Evalúa y informa el cumplimiento de los estándares de seguridad

Security Command Center supervisa tu cumplimiento con detectores que se asignan a los controles de una amplia variedad de estándares de seguridad.

Para cada estándar de seguridad admitido, Security Command Center verifica un subconjunto de los controles. En el caso de los controles verificados, Security Command Center te muestra cuántos se aprobaron. En el caso de los controles que no se aprueban, Security Command Center te muestra una lista de hallazgos que describen las fallas de los controles.

El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa de CIS Foundations. Google Cloud Las asignaciones de cumplimiento adicionales se incluyen solo con fines de referencia.

Security Command Center agrega compatibilidad con nuevas versiones de comparativas y estándares de forma periódica. Las versiones anteriores siguen siendo compatibles, pero, con el tiempo, se marcan como obsoletas. Te recomendamos que uses la comparativa o el estándar más reciente disponible.

Con el servicio de posición de seguridad, puedes correlacionar las políticas de la organización y los detectores de Security Health Analytics con los estándares y controles que se aplican a tu empresa. Después de crear una postura de seguridad, puedes supervisar cualquier cambio en el entorno que pueda afectar el cumplimiento de tu empresa.

Estándares de seguridad admitidos

Google Cloud

Security Command Center asigna los detectores de Google Cloud a uno o más de los siguientes estándares de cumplimiento:

• Controles 8.0 del Center for Information Security (CIS)
• Comparativa de CIS Google Cloud Computing Foundations v2.0.0, v1.3.0, v1.2.0, v1.1.0 y v1.0.0
• CIS Kubernetes Benchmark v1.5.1
• Cloud Controls Matrix (CCM) 4
• Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022 y 2013
• National Institute of Standards and Technology (NIST) 800-53 R5 y R4
• Marco de seguridad cibernética (CSF) 1.0 del Instituto Nacional de Estándares y Tecnología (NIST)
• Open Web Application Security Project (OWASP) Top Ten, 2021 y 2017
• Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
• Controles de la organización y el sistema (SOC) 2 Criterios de Trust Services (TSC) de 2017

AWS

Security Command Center asigna detectores para Amazon Web Services (AWS) a uno o más de los siguientes estándares de cumplimiento:

• CIS Amazon Web Services Foundations 2.0.0
• CIS Critical Security Controls, versión 8.0
• Cloud Controls Matrix (CCM) 4
• Ley de Responsabilidad y Portabilidad de Seguros Médicos (HIPAA)
• Organización Internacional de Normalización (ISO) 27001, 2022
• Instituto Nacional de Estándares y Tecnología (NIST) 800-53 R5
• Instituto Nacional de Estándares y Tecnología (NIST) Marco de seguridad cibernética (CSF) 1.0
• Normas de Seguridad de Datos de la Industria de Tarjetas de Pago (PCI DSS) 4.0 y 3.2.1
• Controles de la organización y el sistema (SOC) 2 Criterios de servicios de confianza (TSC) de 2017

Detectores y resultados como controles de cumplimiento

Los servicios de detección de Security Command Center, como Security Health Analytics y Web Security Scanner, usan módulos de detección (detectores) para verificar si hay vulnerabilidades y errores de configuración en tu entorno de nube.

Cuando se encuentra una vulnerabilidad, el detector genera un hallazgo. Un hallazgo es un registro de una vulnerabilidad o de otro problema de seguridad que incluye información como la siguiente:

• Una descripción de la vulnerabilidad

• Recomendación para abordar la vulnerabilidad que haría que el control cumpla con los requisitos

• ID numérico del control que corresponde al hallazgo

• Pasos recomendados para corregir la vulnerabilidad

No todos los controles de un estándar se pueden correlacionar con los hallazgos de Security Command Center, por lo general, porque ciertos controles no se pueden automatizar, pero posiblemente por otros motivos. Por lo tanto, la cantidad total de controles que Security Command Center verifica suele ser menor que la cantidad total de controles que define un estándar.

El CIS revisa y certifica las asignaciones de los detectores de Security Command Center a cada versión compatible de la comparativa de CIS Google Cloud Foundations Benchmark. Las asignaciones de cumplimiento adicionales se incluyen solo con fines de referencia.

Para obtener más información sobre los resultados de las estadísticas del estado de seguridad y de Web Security Scanner, y el mapeo entre los detectores compatibles y los estándares de cumplimiento, consulta los resultados de las vulnerabilidades.

Evalúa el cumplimiento en tu entorno de nube

En los siguientes lugares, puedes ver de un vistazo el nivel de cumplimiento de tu entorno de nube con un estándar de seguridad determinado:

• La página Cumplimiento en la consola de Google Cloud
• La página Resumen de > riesgos en la consola de Operaciones de seguridad. En esta página, se muestra un resumen de los principales riesgos que se encontraron en tus entornos de nube, incluido el cumplimiento.

Cada estándar de seguridad muestra un porcentaje de cuántos de sus controles constituyentes reciben una calificación aprobatoria en el alcance seleccionado, ya sea a nivel de la organización, la carpeta o el proyecto.

El lugar donde se activó Security Command Center afecta lo que se muestra:

• A nivel del proyecto: Solo puedes ver las estadísticas de cumplimiento del proyecto activado. Si cambias a una carpeta o una organización a la que pertenece el proyecto en la consola de Google Cloud , no se mostrará la página Cumplimiento.

• A nivel de la organización: Si cambias a la organización activada en la consola de Google Cloud , la página Cumplimiento muestra las estadísticas de cumplimiento de toda la organización, incluidas sus carpetas y proyectos.

  Para ver las estadísticas de cumplimiento de las carpetas y los proyectos individuales dentro de esa organización, cambia a ese nivel de recurso en la consola de Google Cloud .

Los informes de cumplimiento se generan a diario. Los informes pueden estar desactualizados durante 24 horas y es posible que falten si no se pudieron generar.

Evalúa el cumplimiento en la consola de Google Cloud

1. Ve a la página Cumplimiento en la consola de Google Cloud .

   Ir a cumplimiento

2. Selecciona el proyecto, la carpeta o la organización para los que deseas ver el cumplimiento.

3. Haz clic en Ver detalles en una de las tarjetas de estándares para abrir su página Detalles de cumplimiento.

En esta página, puedes hacer lo siguiente:

• Consulta el cumplimiento con el estándar seleccionado en una fecha específica.

• Cambia el estándar de cumplimiento del que estás viendo los detalles.

• Exporta un informe de los detalles de cumplimiento a un archivo CSV.

• Haz un seguimiento del progreso del cumplimiento a lo largo del tiempo con un gráfico de tendencias.

• Expande los controles de estándares de seguridad para ver sus reglas constituyentes y la gravedad de las reglas.

• Haz clic en las reglas para ver los resultados de los recursos que no cumplen con las normas y corregir los problemas cuando corresponda. Para obtener información sobre cómo solucionar los problemas detectados, consulta Soluciona los problemas de las estadísticas del estado de seguridad y Soluciona los problemas de los resultados de Web Security Scanner.