Acerca de IBM Cloud Security Posture Management (CSPM)
En IBM Cloud, IBM Cloud® Security and Compliance Center Workload Protection se automatizan las comprobaciones de cumplimiento de IBM Cloud Framework for Financial Services, Digital Operational Resilience Act (DORA), CIS IBM Cloud Foundations Benchmark, PCI y muchas otras normas relacionadas con el sector o las mejores prácticas. Con un inventario detallado de sus recursos IBM Cloud y una priorización basada en el contexto completo, facilita la resolución y gestión de las infracciones recopiladas.
El módulo de postura Workload Protection admite la validación del cumplimiento en IBM Cloud, entornos multicloud (Amazon Web Services, Azure y Google Cloud), hosts internos, máquinas virtuales (VSIs para VPC, VMware, PowerVS y IBM Z con Linux), Kubernetes y OpenShift.
El módulo de postura aporta muchas funciones para su CSPM en sus entornos híbridos:
-
Visión unificada y centralizada para gestionar la seguridad y el cumplimiento de aplicaciones, cargas de trabajo e infraestructura que se ejecutan en IBM Cloud, en otros proveedores de nube y en las instalaciones, abarcando servicios gestionados, hosts, máquinas virtuales y contenedores y clústeres Kubernetes u OpenShift.
-
Muchos marcos predefinidos, como los de Servicios Financieros, PCI, DORA, CIS o NIST, permiten implantar y validar los controles necesarios para cumplir las normas y leyes del sector.
-
Inventario de todos sus activos en la nube (recursos informáticos, servicios gestionados, identidades y derechos) y hosts, máquinas virtuales, clústeres y todos los recursos Kubernetes o OpenShift, ya estén en la nube o en las instalaciones.
-
Un flujo de aceptación del riesgo para eliminar la infracción de los controles fallidos con opciones para el motivo y el periodo de expiración de la aceptación. El riesgo puede aceptarse a nivel de un recurso o globalmente para todos los recursos a partir de un control.
-
Instrucciones detalladas para corregir los controles defectuosos.
-
Posibilidad de crear políticas, controles y parámetros de control personalizados.
Políticas predefinidas disponibles para IBM Cloud CSPM en Workload Protection
Puede utilizar las siguientes directivas de postura para implementar CSPM en sus recursos IBM Cloud:
| Política | Descripción |
|---|---|
| Vías de protección de las TIC | Los guardarraíles de las TIC de IA proporcionan una lista predefinida de controles de infraestructura y datos, necesarios para gestionar las cargas de trabajo de IA e IA Generativa (GenAI). Estos controles incluyen elaboraciones específicas de IA a través de categorías de control como la gestión de riesgos y cumplimiento, la seguridad y el rendimiento de la infraestructura unificada, la protección de aplicaciones y cargas de trabajo, la protección de datos, la gestión de identidades y accesos, el registro y la supervisión. Esta lista de controles debe utilizarse junto con la línea de base de seguridad de la organización. |
| AI Security Guardrails 2.0 | AI Security Guardrails proporciona una lista de controles para toda la pila, incluidas las aplicaciones de IA, los modelos, los datos y las capas de infraestructura, necesarios para gestionar las cargas de trabajo de IA e IA GenerativaGenAI). Estos controles incluyen elaboraciones específicas de IA a través de categorías de control como Gobernanza de IA, Protección de aplicaciones de IA, Ciclo de vida del modelo de IA, Clasificación de datos y seguridad de infraestructuras y resistencia operativa. |
| Manual de seguridad de la información (ISM) 2022 del Gobierno australiano | La Plantilla de Matriz de Controles en la Nube está destinada a ser utilizada por los evaluadores del Programa de Evaluadores Registrados de Infosec (IRAP) para capturar la implementación de controles del Manual de Seguridad de la Información (ISM) por parte de un Proveedor de Servicios en la Nube (CSP). De este modo, la plantilla del MCP proporciona una orientación indicativa sobre el alcance de las evaluaciones de seguridad; no obstante, debe tenerse en cuenta que la orientación no es definitiva y que los evaluadores del IRAP deben interpretarla en el contexto de los servicios evaluados. La plantilla del MCP también recoge la capacidad de los consumidores para aplicar controles a los servicios creados a partir de los servicios de un CSP, identificando los casos en los que son responsables de configurar sus propios servicios de acuerdo con el MSI. |
| Norma BSI 200-1: Gestión de la seguridad de la información | La norma BSI 200-1, publicada por la Oficina Federal Alemana de Seguridad de la Información (BSI), ofrece directrices completas para establecer y mantener un sistema de gestión de la seguridad de la información (SGSI) eficaz. Describe los principios y prácticas fundamentales necesarios para identificar, gestionar y mitigar los riesgos para la seguridad de la información dentro de una organización. La norma está estructurada para ser aplicable en diversas industrias y sectores, garantizando que las organizaciones puedan proteger eficazmente sus activos de información, cumplir los requisitos legales y reglamentarios y mejorar su postura general en materia de seguridad. |
| C5:2020 (Catálogo de criterios de cumplimiento de la computación en nube) | El Catálogo de Controles de Cumplimiento de la Computación en la Nube (C5), creado por la Oficina Federal Alemana para la Seguridad de la Información (Bundesamt für Sicherheit in der Informationstechnik, o BSI) describe los requisitos que deben cumplir los proveedores de servicios en la nube para ofrecer un nivel mínimo de seguridad en sus servicios. |
| CCPA (Ley de Privacidad del Consumidor de California) | La Ley de Privacidad del Consumidor de California (CCPA) es una ley de privacidad de datos que proporciona a los consumidores californianos una serie de protecciones de la privacidad, incluido el derecho de acceso, eliminación y exclusión voluntaria de la "venta" de su información personal. A partir del 1 de enero de 2020, las empresas que recopilen información personal de residentes en California y alcancen determinados umbrales (por ejemplo, ingresos, volumen de tratamiento de datos) tendrán que cumplir estas obligaciones. |
| CIS IBM Cloud Fundamentos Benchmark | Valide que las configuraciones de sus recursos cumplen los requisitos básicos identificados por el Centro para la Seguridad en Internet. |
| Matriz de controles en la nube (CCM) de Cloud Security Alliance (CSA) | La Matriz de Controles en la Nube (CCM) de la CSA es un marco de control de la ciberseguridad para computing.It en la nube, compuesto por 197 objetivos de control estructurados en 17 dominios que cubren todos los aspectos clave de la tecnología en la nube. Puede utilizarse como herramienta para la evaluación sistemática de la implantación de una nube y ofrece orientación sobre qué controles de seguridad debe aplicar cada agente de la cadena de suministro de la nube. El marco de controles está alineado con la Guía de Seguridad para la Computación en la Nube de la CSA, y se considera una norma de facto para la garantía y el cumplimiento de la seguridad en la nube. |
| Ley de Resiliencia Operativa Digital (DORA)- Reglamento (UE) 2022/2554 | La Ley de Resiliencia Operativa Digital (Reglamento (UE) 2022/2554) resuelve un importante problema de la normativa financiera de la UE. Antes del DORA, las entidades financieras gestionaban las principales categorías de riesgo operativo principalmente con la asignación de capital, pero no gestionaban todos los componentes de la resistencia operativa. Después del DORA, también deben seguir las normas para las capacidades de protección, detección, contención, recuperación y reparación contra incidentes relacionados con las TIC. El DORA se refiere explícitamente al riesgo de las TIC y establece normas sobre gestión del riesgo de las TIC, notificación de incidentes, pruebas de resistencia operativa y supervisión del riesgo de las TIC frente a terceros. Este Reglamento reconoce que los incidentes relacionados con las TIC y la falta de resistencia operativa tienen la posibilidad de poner en peligro la solidez de todo el sistema financiero, incluso si existe un capital adecuado para las categorías de riesgo tradicionales. |
| Ley de Protección de Datos Personales Digitales (DPDP) | Ley que regula el tratamiento de datos personales digitales de forma que se reconozca tanto el derecho de las personas a proteger sus datos personales como la necesidad de tratar dichos datos personales con fines lícitos y para cuestiones relacionadas o accesorias a los mismos. |
| Esquema Nacional de Seguridad (ENS) Alta | Por disposición de una ley española, los ciudadanos españoles tienen derecho legal a acceder electrónicamente a los servicios de la Administración. Regido por el Real Decreto 3/2010, el Esquema Nacional de Seguridad (ENS) tiene como objetivo establecer una política de seguridad para el uso de los medios electrónicos. Incluidos los servicios de computación en nube, el ENS define principios básicos y requisitos mínimos para la protección de la información. |
| Línea de base alta FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) | Las agencias federales y los proveedores de servicios en la nube (CSP) deben implementar estos controles de seguridad, mejoras, parámetros y requisitos dentro de un entorno de computación en la nube para satisfacer los requisitos de FedRAMP. Los controles y mejoras de seguridad se han seleccionado del catálogo de controles NIST SP 800-53 Revisión 4. Los controles y mejoras seleccionados corresponden a los sistemas en nube designados como sistemas de información de alto impacto, tal como se definen en la publicación 199 de las Normas Federales de Procesamiento de la Información (FIPS). Los datos de alto impacto suelen encontrarse en los sistemas de las fuerzas de seguridad y los servicios de emergencia, los sistemas financieros, los sistemas sanitarios y cualquier otro sistema en el que la pérdida de confidencialidad, integridad o disponibilidad pueda tener un efecto adverso grave o catastrófico en las operaciones de la organización, los activos de la organización o las personas. FedRAMP introdujo su High Baseline para dar cuenta de los datos más sensibles y no clasificados del gobierno en entornos de computación en nube, incluidos los datos que implican la protección de la vida y la ruina financiera. |
| Línea de base de LI-SaaS FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) | Las agencias federales y los proveedores de servicios en la nube (CSP) deben implementar estos controles de seguridad, mejoras, parámetros y requisitos dentro de un entorno de computación en la nube para satisfacer los requisitos de FedRAMP. Los controles y mejoras de seguridad se han seleccionado del catálogo de controles NIST SP 800-53 Revisión 4. Los controles y mejoras seleccionados corresponden a los sistemas en nube designados como sistemas de información de bajo impacto, tal como se definen en la publicación 199 de las Normas Federales de Procesamiento de la Información (FIPS). FedRAMP Tailored se desarrolló para apoyar las soluciones de la industria que son de bajo riesgo y bajo costo para que las agencias las implementen y utilicen. Una política y unos requisitos adaptados proporcionan una vía más eficaz para los proveedores de software de bajo impacto como servicioLI-SaaS). La línea de base LI-SaaS tiene en cuenta las aplicaciones SaaS de bajo impacto que no almacenan información personal identificable (PII) más allá de la que se requiere generalmente para la capacidad de inicio de sesión (es decir, nombre de usuario, contraseña y dirección de correo electrónico). Se consolida la documentación de seguridad requerida y se reduce el número necesario de controles de seguridad que necesitan pruebas y verificación en relación con una autorización estándar de línea de base baja. Mientras que todos los requisitos identificados en la línea de base baja FedRAMP son requeridos, FedRAMP Tailored identifica aquellos requisitos que típicamente satisface un cliente LI-SaaS, o proveedor de servicios subyacente, permitiendo al proveedor enfocarse sólo en los requisitos relevantes. Además, FedRAMP Tailored permite a las agencias validar independientemente sólo los más importantes de estos requisitos. |
| FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) Línea de base baja | Las agencias federales y los proveedores de servicios en la nube (CSP) deben implementar estos controles de seguridad, mejoras, parámetros y requisitos dentro de un entorno de computación en la nube para satisfacer los requisitos de FedRAMP. Los controles y mejoras de seguridad se han seleccionado del catálogo de controles NIST SP 800-53 Revisión 4. Los controles y mejoras seleccionados corresponden a los sistemas en nube designados como sistemas de información de bajo impacto, tal como se definen en la publicación 199 de las Normas Federales de Procesamiento de la Información (FIPS). El impacto bajo es el más apropiado para las OSC en las que la pérdida de confidencialidad, integridad y disponibilidad tendría efectos adversos limitados sobre las operaciones, los activos o las personas de un organismo. FedRAMP tiene actualmente dos líneas de base para sistemas con datos de Bajo Impacto: LI-SaaS Baseline y Low Baseline. |
| Línea de base moderada FedRAMP (Programa Federal de Gestión de Riesgos y Autorizaciones) | Las agencias federales y los proveedores de servicios en la nube (CSP) deben implementar estos controles de seguridad, mejoras, parámetros y requisitos dentro de un entorno de computación en la nube para satisfacer los requisitos de FedRAMP. Los controles y mejoras de seguridad se han seleccionado del catálogo de controles NIST SP 800-53 Revisión 4. Los controles y mejoras seleccionados corresponden a los sistemas en nube designados como sistemas de información de impacto moderado, tal como se definen en la publicación 199 de las Normas Federales de Procesamiento de la Información (FIPS). Los sistemas de impacto moderado representan casi el 80% de las aplicaciones CSP que reciben autorización FedRAMP y son los más apropiados para las CSO en las que la pérdida de confidencialidad, integridad y disponibilidad provocaría efectos adversos graves en las operaciones, los activos o las personas de un organismo. Los efectos adversos graves podrían incluir daños operativos significativos a los activos de la agencia, pérdidas financieras o daños individuales que no sean pérdida de vida o física. |
| Reglamento general de protección de datos GDPR | Bienvenido a gdpr-info.eu. Aquí puede encontrar el PDF oficial del Reglamento (UE) 2016/679 (Reglamento general de protección de datos) en la versión actual del DO L 119 de 04.05.2016; cor. DO L 127 de 23.5.2018 como página web ordenada. Todos los artículos del RGPD están vinculados a los considerandos correspondientes. El Reglamento Europeo de Protección de Datos es aplicable desde el 25th mayo de 2018 en todos los estados miembros para armonizar las leyes de privacidad de datos en toda Europa. Si la página le resulta útil, no dude en apoyarnos compartiendo el proyecto. |
| Norma de seguridad de la HIPAA (Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios) | La Norma de Seguridad de la Ley de Portabilidad y Responsabilidad de los Seguros Sanitarios (HIPAA) trata específicamente de la Información Electrónica Protegida sobre la Salud (EPHI). Establece tres tipos de salvaguardias de seguridad necesarias para el cumplimiento: administrativas, físicas y técnicas. Para cada uno de estos tipos, la norma identifica varias normas de seguridad, y para cada norma, nombra tanto las especificaciones de implementación requeridas como las abordables. Las especificaciones requeridas deben adoptarse y administrarse tal como dicta la Norma. Las especificaciones direccionables son más flexibles. Las entidades cubiertas individuales pueden evaluar su propia situación y determinar la mejor manera de aplicar las especificaciones direccionables. |
| HITRUST CSF (Marco Común de Seguridad) | El CSF de HITRUST proporciona la estructura, la transparencia, la orientación y las referencias cruzadas a fuentes autorizadas que las organizaciones de todo el mundo necesitan para estar seguras de su cumplimiento en materia de protección de datos. El desarrollo inicial del CSF de HITRUST aprovechó normativas, estándares y marcos relacionados con la seguridad y la privacidad aceptados a nivel nacional e internacional -incluidos ISO, NIST, PCI, HIPAA y GDPR- para garantizar un conjunto completo de controles de seguridad y privacidad, e incorpora continuamente fuentes autorizadas adicionales. El HITRUST CSF normaliza estos requisitos, aportando claridad y coherencia y reduciendo la carga que supone su cumplimiento. |
| IBM Cloud Marco para los servicios financieros | IBM Cloud for Financial Services™ es una plataforma abierta que reúne a proveedores independientes de software (ISV), proveedores de software como
servicio (SaaS) e instituciones de servicios financieros en un único ecosistema. En esta plataforma segura en la nube, puede desarrollar y compartir rápidamente aplicaciones, API, datos y contenidos innovadores para satisfacer las necesidades
empresariales exclusivas de su entidad financiera.
A través del IBM Cloud Framework for Financial Services, puede acceder a un conjunto unificado de controles de seguridad y cumplimiento normativo, que se construyó específicamente para y con el sector de los servicios financieros. Para abordar sus necesidades cambiantes como institución financiera, IBM valida continuamente estos controles con Consejos globales de CSO, CTO y CIO de los principales bancos, proveedores de seguros y asesores reguladores. El perfil IBM Cloud para Servicios Financieros le proporciona un conjunto de objetivos automatizados preconfigurados que se asignan a los IBM Cloud Framework for Financial Services requisitos de control. Los resultados de estas pruebas le ayudarán a validar el cumplimiento cuando utilice una de las arquitecturas de referencia para la IBM Cloud de Servicios Financieros. |
| ISMAP (Programa de gestión y evaluación de la seguridad de los sistemas de información) | El Programa de Gestión y Evaluación de la Seguridad de los Sistemas de Información (ISMAP) tiene como objetivo garantizar el nivel de seguridad de la contratación de servicios en nube por parte de la Administración, evaluando y registrando de antemano los servicios en nube que cumplen los requisitos de seguridad de la Administración, contribuyendo así a la introducción sin problemas de los servicios en nube. |
| MITRE ATT&CK para empresas | MITRE ATT&CK® es una base de conocimientos de acceso global sobre tácticas y técnicas de los adversarios basada en observaciones del mundo real. La base de conocimientos ATT&CK se utiliza como fundamento para el desarrollo de modelos y metodologías de amenazas específicas en el sector privado, en la administración pública y en la comunidad de productos y servicios de ciberseguridad. |
| MITRE DEFEND | En los proyectos realizados para nuestros patrocinadores, nos hemos encontrado repetidamente con la necesidad de un modelo que pueda especificar con precisión los componentes y capacidades de las contramedidas de ciberseguridad. Además, es necesario que los profesionales sepan no sólo qué amenazas pretende abordar una capacidad, sino específicamente cómo se abordan esas amenazas desde una perspectiva de ingeniería, y en qué circunstancias funcionaría la solución. Este conocimiento es esencial para estimar la aplicabilidad operativa, identificar los puntos fuertes y débiles y desarrollar soluciones empresariales que comprendan múltiples capacidades. Para abordar esta necesidad recurrente a corto plazo, hemos creado D3FEND, un marco en el que codificamos una base de conocimientos sobre contramedidas, pero más concretamente, un grafo de conocimientos. El gráfico contiene tipos y relaciones semánticamente rigurosos que definen tanto los conceptos clave en el ámbito de las contramedidas de ciberseguridad como las relaciones necesarias para vincular esos conceptos entre sí. Fundamentamos cada uno de los conceptos y relaciones en referencias concretas de la literatura sobre ciberseguridad. |
| Directiva NIS2 (Directiva sobre medidas para un elevado nivel común de ciberseguridad en toda la Unión) | Directiva (UE) 2022/2555 del Parlamento Europeo y del Consejo, de 14 de diciembre de 2022, relativa a medidas para un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) n.º 910/2014 y la Directiva (UE) 2018/1972, y por la que se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2). |
| Marco de Ciberseguridad del NIST (CSF) | Esta publicación es el resultado de un esfuerzo continuo de colaboración entre la industria, el mundo académico y la Administración. El Instituto Nacional de Normas y Tecnología (NIST) puso en marcha el proyecto convocando a organizaciones y particulares de los sectores público y privado en 2013. Publicado en 2014 y revisado durante 2017 y 2018, este Marco para mejorar la ciberseguridad de las infraestructuras críticas se ha basado en ocho talleres públicos, múltiples solicitudes de comentarios o información y miles de interacciones directas con partes interesadas de todos los sectores de Estados Unidos junto con muchos sectores de todo el mundo. |
| NIST SP 800-53 (Controles de seguridad y privacidad para sistemas de información y organizaciones) | Una política de cumplimiento que proporciona un catálogo de controles de seguridad y privacidad para que los sistemas de información y las organizaciones protejan las operaciones y los activos de la organización, a las personas, a otras organizaciones y a la Nación de un conjunto diverso de amenazas y riesgos, incluidos ataques hostiles, errores humanos, desastres naturales, fallos estructurales, entidades de inteligencia extranjeras y riesgos para la privacidad. Los controles son flexibles y personalizables, y se aplican como parte de un proceso de gestión de riesgos en toda la organización. Los controles abordan diversos requisitos derivados de la misión y las necesidades empresariales, leyes, órdenes ejecutivas, directivas, reglamentos, políticas, normas y directrices. Por último, el catálogo consolidado de controles aborda la seguridad y la privacidad desde la perspectiva de la funcionalidad (es decir, la solidez de las funciones y los mecanismos que proporcionan los controles) y desde la perspectiva de la garantía (es decir, la medida de confianza en la capacidad de seguridad o privacidad que proporcionan los controles). Abordar la funcionalidad y la garantía ayuda a garantizar que los productos de tecnología de la información y los sistemas que dependen de esos productos son suficientemente fiables. |
| PCI DSS (Payment Card Industry Data Security Standard) v4.0.0 | La Norma de Seguridad de Datos del Sector de Tarjetas de Pago (PCI DSS) se desarrolló para fomentar y mejorar la seguridad de los datos de las cuentas de tarjetas de pago y facilitar la adopción generalizada de medidas coherentes de seguridad de datos a escala mundial. PCI DSS proporciona una base de requisitos técnicos y operativos diseñados para proteger los datos de las cuentas. Aunque está diseñado específicamente para centrarse en entornos con datos de cuentas de tarjetas de pago, el PCI DSS también puede utilizarse para protegerse contra amenazas y asegurar otros elementos del ecosistema de pagos. |
| Marco del RBI | El uso de las tecnologías de la información por parte de los bancos y sus componentes ha crecido rápidamente y ahora forma parte integrante de las estrategias operativas de los bancos. El Banco de Reserva había proporcionado directrices sobre seguridad de la información, banca electrónica, gestión de riesgos tecnológicos y fraudes cibernéticos (ComitéG.Gopalakrishna ") mediante la Circular " DBS.CO.ITC.BC.No.6/31.02.008/2010-11 de 29 de abril de 2011, en la que se indicaba que las medidas sugeridas para su aplicación no pueden ser estáticas y que los bancos deben crear, perfeccionar y modificar de forma proactiva sus políticas, procedimientos y tecnologías en función de los nuevos desarrollos y preocupaciones emergentes. |
| Ley SEBI (Junta de Valores y Bolsa de la India) | Ley para la creación de una Junta que proteja los intereses de los inversores en valores mobiliarios y promueva el desarrollo y la regulación del mercado de valores mobiliarios, así como para asuntos relacionados con la misma. |
| SOC 2 | SOC 2 es una norma de cumplimiento voluntario para organizaciones de servicios, desarrollada por el Instituto Americano de CPA (AICPA). Su objetivo es garantizar la seguridad y privacidad de los datos de los usuarios. Esboza los cinco principios de los servicios de confianza: seguridad, disponibilidad, integridad del tratamiento, confidencialidad y privacidad de los datos de los clientes como marco para salvaguardar los datos. SOC 2 se aplica a cualquier proveedor de servicios tecnológicos o SaaS que maneje o almacene datos de clientes. Los terceros proveedores, otros socios u organizaciones de apoyo con los que trabajen esas empresas también deben mantener la conformidad SOC 2 para garantizar la integridad de sus sistemas de datos y salvaguardias. |
El resto de políticas de postura se aplican a otros entornos como AWS, Azure, GCP, Kubernetes, OpenShift, o hosts.
Próximos pasos
Para sacar el máximo partido a Workload Protection habilite CSPM siguiendo los pasos descritos en Implementación de CSPM(Cloud Security Posture Management)para IBM Cloud utilizando la UI y la CLI.