Evaluar y registrar el cumplimiento de los estándares de seguridad

Puedes usar Security Command Center para evaluar tu Google Cloud entorno en comparación con varios marcos normativos.

Security Command Center monitoriza tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center comprueba un subconjunto de los controles. En el caso de los controles marcados, Security Command Center te muestra cuántos se han superado. En el caso de los controles que no se superan, Security Command Center muestra una lista de resultados que describen los fallos de los controles.

El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la prueba comparativa Foundations de CIS Google Cloud . Se incluyen asignaciones de cumplimiento adicionales únicamente con fines de referencia.

Security Command Center añade periódicamente compatibilidad con nuevas versiones y estándares de comparativas. Las versiones anteriores siguen siendo compatibles, pero con el tiempo quedarán obsoletas. Te recomendamos que utilices la métrica o el estándar más recientes que se admitan.

Con el servicio de postura de seguridad, puedes asignar políticas de la organización y detectores de Security Health Analytics a los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes monitorizar cualquier cambio en el entorno que pueda afectar al cumplimiento de tu empresa.

Con Compliance Manager (vista previa), puedes desplegar marcos que asignen controles normativos a controles en la nube. Una vez que hayas creado un marco de trabajo, podrás monitorizar los cambios que se produzcan en el entorno que puedan afectar al cumplimiento de los requisitos y auditar tu entorno.

Estándares de seguridad admitidos

Google Cloud

Security Command Center asigna detectores de Google Cloud a uno o varios de los siguientes estándares de cumplimiento:

• Controles 8.0 del Centro de Seguridad de la Información (CIS)
• Comparativa Google Cloud Computing Foundations de CIS versiones 2.0.0, 1.3.0, 1.2.0, 1.1.0 y 1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Ley de Transferencia y Responsabilidad de los Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 y R4
• Framework de ciberseguridad (CSF) 1.0 del Instituto Nacional de Normas y Tecnología de Estados Unidos (NIST)
• Las diez principales vulnerabilidades de seguridad de aplicaciones web del proyecto abierto de seguridad de aplicaciones web (OWASP) en el 2021 y el 2017
• Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) 4.0 y 3.2.1
• Controles de sistemas y de organización (SOC) 2 Criterios de servicios de confianza (TSC) del 2017

AWS

Security Command Center asigna detectores de Amazon Web Services (AWS) a uno o varios de los siguientes estándares de cumplimiento:

• Versión 2.0.0 de CIS Amazon Web Services Foundations
• Versión 8.0 de los controles de seguridad críticos del CIS
• Cloud Controls Matrix (CCM) 4
• Ley de Transferencia y Responsabilidad de los Seguros Médicos de EE. UU. (Health Insurance Portability and Accountability Act, HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022
• Instituto Nacional de Normas y Tecnología (NIST) 800-53 R5
• Instituto Nacional de Normas y Tecnología de EE. UU. (NIST) Marco de ciberseguridad (CSF) 1.0
• Estándar de seguridad de datos del sector de las tarjetas de pago (PCI DSS) 4.0 y 3.2.1
• Controles de sistemas y de organización (SOC) 2 Criterios de servicios fiables (TSC) del 2017

Detectores y resultados como controles de cumplimiento

Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para comprobar si hay vulnerabilidades y errores de configuración en tu entorno de nube.

Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Una detección es un registro de una vulnerabilidad u otro problema de seguridad que incluye información como la siguiente:

• Una descripción de la vulnerabilidad

• Una recomendación para solucionar la vulnerabilidad que permitiría que el control cumpla los requisitos

• El ID numérico del control que corresponde al resultado

• Pasos recomendados para solucionar la vulnerabilidad

No todos los controles de un estándar se pueden asignar a las detecciones de Security Command Center, normalmente porque algunos controles no se pueden automatizar, pero también puede haber otros motivos. Por lo tanto, el número total de controles que comprueba Security Command Center suele ser inferior al número total de controles que define un estándar.

El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de CIS Google Cloud Foundations Benchmark. Se incluyen asignaciones de cumplimiento adicionales únicamente con fines de referencia.

Para obtener más información sobre los resultados de Security Health Analytics y Web Security Scanner, así como sobre la asignación entre los detectores compatibles y los estándares de cumplimiento, consulta el artículo sobre resultados de vulnerabilidades.

Evalúa el cumplimiento en tu entorno de nube

Puede ver de un vistazo el nivel de cumplimiento de su entorno de nube con un estándar de seguridad determinado en los siguientes lugares:

• La página Cumplimiento de la consola de Google Cloud .
• La página Resumen de riesgos de la consola de operaciones de seguridad. En esta página se muestra un resumen de los principales riesgos detectados en tus entornos de nube, incluido el cumplimiento.

Cada estándar de seguridad muestra el porcentaje de controles que lo componen que reciben una calificación aprobatoria en el ámbito seleccionado, ya sea a nivel de organización, carpeta o proyecto.

El lugar en el que se haya activado Security Command Center influye en lo que se muestra:

• A nivel de proyecto: solo puedes ver las estadísticas de cumplimiento del proyecto activado. Si cambias a una carpeta u organización a la que pertenece el proyecto en la Google Cloud consola, no se mostrará la página Cumplimiento.

• A nivel de organización: si cambias a la organización activada en la Google Cloud consola, la página Cumplimiento muestra estadísticas de cumplimiento de toda la organización, incluidas sus carpetas y proyectos.

  Para ver las estadísticas de cumplimiento de carpetas y proyectos concretos de esa organización, cambia a ese nivel de recurso en la Google Cloud consola.

Los informes de cumplimiento se generan a diario. Los informes pueden tener una antigüedad de 24 horas y es posible que no se muestren si no se han podido generar.

Evaluar el cumplimiento en la consola de Google Cloud

1. Ve a la página Cumplimiento de la consola de Google Cloud .

   Ir a Cumplimiento

2. Selecciona el proyecto, la carpeta o la organización de los que quieras ver el cumplimiento.

3. Haz clic en Ver detalles en una de las tarjetas de estándares para abrir la página Detalles de cumplimiento.

En esta página, puedes hacer lo siguiente:

• Consulta el cumplimiento de un estándar concreto en una fecha determinada.

• Cambia el estándar de cumplimiento del que quieres ver los detalles.

• Exporta un informe de los detalles de cumplimiento a un archivo CSV.

• Monitoriza el progreso del cumplimiento a lo largo del tiempo con un gráfico de tendencias.

• Amplía los controles de los estándares de seguridad para ver las reglas que los componen y la gravedad de las reglas.

• Haga clic en las reglas para ver los resultados de los recursos que no cumplen los requisitos y solucionar los problemas cuando sea necesario. Para obtener información sobre cómo corregir los resultados, consulta los artículos Corregir resultados de Security Health Analytics y Corregir resultados de Web Security Scanner.