Comprender las políticas de cumplimiento de CIS

La función de cumplimiento ayuda a adherirse a configuraciones base específicas para los endpoints con el fin de mejorar la seguridad y cumplir con los requisitos normativos. Cada política de cumplimiento es una colección de reglas, basada en estándares aceptados globalmente y directrices de mejores prácticas para configuraciones de seguridad, que puede utilizarse para auditar sus endpoints y el software que se ejecuta en ellos, con el fin de comprender y mejorar su postura de seguridad. La primera línea de defensa contra los ciberataques es garantizar que las configuraciones de seguridad fundamentales se implementen y mantengan en sus endpoints. El módulo de cumplimiento de Endpoint Central le ayuda en ese objetivo al auditar regularmente el cumplimiento de las configuraciones de sus sistemas con respecto a estándares conocidos como los benchmarks de CIS y al proporcionar pasos detallados para ayudarle a cumplirlos.

Se aplica a:

• Windows
• Linux

Políticas de CIS

El Center for Internet Security (CIS) desarrolla benchmarks para una variedad de applicationes, sistemas operativos, servidores y bases de datos mediante un proceso único basado en consenso que involucra a una comunidad de profesionales de ciberseguridad y expertos en la materia de todo el mundo. Los benchmarks de CIS contienen estándares y mejores prácticas para ajustar con precisión las configuraciones de seguridad de un sistema objetivo. Los Benchmarks de CIS son utilizados por organizaciones de todo el mundo y de todos los sectores para cumplir objetivos de seguridad y cumplimiento. Además, las recomendaciones de configuración detalladas en PCI DSS (Estándar de Seguridad de Datos para la Industria de Tarjetas de Pago), HIPPA (Ley de Portabilidad y Responsabilidad del Seguro Médico), FISMA (Ley Federal de Gestión de la Seguridad de la Información) y otros marcos regulatorios se alinean con los benchmarks de CIS y los señalan como el estándar definitivo.

Las políticas CIS listas para usar de Endpoint Central son derivaciones directas de los benchmarks de CIS más recientes y están oficialmente certificadas por CIS para su uso en auditorías. Las certificaciones se obtienen al enviar casos de prueba para todas las reglas (recomendaciones de configuración) dentro de cada benchmark para su validación por parte del personal de CIS. Con la función de cumplimiento CIS de Endpoint Central, las configuraciones de seguridad de los endpoints pueden evaluarse para verificar su cumplimiento con las reglas de las políticas CIS, y se recomiendan acciones de remediación para cada infracción. A cada regla de la política se le asigna un perfil. El perfil indica el nivel de seguridad de la configuración recomendada.

• El nivel de perfil 1 (L1) indica la recomendación mínima de configuración y, por lo general, se considera segura para aplicarse a la mayoría de los sistemas, sin un impacto extenso en el rendimiento. Las políticas con etiqueta de perfil de nivel 1 contienen solo recomendaciones o reglas de configuración de nivel 1.
• El nivel de perfil 2 (L2) se considera de defensa en profundidad, e incluye recomendaciones de configuración para entornos altamente seguros, y requiere más coordinación y planificación para implementarse con una interrupción mínima del negocio. Las políticas con perfil de nivel 2 contienen tanto recomendaciones o reglas de configuración de nivel 1 como de nivel 2.

Consulte la lista completa de benchmarks de CIS compatibles oficialmente con Endpoint Central.

Puede encontrar las políticas CIS en la consola navegando a Cumplimiento → Grupos de políticas y haciendo clic en el botón Crear grupo. Después de seleccionar la plataforma, será redirigido a una nueva ventana donde podrá ver una lista de políticas. Al seleccionar una política, se muestra un desglose detallado de las reglas que la componen. La siguiente imagen ofrece una vista de cómo está estructurada una política de benchmark de CIS. 

Nota: Al hacer clic en Cumplimiento → Grupo de políticas y luego en Plantillas integradas, puede ver las plantillas de políticas precreadas por ManageEngine; también puede utilizarlas para fines de análisis de cumplimiento.

Las reglas dentro de cada política CIS se agrupan según el componente al que pertenecen, como políticas de contraseñas, políticas de bloqueo de cuentas, etc. Haga clic en el título del componente para expandirlo y ver las reglas. Cada regla sugiere un valor recomendado para una configuración de seguridad. Durante el análisis de auditoría, las configuraciones de seguridad de sus sistemas se evaluarán para verificar su cumplimiento con estas reglas. Al hacer clic en la regla, se muestra:

• Un resumen detallado de la configuración/ajuste de seguridad, el valor predeterminado, el rango de valores que acepta y el valor recomendado.
• Una justificación que ofrece un razonamiento detallado para el valor recomendado.
• Una columna de cómo corregir que ofrece pasos detallados para implementar el valor recomendado en caso de que la configuración de su sistema infrinja la regla.

Después de seleccionar las políticas de cumplimiento CIS requeridas, haga clic en Crear grupo para finalizar la creación del grupo de políticas. Puede usar este grupo de políticas para fines de auditoría de cumplimiento CIS.

Nota: Las nuevas políticas de cumplimiento o los cambios relacionados con las políticas de cumplimiento existentes de la base de datos central de vulnerabilidades se sincronizan regularmente con el servidor central a la 1 a. m. todos los días. Esta sincronización de datos de cumplimiento no ocurrirá durante la sincronización habitual de la base de datos de vulnerabilidades. Consulte este artículo para solucionar problemas en caso de que falle la sincronización de datos de cumplimiento.

Nota: La función no está disponible en todos los países. Comuníquese con soporte para obtener más detalles.