.0
El reenvío de IP en la máquina virtual debe estar deshabilitado Habilitar el reenvío de IP en la NIC de la máquina virtual permite que la máquina reciba tráfico dirigido a otros destinos. El reenvío de IP rara vez es necesario (por ejemplo, cuando se usa la máquina virtual como una aplicación virtual de red) y, por lo tanto, el equipo de seguridad de red debe revisarlo. AuditIfNotExists, Disabled 3.0.0
Key Vault debe usar un punto de conexión del servicio de red virtual Esta directiva audita toda instancia de Key Vault no configurada para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Se debe restringir el acceso de red a las cuentas de almacenamiento El acceso de red a las cuentas de almacenamiento debe estar restringido. Configure reglas de red, solo las aplicaciones de redes permitidas pueden acceder a la cuenta de almacenamiento. Para permitir conexiones desde clientes específicos locales o de Internet, se puede conceder acceso al tráfico procedente de redes virtuales de Azure específicas o a intervalos de direcciones IP de Internet públicas. Audit, Deny, Disabled 1.1.1
Las cuentas de almacenamiento deben usar un punto de conexión del servicio de red virtual Esta directiva audita todas las cuentas de almacenamiento no configuradas para usar un punto de conexión del servicio de red virtual. Audit, Disabled 1.0.0
Las subredes deben estar asociadas con un grupo de seguridad de red. Proteja la subred de posibles amenazas mediante la restricción del acceso con un grupo de seguridad de red (NSG). Estos grupos contienen las reglas de la lista de control de acceso (ACL) que permiten o deniegan el tráfico de red a la subred. AuditIfNotExists, Disabled 3.0.0
Las plantillas de VM Image Builder deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

2. Reducir la superficie expuesta a ataques y vulnerabilidades

ID: SWIFT CSCF v2022 2.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Definir el uso criptográfico CMA_0120: Definir el uso criptográfico Manual, Deshabilitado 1.1.0
Definir los requisitos de la organización para la administración de claves criptográficas CMA_0123: Definir los requisitos de la organización para la administración de claves criptográficas Manual, Deshabilitado 1.1.0
Determinar los requisitos de aserción CMA_0136: Determinar los requisitos de aserción Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Uso de protección de límites para aislar sistemas de información CMA_C1639: Usar protección de límites para aislar sistemas de información Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Aplicación de identificadores de sesión únicos aleatorios CMA_0247: Aplicar identificadores de sesión únicos aleatorios Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecer un procedimiento de administración de pérdida de datos CMA_0255: Establecer un procedimiento de administración de pérdida de datos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Control de flujo de información mediante los filtros de directiva de seguridad CMA_C1029: Control de flujo de información mediante los filtros de directiva de seguridad Manual, Deshabilitado 1.1.0
Aislamiento de sistemas SecurID, sistemas de administración de incidentes de seguridad CMA_C1636: Aislar sistemas SecurID, sistemas de administración de incidentes de seguridad Manual, Deshabilitado 1.1.0
Emisión de certificados de clave pública CMA_0347: Emitir certificados de clave pública Manual, Deshabilitado 1.1.0
Mantener la disponibilidad de la información CMA_C1644: Mantener la disponibilidad de la información Manual, Deshabilitado 1.1.0
Administración de claves criptográficas simétricas CMA_0367: Administrar las claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas asimétricas CMA_C1646: Producir, controlar y distribuir claves criptográficas asimétricas Manual, Deshabilitado 1.1.0
Producción, control y distribución de claves criptográficas simétricas CMA_C1645: Producir, controlar y distribuir claves criptográficas simétricas Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Restringir el acceso a las claves privadas CMA_0445: Restringir el acceso a las claves privadas Manual, Deshabilitado 1.1.0
Protección de la interfaz contra sistemas externos CMA_0491: Proteger la interfaz contra sistemas externos Manual, Deshabilitado 1.1.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1

Evite la aparición de vulnerabilidades técnicas conocidas en los equipos de operador y dentro de la infraestructura local de SWIFT al garantizar soporte técnico del proveedor, aplicando las actualizaciones de software obligatorias y las actualizaciones de seguridad oportunas alineadas con el riesgo evaluado.

ID: SWIFT CSCF v2022 2.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Auditar las VM Windows con un reinicio pendiente Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si la máquina está pendiente de reinicio por alguno de los siguientes motivos: servicio basado en componentes, Windows Update, cambio de nombre de archivo pendiente, cambio de nombre de máquina pendiente o reinicio de Configuration Manager pendiente. Cada detección tiene una ruta de acceso del registro única. auditIfNotExists 2.0.0
Correlación de la información del examen de vulnerabilidades CMA_C1558: Poner en correlación la información del examen de vulnerabilidades Manual, Deshabilitado 1.1.1
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Difusión de alertas de seguridad al personal CMA_C1705: Difundir alertas de seguridad al personal Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Uso de mecanismos automatizados para las alertas de seguridad CMA_C1707: Usar mecanismos automatizados para las alertas de seguridad Manual, Deshabilitado 1.1.0

ID: SWIFT CSCF v2022 2.3 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Auditar las máquinas Linux que no tengan los permisos del archivo de contraseñas establecidos en 0644 Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux no tienen los permisos del archivo de contraseñas establecidos en 0644. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. auditIfNotExists 2.0.0
Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. AuditIfNotExists, Disabled 2.0.0
Automatización de los cambios documentados propuestos CMA_C1191: Automatizar los cambios documentados propuestos Manual, Deshabilitado 1.1.0
Realización de un análisis de impacto en la seguridad CMA_0057: Realizar un análisis de impacto en la seguridad Manual, Deshabilitado 1.1.0
Configurar las acciones para los dispositivos no conformes CMA_0062: Configurar las acciones para los dispositivos no conformes Manual, Deshabilitado 1.1.0
Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Desarrollo y mantenimiento del estándar de administración de vulnerabilidades CMA_0152: Desarrollar y mantener el estándar de administración de vulnerabilidades Manual, Deshabilitado 1.1.0
Desarrollar y mantener las configuraciones de línea base CMA_0153: Desarrollar y mantener las configuraciones de línea base Manual, Deshabilitado 1.1.0
Aplicar opciones de configuración de seguridad CMA_0249: Aplicar opciones de configuración de seguridad Manual, Deshabilitado 1.1.0
Establecer un panel de control de configuración CMA_0254: Establecer un panel de control de configuración Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Establecer y documentar un plan de administración de configuración CMA_0264: Establecer y documentar un plan de administración de configuración Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Implementación de una herramienta de administración de configuración automatizada CMA_0311: Implementar una herramienta de administración de configuración automatizada Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Realización de una evaluación de impacto en la privacidad CMA_0387: Realizar una evaluación de impacto en la privacidad Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Conservación de las versiones anteriores de las configuraciones de línea base CMA_C1181: Conservar las versiones anteriores de las configuraciones de línea base Manual, Deshabilitado 1.1.0
Las plantillas de VM Image Builder deben usar Private Link Azure Private Link permite conectar la red virtual a servicios de Azure sin una dirección IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Mediante la asignación de puntos de conexión privados a los recursos de creación del generador de imágenes de máquina virtual, se reducen los riesgos de pérdida de datos. Más información sobre los vínculos privados en https://docs.microsoft.com/azure/virtual-machines/linux/image-builder-networking#deploy-using-an-existing-vnet. Audit, Disabled, Deny 1.1.0

Garantice la confidencialidad, integridad y autenticidad mutua de los flujos de datos entre los componentes locales o remotos de la infraestructura de SWIFT y los primeros saltos del área operativa al que se conectan.

ID: SWIFT CSCF v2022 2.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Notificación a los usuarios del inicio de sesión o el acceso al sistema CMA_0382: Notificar a los usuarios el inicio de sesión o el acceso al sistema Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Seguridad del flujo de datos administrativo

ID: SWIFT CSCF v2022 2.4A Propiedad: Cliente

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
La autenticación en máquinas Linux debe requerir claves SSH. Aunque el propio SSH proporciona una conexión cifrada, el uso de contraseñas con SSH deja la máquina virtual vulnerable a ataques por fuerza bruta. La opción más segura para autenticarse en una máquina virtual Linux de Azure mediante SSH es con un par de claves pública y privada, también conocido como claves SSH. Más información: https://docs.microsoft.com/azure/virtual-machines/linux/create-ssh-keys-detailed. AuditIfNotExists, Disabled 3.2.0
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1

ID: SWIFT CSCF v2022 2.5 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Establecimiento de las directivas y procedimientos de copia de seguridad CMA_0268: Establecer las directivas y procedimientos de copia de seguridad Manual, Deshabilitado 1.1.0
Implementar controles para proteger todos los medios CMA_0314: Implementar los controles para proteger todos los medios Manual, Deshabilitado 1.1.0
Administración del transporte de recursos CMA_0370: Administrar el transporte de recursos Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

Protección de datos de transmisión externa

ID: SWIFT CSCF v2022 2.5A Propiedad: Cliente

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
Las variables de cuenta de Automation deben cifrarse Es importante habilitar el cifrado de recursos de variables de cuentas de Automation al almacenar datos confidenciales. Audit, Deny, Disabled 1.1.0
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
El almacenamiento con redundancia geográfica debe estar habilitado para las cuentas de almacenamiento Use la redundancia geográfica para crear aplicaciones de alta disponibilidad. Audit, Disabled 1.0.0
Se debe habilitar la transferencia segura a las cuentas de almacenamiento Permite auditar el requisito de transferencia segura en la cuenta de almacenamiento. La transferencia segura es una opción que obliga a la cuenta de almacenamiento a aceptar solamente solicitudes de conexiones seguras (HTTPS). El uso de HTTPS garantiza la autenticación entre el servidor y el servicio, y protege los datos en tránsito de ataques de nivel de red, como los de tipo "Man in the middle", interceptación y secuestro de sesión Audit, Deny, Disabled 2.0.0

ID: SWIFT CSCF v2022 2.6 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Autorizar acceso remoto CMA_0024: Autorizar acceso remoto Manual, Deshabilitado 1.1.0
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentación e implementación de directrices de acceso inalámbrico CMA_0190: Documentar e implementar directrices de acceso inalámbrico Manual, Deshabilitado 1.1.0
Entrenamiento de movilidad de documentos CMA_0191: Entrenamiento de movilidad de documentos Manual, Deshabilitado 1.1.0
Documentar las directrices de acceso remoto CMA_0196: Documentar las directrices de acceso remoto Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0
Implementar controles para proteger sitios de trabajo alternativos CMA_0315: Implementar controles para proteger sitios de trabajo alternativos Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Protección del acceso inalámbrico CMA_0411: Proteger el acceso inalámbrico Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Autenticación de nuevo o finalización de una sesión de usuario CMA_0421: Volver a autenticar o finalizar una sesión de usuario Manual, Deshabilitado 1.1.0
Las máquinas Windows deben configurarse para usar protocolos de comunicación seguros Para proteger la privacidad de la información que se comunica a través de Internet, las máquinas deben usar la versión más reciente del protocolo criptográfico estándar del sector, Seguridad de la capa de transporte (TLS). TLS protege las comunicaciones que se realizan a través de una red para cifrar una conexión entre máquinas. AuditIfNotExists, Disabled 4.1.1
Las máquinas Windows deben cumplir los requisitos de "Opciones de seguridad - Inicio de sesión interactivo" Las máquinas Windows deben tener la configuración de directiva de grupo especificada en la categoría "Opciones de seguridad - Inicio de sesión interactivo" para mostrar el último nombre de usuario y solicitar el uso de Ctrl-Alt-Supr. Esta directiva requiere que los requisitos previos de configuración de invitado se hayan implementado en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. AuditIfNotExists, Disabled 3.0.0

Identifique vulnerabilidades conocidas en el entorno local SWIFT mediante la implementación de un proceso de examen de vulnerabilidades normal y actúe en función de los resultados.

ID: SWIFT CSCF v2022 2.7 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe habilitarse una solución de evaluación de vulnerabilidades en sus máquinas virtuales Audita las máquinas virtuales para detectar si ejecutan una solución de evaluación de vulnerabilidades admitida. Un componente fundamental de cada programa de seguridad y riesgo cibernético es la identificación y el análisis de las vulnerabilidades. El plan de tarifa estándar de Azure Security Center incluye el análisis de vulnerabilidades de las máquinas virtuales sin costo adicional. Además, Security Center puede implementar automáticamente esta herramienta. AuditIfNotExists, Disabled 3.0.0
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Correlación de la información del examen de vulnerabilidades CMA_C1558: Poner en correlación la información del examen de vulnerabilidades Manual, Deshabilitado 1.1.1
Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades Manual, Deshabilitado 1.1.0
Incorporación de la corrección de errores en la administración de configuración CMA_C1671: Incorporar la corrección de errores en la administración de configuración Manual, Deshabilitado 1.1.0
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. AuditIfNotExists, Disabled 1.0.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Se deben corregir las vulnerabilidades en la configuración de seguridad en las máquinas Azure Security Center supervisará los servidores que no cumplan la línea de base configurada como recomendaciones. AuditIfNotExists, Disabled 3.1.0

Garantice un enfoque coherente y eficaz para la supervisión de mensajería de los clientes.

ID: SWIFT CSCF v2022 2.8.5 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación del riesgo en las relaciones de terceros CMA_0014: Evaluar el riesgo en las relaciones de terceros Manual, Deshabilitado 1.1.0
Definición y documentación de la supervisión gubernamental CMA_C1587: Definir y documentar la supervisión gubernamental Manual, Deshabilitado 1.1.0
Definición de los requisitos para el suministro de bienes y servicios CMA_0126: Definir los requisitos para el suministro de bienes y servicios Manual, Deshabilitado 1.1.0
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Establecimiento de las directivas para la administración de riesgos de la cadena de suministro CMA_0275: Establecer las directivas para la administración de riesgos de la cadena de suministro Manual, Deshabilitado 1.1.0
Requerimiento de que los proveedores de servicios externos cumplan los requisitos de seguridad CMA_C1586: Requerir que los proveedores de servicios externos cumplan los requisitos de seguridad Manual, Deshabilitado 1.1.0
Revisión del cumplimiento del proveedor de servicios en la nube con las directivas y los contratos CMA_0469: Revisar el cumplimiento del proveedor de servicios en la nube con las directivas y los contratos Manual, Deshabilitado 1.1.0
Sometimiento a una revisión de seguridad independiente CMA_0515: Someterse a una revisión de seguridad independiente Manual, Deshabilitado 1.1.0

Garantice la protección de la infraestructura SWIFT local frente a los riesgos expuestos por la subcontratación de actividades críticas.

ID: SWIFT CSCF v2022 2.8A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Determinación de las obligaciones del contrato de proveedor CMA_0140: Determinar las obligaciones del contrato de proveedor Manual, Deshabilitado 1.1.0
Criterios de aceptación del contrato de adquisición de documentos CMA_0187: Criterios de aceptación del contrato de adquisición de documentos Manual, Deshabilitado 1.1.0
Protección de documentos de datos personales en contratos de adquisición CMA_0194: Proteger documentos de datos personales en contratos de adquisición Manual, Deshabilitado 1.1.0
Protección de documentos de información de seguridad en contratos de adquisición CMA_0195: Proteger documentos de información de seguridad en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos para el uso de los datos compartidos en los contratos CMA_0197: Documentar los requisitos para el uso de los datos compartidos en los contratos Manual, Deshabilitado 1.1.0
Documentación de los requisitos de garantía de seguridad en los contratos de adquisición CMA_0199: Documentar los requisitos de garantía de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de documentación de seguridad en el contrato de adquisición CMA_0200: Documentar los requisitos de documentación de seguridad en el contrato de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos funcionales de seguridad en los contratos de adquisición CMA_0201: Documentar los requisitos funcionales de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Documentación de la protección de los datos de titulares de tarjetas en contratos de terceros CMA_0207: Documentar la protección de los datos de titulares de tarjetas en contratos de terceros Manual, Deshabilitado 1.1.0

Asegúrese de que la actividad de transacciones salientes se encuentre dentro de los límites esperados del negocio normal.

ID: SWIFT CSCF v2022 2.9 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Flujo de la información de control CMA_0079: Flujo de la información de control Manual, Deshabilitado 1.1.0
Usar mecanismos de control de flujo de información cifrada CMA_0211: Usar mecanismos de control de flujo de información cifrada Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

Restrinja la actividad de transacción a sus homólogos empresariales validados y aprobados.

ID: SWIFT CSCF v2022 2.11A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorizar el acceso a las funciones e información de seguridad CMA_0022: Autorizar el acceso a las funciones e información de seguridad Manual, Deshabilitado 1.1.0
Autorización y administración del acceso CMA_0023: Autorizar y administrar el acceso Manual, Deshabilitado 1.1.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Aplicar el acceso lógico CMA_0245: Aplicar el acceso lógico Manual, Deshabilitado 1.1.0
Aplicar directivas de control de acceso obligatorias y discrecionales CMA_0246: Aplicar directivas de control de acceso obligatorias y discrecionales Manual, Deshabilitado 1.1.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales CMA_0481: Revisar grupos de usuarios y aplicaciones con acceso a datos confidenciales Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0

3. Protección física del entorno

Evite el acceso físico no autorizado a equipos confidenciales, entornos de trabajo, sitios de hospedaje y almacenamiento.

ID: SWIFT CSCF v2022 3.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas virtuales que no utilizan discos administrados Esta directiva audita las máquinas virtuales que no utilizan discos administrados. auditoría 1.0.0
Controlar el acceso físico CMA_0081: Controlar el acceso físico Manual, Deshabilitado 1.1.0
Definir un proceso de administración de claves físicas CMA_0115: Definir un proceso de administración de claves físicas Manual, Deshabilitado 1.1.0
Establecimiento y mantenimiento de un inventario de activos CMA_0266: Establecer y mantener un inventario de activos Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Instalación de un sistema de alarma CMA_0338: Instalar un sistema de alarma Manual, Deshabilitado 1.1.0
Administración de un sistema de seguridad con cámara de vigilancia CMA_0354: Administrar un sistema de seguridad con cámara de vigilancia Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos físicos y ambientales CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales Manual, Deshabilitado 1.1.0

4. Impedir el riesgo de credenciales

Asegúrese de que las contraseñas son lo suficientemente resistentes a los ataques de contraseña comunes mediante la implementación y aplicación de una directiva de contraseña efectiva.

ID: SWIFT CSCF v2022 4.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Auditar las máquinas Linux que permitan conexiones remotas desde cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux permiten la conexión remota de cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas Linux que tengan cuentas sin contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Linux tienen cuentas sin contraseña. AuditIfNotExists, Disabled 3.1.0
Auditar las máquinas de Windows que permiten volver a usar las contraseñas después del número especificado de contraseñas únicas Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows permiten volver a usar las contraseñas después del número especificado de contraseñas únicas. El valor predeterminado para contraseñas únicas es 24 AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas de Windows que no tengan la antigüedad máxima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad máxima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad máxima de la contraseña es de 70 días AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas de Windows que no tengan la antigüedad mínima de la contraseña establecida en el número de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no tienen la antigüedad mínima de contraseña establecida con el número de días especificado. El valor predeterminado para la antigüedad mínima de la contraseña es de 1 día AuditIfNotExists, Disabled 2.1.0
Auditar las máquinas Windows que no tengan habilitada la configuración de complejidad de la contraseña Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no tienen habilitada la configuración de complejidad de la contraseña. AuditIfNotExists, Disabled 2.0.0
Auditar las máquinas Windows que no restrinjan la longitud mínima de las contraseñas a un número específico de caracteres Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son conformes si las máquinas de Windows no restringen la longitud mínima de caracteres de la contraseña. El valor predeterminado para la longitud mínima de la contraseña es de 14 caracteres AuditIfNotExists, Disabled 2.1.0
Implementar la extensión de configuración de invitado de Linux para permitir las asignaciones de configuración de invitado en máquinas virtuales Linux Esta directiva implementa la extensión de configuración de invitado de Linux en las máquinas virtuales Linux hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Linux es un requisito previo para todas las asignaciones de configuración de invitado de Linux y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Linux. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 3.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Administración de la duración y reutilización del autenticador CMA_0355: Administrar la duración y reutilización del autenticador Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

ID: SWIFT CSCF v2022 4.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Deben estar habilitadas para MFA las cuentas con permisos de propietario de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de propietario, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de lectura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de lectura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Deben estar habilitadas para MFA las cuentas con permisos de escritura de los recursos de Azure. Multi-Factor Authentication (MFA) debe estar habilitada para todas las cuentas de la suscripción que tengan permisos de escritura, a fin de evitar una brecha de seguridad en las cuentas o los recursos. AuditIfNotExists, Disabled 1.0.0
Adopción de mecanismos de autenticación biométrica CMA_0005: adopción de mecanismos de autenticación biométrica Manual, Deshabilitado 1.1.0
Identificación y autenticación de dispositivos de red CMA_0296: Identificar y autenticar los dispositivos de red Manual, Deshabilitado 1.1.0

5. Administrar identidades y segregar privilegios

Aplique los principios de seguridad de acceso necesario, los privilegios mínimos y la separación de obligaciones para las cuentas de operador.

ID: SWIFT CSCF v2022 5.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Debe designar un máximo de tres propietarios para la suscripción Se recomienda que designe a un máximo de tres propietarios de suscripción para reducir el riesgo de una brecha de seguridad por parte de un propietario en peligro. AuditIfNotExists, Disabled 3.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Asignar administradores de cuentas CMA_0015: Asignar administradores de cuentas Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Auditar las máquinas Windows que contengan certificados que expirarán en el plazo de días especificado Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si los certificados del almacén especificado tienen una fecha de expiración fuera del intervalo durante el número de días dado como parámetro. La directiva también proporciona la opción de comprobar únicamente los certificados específicos o de excluir determinados certificados y de si se debe informar de los certificados expirados. auditIfNotExists 2.0.0
Automatizar la administración de cuentas CMA_0026: Automatizar la administración de cuentas Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas bloqueadas con permisos de propietario de los recursos de Azure. Quitar de la suscripción las cuentas en desuso con permisos de propietario Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas bloqueadas con permisos de lectura y escritura de los recursos de Azure. Convendría eliminar las cuentas en desuso de las suscripciones. Las cuentas en desuso son cuentas en las que se ha bloqueado el inicio de sesión. AuditIfNotExists, Disabled 1.0.0
Definición de autorizaciones de acceso para admitir la separación de obligaciones CMA_0116: Definir autorizaciones de acceso para admitir la separación de obligaciones Manual, Deshabilitado 1.1.0
Definición de tipos de cuenta del sistema de información CMA_0121: Definir tipos de cuenta del sistema de información Manual, Deshabilitado 1.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Diseñar un modelo de control de acceso CMA_0129: Diseñar un modelo de control de acceso Manual, Deshabilitado 1.1.0
Deshabilitar autenticadores tras la finalización CMA_0169: Deshabilitar los autenticadores tras la finalización Manual, Deshabilitado 1.1.0
Privilegios de acceso del documento CMA_0186: Privilegios de acceso del documento Manual, Deshabilitado 1.1.0
Documentación de la separación de obligaciones CMA_0204: Documentar la separación de obligaciones Manual, Deshabilitado 1.1.0
Emplear el acceso con privilegios mínimos CMA_0212: Emplear el acceso con privilegios mínimos Manual, Deshabilitado 1.1.0
Establecimiento de condiciones para la pertenencia a roles CMA_0269: Establecer las condiciones para la pertenencia a roles Manual, Deshabilitado 1.1.0
Deben quitarse las cuentas de invitado con permisos de propietario de los recursos de Azure. Las cuentas externas con permisos de propietario deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de lectura de los recursos de Azure. Las cuentas externas con privilegios de lectura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Deben quitarse las cuentas de invitado con permisos de escritura de los recursos de Azure. Las cuentas externas con privilegios de escritura deben quitarse de la suscripción a fin de evitar el acceso no supervisado. AuditIfNotExists, Disabled 1.0.0
Administrar cuentas de administrador y del sistema CMA_0368: Administrar cuentas de administrador y del sistema Manual, Deshabilitado 1.1.0
Supervisar el acceso en toda la organización CMA_0376: Supervisar el acceso en toda la organización Manual, Deshabilitado 1.1.0
Supervisión de la actividad de la cuenta CMA_0377: Supervisar la actividad de la cuenta Manual, Deshabilitado 1.1.0
Notificar cuando no se necesite la cuenta CMA_0383: Notificar cuando no se necesite la cuenta Manual, Deshabilitado 1.1.0
Proteger la información de auditoría CMA_0401: Proteger la información de auditoría Manual, Deshabilitado 1.1.0
Reasignar o quitar privilegios de usuario según sea necesario CMA_C1040: Reasignar o quitar privilegios de usuario según sea necesario Manual, Deshabilitado 1.1.0
Requerir aprobación para la creación de cuentas CMA_0431: Requerir aprobación para la creación de cuentas Manual, Deshabilitado 1.1.0
Restringir el acceso a las cuentas con privilegios CMA_0446: Restringir el acceso a las cuentas con privilegios Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisar las cuentas de usuario CMA_0480: Revisar cuentas de usuario Manual, Deshabilitado 1.1.0
Revisar privilegios de usuario CMA_C1039: Revisar privilegios de usuario Manual, Deshabilitado 1.1.0
Revocar roles con privilegios según corresponda CMA_0483: Revocar roles con privilegios según corresponda Manual, Deshabilitado 1.1.0
Separación de las obligaciones de las personas CMA_0492: Separar las obligaciones de las personas Manual, Deshabilitado 1.1.0
Debe haber más de un propietario asignado a la suscripción Se recomienda que designe a más de un propietario de la suscripción para tener redundancia de acceso de administrador. AuditIfNotExists, Disabled 3.0.0

Asegúrese de que la administración, el seguimiento y el uso correctos de la autenticación de hardware conectada y desconectada o los tokens personales (cuando se usan tokens).

ID: SWIFT CSCF v2022 5.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Distribución de autenticadores CMA_0184: Distribuir autenticadores Manual, Deshabilitado 1.1.0
Establecimiento de los tipos y procesos de autenticador CMA_0267: Establecer los tipos y procesos de autenticador Manual, Deshabilitado 1.1.0
Establecimiento de procedimientos para la distribución inicial del autenticador CMA_0276: Establecer los procedimientos para la distribución inicial del autenticador Manual, Deshabilitado 1.1.0
Los puertos de administración de las máquinas virtuales deben protegerse con el control de acceso de red Just-In-Time. Azure Security Center supervisará el posible acceso de red Just-In-Time (JIT) como recomendaciones. AuditIfNotExists, Disabled 3.0.0
Comprobación de la identidad antes de distribuir autenticadores CMA_0538: Comprobar la identidad antes de distribuir autenticadores Manual, Deshabilitado 1.1.0

En la medida en que esté permitido y sea factible, garantice la fiabilidad del personal que opera en el entorno local SWIFT mediante la realización de controles periódicos del personal.

ID: SWIFT CSCF v2022 5.3A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Borrado del personal con acceso a información clasificada CMA_0054: Borrar al personal con acceso a información clasificada Manual, Deshabilitado 1.1.0
Garantía de que los contratos de acceso se firman o se vuelven a firmar a tiempo CMA_C1528: Garantizar que los contratos de acceso se firman o se vuelven a firmar a tiempo Manual, Deshabilitado 1.1.0
Implementación del filtrado de personal CMA_0322: Implementar el filtrado de personal Manual, Deshabilitado 1.1.0
Proteger información especial CMA_0409: Proteger información especial Manual, Deshabilitado 1.1.0
Revisión de individuos con una frecuencia definida CMA_C1512: Revisar individuos con una frecuencia definida Manual, Deshabilitado 1.1.0

Proteja física y lógicamente el repositorio de contraseñas grabadas.

ID: SWIFT CSCF v2022 5.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar las máquinas Windows que no almacenen contraseñas mediante cifrado reversible Requiere que los requisitos previos se implementen en el ámbito de asignación de directivas. Para más detalles, visite https://aka.ms/gcpol. Las máquinas no son compatibles si las máquinas Windows no almacenan las contraseñas con cifrado reversible. AuditIfNotExists, Disabled 2.0.0
Documentación de los requisitos de seguridad en los contratos de adquisición CMA_0203: Documentar los requisitos de seguridad en los contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de una directiva de contraseñas CMA_0256: Establecer una directiva de contraseñas Manual, Deshabilitado 1.1.0
Implementación de los parámetros para los comprobadores de secretos memorizados CMA_0321: Implementar los parámetros para los comprobadores de secretos memorizados Manual, Deshabilitado 1.1.0
Los almacenes de claves deben tener habilitada la protección contra eliminación La eliminación malintencionada de un almacén de claves puede provocar una pérdida de datos permanente. Puede evitar la pérdida permanente de datos habilitando la protección de purga y la eliminación temporal. La protección contra purgas le protege frente a ataques internos mediante la aplicación de un período de retención obligatorio para almacenes de claves eliminados temporalmente. Ningún usuario de su organización o Microsoft podrá purgar los almacenes de claves durante el período de retención de eliminación temporal. Tenga en cuenta que los almacenes de claves creados después del 1 de septiembre de 2019 tienen habilitada la eliminación temporal de manera predeterminada. Audit, Deny, Disabled 2.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0

6. Detectar actividad anómala en sistemas o registros de transacciones

Asegúrese de que la infraestructura SWIFT local esté protegida contra malware y actúe en función de los resultados.

ID: SWIFT CSCF v2022 6.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Bloquear la ejecución desde USB de procesos que no sean de confianza y estén sin firmar CMA_0050: Bloquear los procesos sin firma y que no son de confianza ejecutados desde USB Manual, Deshabilitado 1.1.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Correlación de la información del examen de vulnerabilidades CMA_C1558: Poner en correlación la información del examen de vulnerabilidades Manual, Deshabilitado 1.1.1
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Implementación de acceso con privilegios para ejecutar actividades de detección de vulnerabilidades CMA_C1555: Implementar acceso con privilegios para ejecutar actividades de detección de vulnerabilidades Manual, Deshabilitado 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Microsoft Antimalware para Azure debe estar configurado para actualizar automáticamente las firmas de protección. Esta directiva audita cualquier máquina virtual de Windows que no esté configurada con la actualización automática de firmas de protección de Microsoft Antimalware. AuditIfNotExists, Disabled 1.0.0
La extensión IaaSAntimalware de Microsoft debe implementarse en servidores Windows. Esta directiva audita cualquier VM de Windows Server sin la extensión IaaSAntimalware de Microsoft implementada. AuditIfNotExists, Disabled 1.1.0
Observación e informe de los puntos débiles de seguridad CMA_0384: Observar e informar de los puntos débiles de seguridad Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización del modelado de amenazas CMA_0392: Realizar el modelado de amenazas Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de los eventos de protección contra vulnerabilidades de seguridad CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisar semanalmente el informe de detecciones de malware CMA_0475: Revisar semanalmente el informe de detecciones de malware Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Actualizar las definiciones de antivirus CMA_0517: Actualizar las definiciones de antivirus Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

ID: SWIFT CSCF v2022 6.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Configurar estaciones de trabajo para comprobar si hay certificados digitales CMA_0073: Configurar estaciones de trabajo para comprobar si hay certificados digitales Manual, Deshabilitado 1.1.0
Empleo del apagado o reinicio automático cuando se detectan infracciones CMA_C1715: Emplear el apagado o reinicio automático cuando se detectan infracciones Manual, Deshabilitado 1.1.0
Proteger de datos en tránsito mediante cifrado CMA_0403: Proteger los datos en tránsito mediante el cifrado Manual, Deshabilitado 1.1.0
Proteger contraseñas con cifrado CMA_0408: Proteger contraseñas con cifrado Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

Garantice la integridad de los registros de la base de datos para la interfaz de mensajería SWIFT o el conector del cliente y actúe en función de los resultados.

ID: SWIFT CSCF v2022 6.3 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0
Vista y configuración de los datos de diagnóstico del sistema CMA_0544: Ver y configurar los datos de diagnóstico del sistema Manual, Deshabilitado 1.1.0

Registre eventos de seguridad y detecte acciones y operaciones anómalas en el entorno local de SWIFT.

ID: SWIFT CSCF v2022 6.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: la extensión de Log Analytics debe estar habilitada en las imágenes de máquina virtual enumeradas Notifica que las máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. AuditIfNotExists, Disabled 2.0.1-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
El registro de actividad debe conservarse durante al menos un año Esta directiva audita el registro de actividad si la retención no se estableció en 365 días o en siempre (días de retención establecidos en 0). AuditIfNotExists, Disabled 1.0.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales sin identidades Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado pero no tienen identidades administradas. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Agregar una identidad administrada asignada por el sistema para habilitar las asignaciones de configuración de invitado en máquinas virtuales con una identidad asignada por el usuario Esta directiva agrega una identidad administrada asignada por el sistema a las máquinas virtuales hospedadas en Azure que son compatibles con la configuración de invitado y que tienen al menos una identidad asignada por el usuario, pero no tienen ninguna identidad administrada asignada por el sistema. Una identidad administrada asignada por el sistema es un requisito previo para todas las asignaciones de configuración de invitado y debe agregarse a los equipos antes de usar las definiciones de directiva de la configuración de invitado. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. modify 4.1.0
Todos los recursos del registro de flujo deben estar en estado habilitado Audite los recursos del registro de flujo para comprobar si está habilitado el estado del registro de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.0.1
Las aplicaciones de App Service deben tener activados los registros de recursos Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. AuditIfNotExists, Disabled 2.0.1
Auditar funciones con privilegios CMA_0019: Auditar funciones con privilegios Manual, Deshabilitado 1.1.0
Auditar el estado de la cuenta de usuario CMA_0020: Auditar el estado de la cuenta de usuario Manual, Deshabilitado 1.1.0
Auditoría de máquinas virtuales sin la recuperación ante desastres configurada Audita las máquinas virtuales que no tienen configurada la recuperación ante desastres. Para más información acerca de la recuperación ante desastres, visite https://aka.ms/asr-doc. auditIfNotExists 1.0.0
Azure Backup debe estar habilitado para Virtual Machines. Asegúrese que Azure Virtual Machines está protegido; para ello, habilite Azure Backup. Azure Backup es una solución de protección de datos segura y rentable para Azure. AuditIfNotExists, Disabled 3.0.0
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
El perfil de registro de Azure Monitor debe recopilar los registros de las categorías "write", "delete" y "action" Esta directiva garantiza que un perfil de registro recopile registros para las categorías "write", "delete" y "action". AuditIfNotExists, Disabled 1.0.0
Los clústeres de registros de Azure Monitor se deben crear con el cifrado de infraestructura habilitado (cifrado doble) Para asegurarse de que el cifrado de datos seguro está habilitado en el nivel de servicio y en el nivel de infraestructura con dos algoritmos de cifrado diferentes y dos claves diferentes, use un clúster dedicado Azure Monitor. Esta opción está habilitada de forma predeterminada cuando se admite en la región; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys#customer-managed-key-overview. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los clústeres de registros de Azure Monitor se deben cifrar con una clave administrada por el cliente Cree un clúster de registros de Azure Monitor con cifrado de claves administradas por el cliente. De manera predeterminada, los datos de registro se cifran con claves administradas por el servicio, pero las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo. La clave administrada por el cliente en Azure Monitor proporciona un mayor control sobre el acceso a los datos; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Los registros de Azure Monitor para Application Insights deben vincularse a un área de trabajo de Log Analytics Vincule el componente de Application Insights a un área de trabajo de Log Analytics para el cifrado de los registros. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a los datos en Azure Monitor. La vinculación del componente a un área de trabajo de Log Analytics habilitada con una clave administrada por el cliente garantiza que los registros de Application Insights satisfacen este requisito de cumplimiento; consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
Azure Monitor debe recopilar los registros de actividad de todas las regiones Esta directiva audita el perfil de registro de Azure Monitor que no exporta actividades de todas las regiones admitidas de Azure, incluida la global. AuditIfNotExists, Disabled 2.0.0
Correlación de los registros de auditoría CMA_0087: Correlacionar los registros de auditoría Manual, Deshabilitado 1.1.0
Implementar la extensión de configuración de invitado de Windows para permitir las asignaciones de configuración de invitado en máquinas virtuales Windows Esta directiva implementa la extensión de configuración de invitado de Windows en las máquinas virtuales Windows hospedadas en Azure que son compatibles con la configuración de invitado. La extensión de configuración de invitado de Windows es un requisito previo para todas las asignaciones de configuración de invitado de Windows y debe implementarse en las máquinas antes de usar cualquier definición de directiva de configuración de invitado de Windows. Para más información sobre la configuración de invitado, visite https://aka.ms/gcpol. deployIfNotExists 1.2.0
Determinar eventos auditables CMA_0137: Determinar eventos auditables Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para la revisión de auditorías y la creación de informes CMA_0277: Establecer requisitos para la revisión de auditorías y la creación de informes Manual, Deshabilitado 1.1.0
Los registros de flujo se deben configurar para cada grupo de seguridad de red. Audite los grupos de seguridad de red para comprobar si se han configurado los registros de flujo. Habilitar los registros de flujo permite registrar información sobre el tráfico IP que fluye a través de un grupo de seguridad de red. Se puede utilizar para optimizar flujos de red, supervisar el rendimiento, comprobar el cumplimiento, detectar intrusiones y mucho más. Audit, Disabled 1.1.0
Integración de la revisión, el análisis y la creación de informes de auditoría CMA_0339: Integrar la revisión, el análisis y la creación de informes de auditoría Manual, Deshabilitado 1.1.0
Integración de Cloud App Security con una SIEM CMA_0340: Integrar Cloud App Security con una SIEM Manual, Deshabilitado 1.1.0
La extensión de Log Analytics debe estar habilitada en los conjuntos de escalado de máquinas virtuales para las imágenes de máquina virtual enumeradas Notifica que los conjuntos de escalado de máquinas virtuales no son compatibles si la imagen de máquina virtual no está en la lista definida y la extensión no está instalada. AuditIfNotExists, Disabled 2.0.1
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. AuditIfNotExists, Disabled 1.0.0
Los registros de flujo de Network Watcher deben tener habilitado el análisis de tráfico El análisis de tráfico analiza los registros de flujo para proporcionar información sobre el flujo de tráfico en su nube de Azure. Se puede usar para visualizar la actividad de red en las suscripciones a Azure e identificar zonas activas, detectar amenazas de seguridad, comprender los patrones de flujo de tráfico, identificar errores de configuración de red, etc. Audit, Disabled 1.0.1
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Ofrecimiento de alertas en tiempo real para los errores de eventos de auditoría CMA_C1114: Proporcionar alertas en tiempo real para los errores de eventos de auditoría Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Los registros de recursos de las cuentas de Batch deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Key Vault deben estar habilitados Habilitación de la auditoría de los registros de recursos. De esta forma, puede volver a crear seguimientos de actividad con fines de investigación en caso de incidentes de seguridad o riesgos para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Logic Apps deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.1.0
Los registros de recursos de los servicios Search deben estar habilitados. Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Los registros de recursos de Service Bus deben estar habilitados Habilitación de la auditoría de los registros de recursos. Esto le permite volver a crear seguimientos de actividad con fines de investigación en caso de incidente de seguridad o riesgo para la red. AuditIfNotExists, Disabled 5.0.0
Revisar los registros de aprovisionamiento de cuentas CMA_0460: Revisar los registros de aprovisionamiento de cuentas Manual, Deshabilitado 1.1.0
Revisión de las asignaciones del administrador semanalmente CMA_0461: Revisar las asignaciones del administrador de forma semanal Manual, Deshabilitado 1.1.0
Revisar los datos de auditoría CMA_0466: Revisar los datos de auditoría Manual, Deshabilitado 1.1.0
Revisión de la información general del informe de identidad en la nube CMA_0468: Revisar la información general del informe de identidad en la nube Manual, Deshabilitado 1.1.0
Revisión de eventos de acceso controlado a carpetas CMA_0471: Revisar eventos de acceso controlado a carpetas Manual, Deshabilitado 1.1.0
Revisión de los eventos de protección contra vulnerabilidades de seguridad CMA_0472: Revisar los eventos de protección contra vulnerabilidades de seguridad Manual, Deshabilitado 1.1.0
Revisión de la actividad de las carpetas y de los archivos CMA_0473: Revisar la actividad de las carpetas y de los archivos Manual, Deshabilitado 1.1.0
Revisión de los cambios de grupos de roles semanalmente CMA_0476: Revisar los cambios de grupos de roles semanalmente Manual, Deshabilitado 1.1.0
Las consultas guardadas de Azure Monitor deben guardarse en la cuenta de almacenamiento del cliente para el cifrado de registros Vincule la cuenta de almacenamiento al área de trabajo de Log Analytics para proteger las consultas guardadas con el cifrado de la cuenta de almacenamiento. Las claves administradas por el cliente suelen ser necesarias para satisfacer el cumplimiento normativo y para tener un mayor control sobre el acceso a las consultas guardadas en Azure Monitor. Para más información sobre lo anterior, consulte https://docs.microsoft.com/azure/azure-monitor/platform/customer-managed-keys?tabs=portal#customer-managed-key-for-saved-queries. audit, Audit, deny, Deny, disabled, Disabled 1.1.0
La cuenta de almacenamiento que contiene el contenedor con los registros de actividad debe estar cifrada con BYOK Esta directiva audita si la cuenta de almacenamiento que contiene el contenedor con los registros de actividad está cifrada con BYOK. Esta directiva solo funciona si la cuenta de almacenamiento se encuentra en la misma suscripción que los registros de actividad por diseño. Se puede encontrar más información sobre el cifrado de Azure Storage en reposo en https://aka.ms/azurestoragebyok. AuditIfNotExists, Disabled 1.0.0
La extensión de Log Analytics debe instalarse en Virtual Machine Scale Sets Esta directiva audita todo conjunto de escalado de máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1
Las máquinas virtuales deben tener la extensión de Log Analytics instalada Esta directiva audita todas las máquinas virtuales Windows o Linux si la extensión de Log Analytics no está instalada. AuditIfNotExists, Disabled 1.0.1

Detecte y contenga actividad de red anómala dentro del entorno SWIFT local o remoto.

ID: SWIFT CSCF v2022 6.5A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en máquinas virtuales Linux Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
[Versión preliminar]: el agente de recopilación de datos de tráfico de red debe instalarse en las máquinas virtuales Windows Security Center usa Microsoft Dependency Agent para recopilar datos del tráfico de red de sus máquinas virtuales de Azure y así poder habilitar características avanzadas de protección de red, como la visualización del tráfico en el mapa de red, las recomendaciones de refuerzo de la red y las amenazas de red específicas. AuditIfNotExists, Disabled 1.0.2-preview
Alertar al personal del volcado de información CMA_0007: alertar al personal del volcado de información Manual, Deshabilitado 1.1.0
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Se debe habilitar Azure Defender para App Service Azure Defender para App Service aprovecha la escalabilidad de la nube, y la visibilidad que ofrece Azure como proveedor de servicios en la nube, para supervisar si se producen ataques comunes a aplicaciones web. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para Key Vault Azure Defender para Key Vault proporciona un nivel de protección adicional de inteligencia de seguridad, ya que detecta intentos inusuales y potencialmente dañinos de obtener acceso a las cuentas de Key Vault o aprovechar sus vulnerabilidades de seguridad. AuditIfNotExists, Disabled 1.0.3
Se debe habilitar Azure Defender para servidores Azure Defender para servidores proporciona protección en tiempo real contra amenazas para las cargas de trabajo del servidor y genera recomendaciones de protección, así como alertas sobre la actividad sospechosa. AuditIfNotExists, Disabled 1.0.3
Detectar servicios de red que no se han autorizado o aprobado CMA_C1700: Detectar servicios de red que no se han autorizado o aprobado Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Se debe habilitar Microsoft Defender para Storage Microsoft Defender para Storage detecta amenazas potenciales para sus cuentas de almacenamiento. Ayuda a evitar los tres impactos principales en los datos y la carga de trabajo: cargas de archivos malintencionadas, filtración de datos confidenciales y datos dañados. El nuevo plan de Defender para Storage incluye Examen de malware y Detección de amenazas de datos confidenciales. Este plan también ofrece una estructura de precios predecible (por cuenta de almacenamiento) para controlar la cobertura y los costes. AuditIfNotExists, Disabled 1.0.0
Network Watcher debe estar habilitado Network Watcher es un servicio regional que permite supervisar y diagnosticar problemas en un nivel de escenario de red mediante Azure. La supervisión del nivel de escenario permite diagnosticar problemas en una vista de nivel de red de un extremo a otro. Es preciso que se haya creado un grupo de recursos de Network Watcher en todas las regiones en las que haya una red virtual. Si algún grupo de recursos de Network Watcher no está disponible en una región determinada, se habilita una alerta. AuditIfNotExists, Disabled 3.0.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0
Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización CMA_0495: Establecer notificaciones automáticas para las aplicaciones en la nube nuevas y las que están en tendencia en su organización Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

7. Planeamiento del uso compartido de información y respuesta a incidentes

Garantice un enfoque coherente y eficaz para la administración de incidentes cibernéticos.

ID: SWIFT CSCF v2022 7.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de problemas de seguridad de la información CMA_C1742: solucionar problemas de seguridad de la información Manual, Deshabilitado 1.1.0
La opción para enviar notificaciones por correo electrónico para alertas de gravedad alta debe estar habilitada. Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, habilite las notificaciones por correo electrónico de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 1.2.0
La opción para enviar notificaciones por correo electrónico al propietario de la suscripción en relación a alertas de gravedad alta debe estar habilitada. Para asegurarse de que los propietarios de suscripciones reciban una notificación cuando se produzca una vulneración de seguridad potencial en sus suscripciones, establezca notificaciones por correo electrónico a los propietarios de las suscripciones de alertas de gravedad alta en Security Center. AuditIfNotExists, Disabled 2.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0
Las suscripciones deben tener una dirección de correo electrónico de contacto para los problemas de seguridad Para asegurarse de que las personas pertinentes de la organización reciban una notificación cuando se produzca una vulneración de seguridad potencial en una de las suscripciones, establezca un contacto de seguridad para la recepción de notificaciones por correo electrónico de Security Center. AuditIfNotExists, Disabled 1.0.1

Asegúrese de que todo el personal sea consciente de sus responsabilidades de seguridad y cumpla sus responsabilidades mediante la realización de actividades de concienciación periódicas y el mantenimiento del conocimiento de seguridad del personal con acceso con privilegios.

ID: SWIFT CSCF v2022 7.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentación de las actividades de aprendizaje sobre seguridad y privacidad CMA_0198: Documentar las actividades de aprendizaje sobre seguridad y privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación periódica de reconocimiento de seguridad CMA_C1091: Proporcionar formación periódica de reconocimiento de seguridad Manual, Deshabilitado 1.1.0
Proporcionar entrenamiento sobre la privacidad CMA_0415: Proporcionar entrenamiento sobre la privacidad Manual, Deshabilitado 1.1.0
Ofrecimiento de los ejercicios prácticos basados en roles CMA_C1096: Proporcionar los ejercicios prácticos basados en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación basada en roles para las actividades sospechosas CMA_C1097: Proporcionar formación basada en roles para las actividades sospechosas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de sensibilización sobre seguridad contra amenazas internas CMA_0417: Proporcionar formación de sensibilización sobre seguridad contra amenazas internas Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad para usuarios nuevos CMA_0419: Proporcionar formación de seguridad para usuarios nuevos Manual, Deshabilitado 1.1.0
Ofrecimiento de formación actualizada en reconocimiento de la seguridad CMA_C1090: Proporcionar formación actualizada en reconocimiento de la seguridad Manual, Deshabilitado 1.1.0

Valide la configuración de seguridad operativa e identifique las brechas en la seguridad mediante pruebas de penetración.

ID: SWIFT CSCF v2022 7.3A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Empleo de un equipo independiente para pruebas de penetración CMA_C1171: Emplear un equipo independiente para pruebas de penetración Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores compilen una arquitectura de seguridad CMA_C1612: Requerir que los desarrolladores compilen una arquitectura de seguridad Manual, Deshabilitado 1.1.0

Evalúe el riesgo y la preparación de la organización en función de escenarios de ciberataques plausibles.

ID: SWIFT CSCF v2022 7.4A Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de una evaluación de riesgos CMA_C1543: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y distribuir sus resultados CMA_C1544: Realizar una evaluación de riesgos y distribuir sus resultados Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos y documentar sus resultados CMA_C1542: Realizar una evaluación de riesgos y documentar sus resultados Manual, Deshabilitado 1.1.0
Establecimiento de una estrategia de administración de riesgos CMA_0258: Establecer una estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Implementar la estrategia de administración de riesgos CMA_C1744: Implementar la estrategia de administración de riesgos Manual, Deshabilitado 1.1.0
Realización de una evaluación de riesgos CMA_0388: Realizar una evaluación de riesgos Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos de evaluación de riesgos CMA_C1537: Revisar y actualizar directivas y procedimientos de evaluación de riesgos Manual, Deshabilitado 1.1.0

8. Establecer y supervisar el rendimiento

Garantice la disponibilidad estableciendo y supervisando formalmente los objetivos a lograr.

ID: SWIFT CSCF v2022 8.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Obtención de opinión legal sobre la supervisión de las actividades del sistema CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Plan de continuidad de funciones empresariales esenciales CMA_C1255: Plan de continuidad de funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Ofrecimiento de información de supervisión según sea necesario CMA_C1689: Proporcionar información de supervisión según sea necesario Manual, Deshabilitado 1.1.0
Reanudación de todas las funciones empresariales y de misión CMA_C1254: Reanudar todas las funciones empresariales y de misión Manual, Deshabilitado 1.1.0

Garantice la disponibilidad, la capacidad y la calidad de los servicios a los clientes

ID: SWIFT CSCF v2022 8.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización del planeamiento de capacidad CMA_C1252: Realizar el planeamiento de capacidad Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Creación de acciones alternativas para las anomalías identificadas CMA_C1711: Crear acciones alternativas para las anomalías identificadas Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Notificación al personal de cualquier prueba de comprobación de seguridad con errores CMA_C1710: Notificar al personal cualquier prueba de comprobación de seguridad con errores Manual, Deshabilitado 1.1.0
Realización de una comprobación de la función de seguridad con una frecuencia definida CMA_C1709: Realizar una comprobación de la función de seguridad con una frecuencia definida Manual, Deshabilitado 1.1.0
Plan de continuidad de funciones empresariales esenciales CMA_C1255: Plan de continuidad de funciones empresariales esenciales Manual, Deshabilitado 1.1.0

Garantizar la disponibilidad anticipada de las versiones de SWIFTNet y de los estándares FIN para que el cliente realice las pruebas adecuadas antes de publicarse.

ID: SWIFT CSCF v2022 8.5 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Solución de vulnerabilidades de codificación CMA_0003: Solucionar vulnerabilidades de codificación Manual, Deshabilitado 1.1.0
Desarrollo y documentación de los requisitos de seguridad de las aplicaciones CMA_0148: Desarrollar y documentar los requisitos de seguridad de las aplicaciones Manual, Deshabilitado 1.1.0
Documentación del entorno del sistema de información en contratos de adquisición CMA_0205: Documentar el entorno del sistema de información en contratos de adquisición Manual, Deshabilitado 1.1.0
Establecimiento de un programa de desarrollo de software seguro CMA_0259: Establecer un programa de desarrollo de software seguro Manual, Deshabilitado 1.1.0
Realizar exámenes de vulnerabilidades CMA_0393: Realizar exámenes de vulnerabilidades Manual, Deshabilitado 1.1.0
Corregir errores del sistema de información CMA_0427: Corregir los errores del sistema de información Manual, Deshabilitado 1.1.0
Requerimiento a los desarrolladores de que documenten los cambios aprobados y su posible impacto CMA_C1597: Requerir a los desarrolladores que documenten los cambios aprobados y su posible impacto Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores implementen solo los cambios aprobados CMA_C1596: Requerir que los desarrolladores implementen solo los cambios aprobados Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores administren la integridad de los cambios CMA_C1595: Requerir que los desarrolladores administren la integridad de los cambios Manual, Deshabilitado 1.1.0
Requerimiento de que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad CMA_C1602: Requerir que los desarrolladores generen pruebas de la ejecución del plan de evaluación de seguridad Manual, Deshabilitado 1.1.0
Comprobar el software, el firmware y la integridad de la información CMA_0542: Comprobar el software, el firmware y la integridad de la información Manual, Deshabilitado 1.1.0

9. Garantizar la disponibilidad a través de la resistencia

Los proveedores deben garantizar que el servicio continúe disponible para los clientes en caso de que se produzca algún error de funcionamiento o alteración en el funcionamiento local.

ID: SWIFT CSCF v2022 9.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Desarrollo de directivas y procedimientos de planes de contingencia CMA_0156: Desarrollar directivas y procedimientos de planes de contingencia Manual, Deshabilitado 1.1.0
Distribución de directivas y procedimientos CMA_0185: Distribuir directivas y procedimientos Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre contingencias CMA_0412: Proporcionar formación sobre contingencias Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

Los proveedores deben asegurarse de que el servicio continúe disponible para los clientes en caso de desastres en el sitio.

ID: SWIFT CSCF v2022 9.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Realización de copias de seguridad de la documentación del sistema de información CMA_C1289: Realizar copias de seguridad de la documentación del sistema de información Manual, Deshabilitado 1.1.0
Creación de sitios de almacenamiento alternativos y primarios independientes CMA_C1269: Crear sitios de almacenamiento alternativos y primarios independientes Manual, Deshabilitado 1.1.0
Garantía de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario CMA_C1268: Asegurarse de que las protecciones alternativas del sitio de almacenamiento equivalen al sitio primario Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo que facilite las operaciones de recuperación CMA_C1270: Establecer un sitio de almacenamiento alternativo que facilite las operaciones de recuperación Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad CMA_C1267: Establecer un sitio de almacenamiento alternativo para almacenar y recuperar la información de la copia de seguridad Manual, Deshabilitado 1.1.0
Establecimiento de un sitio de procesamiento alternativo CMA_0262: Establecer un sitio de procesamiento alternativo Manual, Deshabilitado 1.1.0
Establecimiento de requisitos para los proveedores de servicios de Internet CMA_0278: Establecer requisitos para los proveedores de servicios de Internet Manual, Deshabilitado 1.1.0
Identificación y mitigación de posibles problemas en un sitio de almacenamiento alternativo CMA_C1271: Identificar y mitigar posibles problemas en un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0
Preparación del sitio de procesamiento alternativo para usarlo como sitio operativo CMA_C1278: Preparar el sitio de procesamiento alternativo para usarlo como sitio operativo Manual, Deshabilitado 1.1.0
Recuperación y reconstrucción de los recursos después de una interrupción CMA_C1295: Recuperar y reconstruir los recursos después de una interrupción Manual, Deshabilitado 1.1.1
Restauración de los recursos al estado operativo CMA_C1297: Restaurar los recursos al estado operativo Manual, Deshabilitado 1.1.1
Almacenamiento independiente de la información de copia de seguridad por separado CMA_C1293: Almacenar la información de copia de seguridad por separado Manual, Deshabilitado 1.1.0
Transferencia de la información de copia de seguridad a un sitio de almacenamiento alternativo CMA_C1294: Transferir la información de copia de seguridad a un sitio de almacenamiento alternativo Manual, Deshabilitado 1.1.0

La oficina del servicio debe garantizar que el servicio siga estando disponible para sus clientes en caso de que se produzca algún incidente, peligro o amenaza.

ID: SWIFT CSCF v2022 9.3 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollo y documentación de un plan de continuidad empresarial y recuperación ante desastres CMA_0146: Desarrollar y documentar un plan de continuidad empresarial y recuperación ante desastres Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Uso de iluminación de emergencia automática CMA_0209: Usar iluminación de emergencia automática Manual, Deshabilitado 1.1.0
Implementación de una metodología de pruebas de penetración CMA_0306: Implementar una metodología de pruebas de penetración Manual, Deshabilitado 1.1.0
Implementación de la seguridad física para las oficinas, áreas de trabajo y áreas seguras CMA_0323: Implementar la seguridad física para las oficinas, áreas de trabajo y áreas seguras Manual, Deshabilitado 1.1.0
Revisión y actualización de directivas y procedimientos físicos y ambientales CMA_C1446: Revisar y actualizar directivas y procedimientos físicos y ambientales Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0

ID: SWIFT CSCF v2022 9.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Autorización, supervisión y control de VoIP CMA_0025: Autorizar, supervisar y controlar VoIP Manual, Deshabilitado 1.1.0
Realización del planeamiento de capacidad CMA_C1252: Realizar el planeamiento de capacidad Manual, Deshabilitado 1.1.0
Implementación de protección de límites del sistema CMA_0328: Implementar protección de límites del sistema Manual, Deshabilitado 1.1.0
Administración de puertas de enlace CMA_0363: Administrar puertas de enlace Manual, Deshabilitado 1.1.0
Redirección del tráfico mediante puntos de acceso de red administrados CMA_0484: Redirigir el tráfico mediante puntos de acceso de red administrados Manual, Deshabilitado 1.1.0

10. Prepárese para los casos de desastres importantes

La continuidad empresarial se garantiza a través de un plan documentado que se comunica a las partes potencialmente afectadas (oficina de servicios y clientes).

ID: SWIFT CSCF v2022 10.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Coordinación de planes de contingencia con planes relacionados CMA_0086: Coordinar planes de contingencia con planes relacionados Manual, Deshabilitado 1.1.0
Desarrollo de un plan de contingencia CMA_C1244: Desarrollar un plan de contingencia Manual, Deshabilitado 1.1.0
Plan de continuidad de funciones empresariales esenciales CMA_C1255: Plan de continuidad de funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Plan para reanudar las funciones empresariales esenciales CMA_C1253: Plan para reanudar las funciones empresariales esenciales Manual, Deshabilitado 1.1.0
Reanudación de todas las funciones empresariales y de misión CMA_C1254: Reanudar todas las funciones empresariales y de misión Manual, Deshabilitado 1.1.0

11. Supervisar en caso de desastre importante

Garantice un enfoque coherente y eficaz para la supervisión y escalación de eventos.

ID: SWIFT CSCF v2022 11.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Obtención de opinión legal sobre la supervisión de las actividades del sistema CMA_C1688: Recibir opinión legal sobre la supervisión de las actividades del sistema Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Ofrecimiento de información de supervisión según sea necesario CMA_C1689: Proporcionar información de supervisión según sea necesario Manual, Deshabilitado 1.1.0
Habilitar sensores para la solución de seguridad de punto de conexión CMA_0514: Habilitar sensores para la solución de seguridad de punto de conexión Manual, Deshabilitado 1.1.0

Garantizar un enfoque coherente y eficaz para la administración de incidentes (administración de problemas).

ID: SWIFT CSCF v2022 11.2 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Evaluación de eventos de seguridad de la información CMA_0013: Evaluar eventos de seguridad de la información Manual, Deshabilitado 1.1.0
Realización de pruebas de respuesta a incidentes CMA_0060: Realizar pruebas de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Desarrollo de medidas de seguridad CMA_0161: Desarrollar medidas de seguridad Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de un programa de seguridad de la información CMA_0263: Establecer un programa de seguridad de la información Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación de clases de incidentes y acciones realizadas CMA_C1365: Identificar clases de incidentes y acciones realizadas Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Incorporación de los eventos simulados en la formación de respuesta a los incidentes CMA_C1356: Incorporar los eventos simulados en la formación de respuesta a los incidentes Manual, Deshabilitado 1.1.0
Mantenimiento de registros de vulneración de datos CMA_0351: Mantener registros de vulneración de datos Manual, Deshabilitado 1.1.0
Mantenimiento del plan de respuesta a incidentes CMA_0352: Mantener el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Protección del plan de respuesta a incidentes CMA_0405: Proteger el plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ofrecimiento de formación sobre la pérdida de información CMA_0413: Proporcionar formación sobre la pérdida de información Manual, Deshabilitado 1.1.0
Revisión y actualización de las directivas y procedimientos de respuesta a incidentes CMA_C1352: Revisar y actualizar las directivas y procedimientos de respuesta a incidentes Manual, Deshabilitado 1.1.0
Ejecución de los ataques de simulación CMA_0486: Ejecutar los ataques de simulación Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

Garantizar una escalación adecuada de los errores operativos en caso de impacto en el cliente.

ID: SWIFT CSCF v2022 11.4 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Automatización del proceso para documentar los cambios implementados CMA_C1195: Automatizar el proceso para documentar los cambios implementados Manual, Deshabilitado 1.1.0
Automatización del proceso para resaltar las propuestas de cambio no vistas CMA_C1193: Automatizar el proceso para resaltar las propuestas de cambio no vistas Manual, Deshabilitado 1.1.0
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecer y documentar los procesos de control de cambios CMA_0265: Establecer y documentar los procesos de control de cambios Manual, Deshabilitado 1.1.0
Establecimiento de los requisitos de administración de configuración para desarrolladores CMA_0270: Establecer los requisitos de administración de configuración para desarrolladores Manual, Deshabilitado 1.1.0
Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Realización de una auditoría para el control de cambios de configuración CMA_0390: Realizar auditoría para el control de cambios de configuración Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

Se ofrece soporte técnico eficaz a los clientes en caso de que se enfrentan a problemas durante su horario comercial.

ID: SWIFT CSCF v2022 11.5 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Desarrollar un plan de respuesta a incidentes CMA_0145: Desarrollar un plan de respuesta a incidentes Manual, Deshabilitado 1.1.0
Documentar operaciones de seguridad CMA_0202: Documentar operaciones de seguridad Manual, Deshabilitado 1.1.0
Habilitar la protección de red CMA_0238: Habilitar la protección de red Manual, Deshabilitado 1.1.0
Erradicación de la información contaminada CMA_0253: Erradicar la información contaminada Manual, Deshabilitado 1.1.0
Establecimiento de una relación entre la capacidad de respuesta a incidentes y los proveedores externos CMA_C1376: Establecer una relación entre la capacidad de respuesta a incidentes y los proveedores externos Manual, Deshabilitado 1.1.0
Ejecución de acciones en respuesta a los volcados de información CMA_0281: Ejecutar acciones en respuesta a los volcados de información Manual, Deshabilitado 1.1.0
Identificación del personal de respuesta a incidentes CMA_0301: Identificar el personal de respuesta a incidentes Manual, Deshabilitado 1.1.0
Implementación del control de incidentes CMA_0318: Implementar el control de incidentes Manual, Deshabilitado 1.1.0
Realizar un análisis de tendencias sobre amenazas CMA_0389: Realizar un análisis de tendencias sobre amenazas Manual, Deshabilitado 1.1.0
Vista e investigación de usuarios restringidos CMA_0545: Ver e investigar usuarios restringidos Manual, Deshabilitado 1.1.0

12. Asegúrese de que la información está disponible

Garantice la calidad del servicio a los clientes a través de empleados certificados de SWIFT.

ID: SWIFT CSCF v2022 12.1 Propiedad: Compartida

Nombre
(Azure Portal)
Descripción Efectos Versión
(GitHub)
Ofrecimiento de formación periódica de la seguridad basada en roles CMA_C1095: Proporcionar formación periódica de la seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad basada en roles CMA_C1094: Proporcionar formación de seguridad basada en roles Manual, Deshabilitado 1.1.0
Ofrecimiento de formación de seguridad antes de proporcionar acceso CMA_0418: Proporcionar formación de seguridad antes de proporcionar acceso Manual, Deshabilitado 1.1.0

Pasos siguientes

Artículos adicionales sobre Azure Policy: