{"id":1194955,"date":"2024-02-20T23:08:28","date_gmt":"2024-02-20T23:08:28","guid":{"rendered":"https:\/\/teknomers.com\/es\/cumplimiento-de-saas-a-traves-del-marco-de-ciberseguridad-del-nist\/"},"modified":"2024-02-20T23:08:36","modified_gmt":"2024-02-20T23:08:36","slug":"cumplimiento-de-saas-a-traves-del-marco-de-ciberseguridad-del-nist","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/cumplimiento-de-saas-a-traves-del-marco-de-ciberseguridad-del-nist\/","title":{"rendered":"Cumplimiento de SaaS a trav\u00e9s del marco de ciberseguridad del NIST"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Cumplimiento-de-SaaS-a-traves-del-marco-de-ciberseguridad-del.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>El marco de ciberseguridad del Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) de EE. UU. es una de las pautas m\u00e1s importantes del mundo para proteger las redes.  Se puede aplicar a cualquier cantidad de aplicaciones, incluido SaaS. <\/p>\n<p>Uno de los desaf\u00edos que enfrentan quienes tienen la tarea de proteger las aplicaciones SaaS son las diferentes configuraciones que se encuentran en cada aplicaci\u00f3n.  Hace que sea dif\u00edcil desarrollar una pol\u00edtica de configuraci\u00f3n que se aplique a una aplicaci\u00f3n de recursos humanos que gestiona empleados, una aplicaci\u00f3n de marketing que gestiona contenidos y una aplicaci\u00f3n de I+D que gestiona versiones de software, todo ello en consonancia con los est\u00e1ndares de cumplimiento del NIST. <\/p>\n<p>Sin embargo, existen varias configuraciones que se pueden aplicar a casi todas las aplicaciones de la pila SaaS.  En este art\u00edculo, exploraremos algunas configuraciones universales, explicaremos por qu\u00e9 son importantes y lo guiaremos para configurarlas de una manera que mejore la postura de seguridad de sus aplicaciones SaaS. <\/p>\n<h2 style=\"text-align: left;\">Comience con administradores<\/h2>\n<p>El control de acceso basado en roles (RBAC) es clave para el cumplimiento del NIST y debe aplicarse a todas las aplicaciones SaaS.  Hay dos tipos de permisos dentro de una aplicaci\u00f3n SaaS.  El acceso funcional cubre cosas como crear cuentas y navegar por la aplicaci\u00f3n.  Los permisos de acceso a datos, por otro lado, rigen qu\u00e9 usuarios pueden recuperar y modificar datos.  La cuenta de administrador (o la cuenta de superadministrador en algunas aplicaciones) es la m\u00e1s confidencial dentro de la aplicaci\u00f3n, ya que tiene acceso completo a ambos tipos de permisos. <\/p>\n<p>Para los actores de amenazas, violar una cuenta de administrador es como ganar la loter\u00eda.  Tienen acceso a todo.  Las organizaciones deben hacer todo lo que est\u00e9 a su alcance para mantener el control sobre estas cuentas.  Este control se gestiona a trav\u00e9s de configuraciones y mejores pr\u00e1cticas.<\/p>\n<h3 style=\"text-align: left;\"><strong>Implementar redundancia limitada<\/strong><\/h3>\n<p>Es importante tener un m\u00ednimo de dos administradores para cada aplicaci\u00f3n.  Esta redundancia dificulta que un administrador act\u00fae solo en contra de los mejores intereses de la organizaci\u00f3n, ya que los administradores pueden monitorearse entre s\u00ed para detectar cualquier signo de infracci\u00f3n. <\/p>\n<p>Sin embargo, cada administrador aumenta la superficie de ataque de la aplicaci\u00f3n.  Las organizaciones deben lograr un equilibrio entre tener suficientes administradores para dar servicio adecuado a la aplicaci\u00f3n y al mismo tiempo limitar la exposici\u00f3n.  Una revisi\u00f3n automatizada de la cantidad de administradores deber\u00eda activar alertas cuando la cantidad de administradores est\u00e9 fuera del rango preferido. <\/p>\n<h3 style=\"text-align: left;\"><strong>Eliminar administradores externos<\/strong><\/h3>\n<p>Los administradores externos introducen una nueva capa de incertidumbre en la seguridad de SaaS.  Debido a que se encuentran fuera de la organizaci\u00f3n, el equipo de seguridad no puede controlar las pol\u00edticas de contrase\u00f1as ni las herramientas de autenticaci\u00f3n que utilizan. <\/p>\n<p>Por ejemplo, si un actor de amenazas intenta iniciar sesi\u00f3n en su aplicaci\u00f3n y hace clic en Olvid\u00e9 mi contrase\u00f1a, no hay forma de saber si el actor de amenazas puede violar la cuenta de correo electr\u00f3nico del administrador externo.  Esa falta de supervisi\u00f3n de los usuarios externos podr\u00eda provocar una violaci\u00f3n profunda de su aplicaci\u00f3n SaaS, raz\u00f3n por la cual NIST desaconseja tener administradores externos.  Dependiendo de la aplicaci\u00f3n, bloquee a los administradores externos para que no obtengan privilegios de administrador o identifique a los usuarios externos con derechos de administrador y elimine esos privilegios. <\/p>\n<p>Para las empresas que contratan una empresa de TI externa o subcontratan a MSSP, esas personas no deben considerarse externas.  Sin embargo, deben continuar monitoreando si otros usuarios externos reciben permisos de administrador. <\/p>\n<h3 style=\"text-align: left;\"><strong>Requerir MFA de administrador<\/strong><\/h3>\n<p>Para cumplir con los est\u00e1ndares NIST, se debe exigir que todas las cuentas de usuarios administradores accedan a la aplicaci\u00f3n mediante autenticaci\u00f3n multifactor (MFA), como una contrase\u00f1a de un solo uso (OTP).  MFA requiere que los usuarios presenten un m\u00ednimo de dos formas de identificaci\u00f3n antes de autenticar al usuario.  Un actor de amenazas necesitar\u00eda comprometer dos sistemas de autenticaci\u00f3n, lo que aumentar\u00eda el nivel de dificultad del compromiso y reducir\u00eda el riesgo para la cuenta.  Aseg\u00farese de configurar MFA para administradores seg\u00fan sea necesario (tambi\u00e9n recomendamos MFA para todos los usuarios, pero es imprescindible para los administradores). <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_1\" target=\"_blank\"><strong><em>Descargue esta lista de verificaci\u00f3n y aprenda c\u00f3mo alinear la seguridad de su SaaS con NIST<\/em><\/strong><\/a><\/p>\n<h2 style=\"text-align: left;\">Prevenir fugas de datos<\/h2>\n<p>Las fugas de datos de SaaS plantean riesgos importantes para las organizaciones y sus usuarios, comprometiendo potencialmente la informaci\u00f3n confidencial almacenada en aplicaciones basadas en la nube.  Las aplicaciones SaaS se comercializan como herramientas de colaboraci\u00f3n.  Sin embargo, las configuraciones que permiten a los usuarios trabajar juntos tambi\u00e9n pueden comprometer archivos y datos.  El NIST, por su parte, aboga por monitorear los permisos de cada recurso. <\/p>\n<p>Un calendario visible puede exponer a los empleados a ataques de phishing dise\u00f1ados socialmente, mientras que los repositorios compartidos pueden hacer que el c\u00f3digo fuente interno de una empresa se comparta p\u00fablicamente.  Los correos electr\u00f3nicos, los archivos y los foros contienen datos confidenciales a los que el p\u00fablico no deber\u00eda acceder.  Si bien las siguientes configuraciones suelen tener un nombre diferente en cada aplicaci\u00f3n, casi cualquier aplicaci\u00f3n que almacene contenido tendr\u00e1 este tipo de control. <\/p>\n<h3 style=\"text-align: left;\"><strong>Dejar de compartir en p\u00fablico<\/strong><\/h3>\n<p>La diferencia entre Compartir con todos y Compartir con un usuario es profunda.  Cuando los elementos se comparten con todos, cualquiera que tenga un enlace puede acceder a los materiales.  Compartir con un usuario, por el contrario, agrega un mecanismo de autenticaci\u00f3n adicional, ya que el usuario debe iniciar sesi\u00f3n antes de acceder al material. <\/p>\n<p>Para reducir el contenido expuesto, los administradores de aplicaciones deben desactivar el uso compartido a trav\u00e9s de URL p\u00fablicas (&#8220;Cualquiera que tenga el enlace&#8221;).  Adem\u00e1s, algunas aplicaciones permiten a los usuarios revocar el acceso a URL que ya han sido creadas.  Cuando est\u00e9 disponible, las organizaciones deben asegurarse de activar esa configuraci\u00f3n. <\/p>\n<h3 style=\"text-align: left;\"><strong>Establecer invitaciones para que caduquen<\/strong><\/h3>\n<p>Muchas aplicaciones permiten a los usuarios autorizados invitar a usuarios externos a la aplicaci\u00f3n.  Sin embargo, la mayor\u00eda de las aplicaciones no implementan una fecha de vencimiento de la invitaci\u00f3n.  En esas circunstancias, las invitaciones enviadas a\u00f1os antes pueden brindar acceso a un actor de amenazas que acaba de violar la cuenta de correo electr\u00f3nico de un usuario externo.  Habilitar una fecha de vencimiento autom\u00e1tica en las invitaciones elimina ese tipo de riesgo. <\/p>\n<p>Vale la pena se\u00f1alar que en algunas aplicaciones, los cambios de configuraci\u00f3n son retroactivos, mientras que otras solo tendr\u00e1n efecto en el futuro. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_2\" target=\"_blank\"><strong><em>Alinee su seguridad SaaS con los est\u00e1ndares NIST: descargue la gu\u00eda completa<\/em><\/strong><\/a><\/p>\n<h2 style=\"text-align: left;\">Fortalecimiento de contrase\u00f1as para reforzar la seguridad de las aplicaciones<\/h2>\n<p>Las contrase\u00f1as son la primera l\u00ednea de defensa contra el acceso no autorizado.  NIST aboga por una pol\u00edtica de contrase\u00f1as s\u00f3lida y bien administrada, que es esencial para proteger los datos confidenciales de los usuarios, la informaci\u00f3n comercial confidencial y los activos propietarios almacenados dentro de la infraestructura basada en la nube.  La singularidad, la complejidad y la actualizaci\u00f3n peri\u00f3dica de las contrase\u00f1as son aspectos cr\u00edticos de una postura de seguridad s\u00f3lida.<\/p>\n<p>Las contrase\u00f1as sirven como elemento fundamental en un enfoque de seguridad por capas, complementando otras medidas de seguridad como la autenticaci\u00f3n multifactor (MFA) y el cifrado.  Las contrase\u00f1as comprometidas pueden ser una puerta de entrada para que actores malintencionados aprovechen las vulnerabilidades en el entorno SaaS.  La gesti\u00f3n eficaz de las contrase\u00f1as mejora la resiliencia general de los sistemas SaaS, contribuyendo a un ecosistema digital m\u00e1s seguro y confiable tanto para las empresas como para sus usuarios.<\/p>\n<h3 style=\"text-align: left;\"><strong>Prevenir ataques de pulverizaci\u00f3n de contrase\u00f1as<\/strong><\/h3>\n<p>En un ataque de spray, los actores de amenazas ingresan un nombre de usuario y t\u00e9rminos de contrase\u00f1a comunes, con la esperanza de tener suerte y acceder a la aplicaci\u00f3n.  Requerir MFA es la forma recomendada de prevenir ataques de pulverizaci\u00f3n de contrase\u00f1as.  Para aquellos que no insisten en que los empleados utilicen MFA como parte del proceso de autenticaci\u00f3n, muchas aplicaciones permiten a las organizaciones prohibir el uso de palabras como contrase\u00f1as.  Esta lista de palabras incluir\u00eda t\u00e9rminos como contrase\u00f1a1, letmein, 12345 y los nombres de los equipos deportivos locales.  Adem\u00e1s, incluir\u00eda t\u00e9rminos como el nombre del usuario, productos de la empresa, socios y otros t\u00e9rminos comerciales. <\/p>\n<p>Acceder a las configuraciones y agregar una lista personalizada de palabras prohibidas puede reducir significativamente el riesgo de un ataque de pulverizaci\u00f3n de contrase\u00f1a exitoso. <\/p>\n<h3 style=\"text-align: left;\"><strong>Complejidad de la contrase\u00f1a <\/strong><\/h3>\n<p>La mayor\u00eda de las aplicaciones SaaS permiten a la organizaci\u00f3n personalizar la complejidad de las contrase\u00f1as.  Estos van desde permitir cualquier contrase\u00f1a hasta requerir caracteres alfanum\u00e9ricos, letras may\u00fasculas y min\u00fasculas, s\u00edmbolos o una longitud de contrase\u00f1a.  Actualice los requisitos de contrase\u00f1a en la aplicaci\u00f3n para que coincidan con la pol\u00edtica de su organizaci\u00f3n.<\/p>\n<p>Si su organizaci\u00f3n no tiene una pol\u00edtica de contrase\u00f1as, considere seguir las pautas del NIST:<\/p>\n<ol>\n<li>No realice cambios de contrase\u00f1a obligatorios, ya que los usuarios tienden a elegir contrase\u00f1as f\u00e1ciles de recordar.<\/li>\n<li>Utilice contrase\u00f1as largas en lugar de complejas.  Las combinaciones de n\u00fameros, caracteres especiales y caracteres en min\u00fasculas\/may\u00fasculas suelen seguir un formato como este: Contrase\u00f1a1!.  Estos son f\u00e1ciles de usar con fuerza bruta.  Una contrase\u00f1a larga como MyFavoriteDessertIsPecanPie es f\u00e1cil de recordar, pero con 27 caracteres, es dif\u00edcil usar fuerza bruta.<\/li>\n<li>Limite los intentos de contrase\u00f1a a no m\u00e1s de 10.<\/li>\n<li>Compare las contrase\u00f1as con las publicadas y otras palabras f\u00e1ciles de adivinar con una lista de palabras prohibidas.<\/li>\n<\/ol>\n<h2 style=\"text-align: left;\">Las configuraciones realmente importan<\/h2>\n<p>Aproximadamente el 25 % de todos los incidentes de seguridad relacionados con la nube comienzan con una configuraci\u00f3n mal configurada.  Adem\u00e1s de las mencionadas aqu\u00ed relacionadas con el acceso, las contrase\u00f1as y las fugas de datos, que son bastante universales, se utilizan configuraciones para la administraci\u00f3n de claves, seguridad m\u00f3vil, resiliencia operativa, protecci\u00f3n contra phishing, protecci\u00f3n contra SPAM y m\u00e1s.  Las configuraciones incorrectas en cualquiera de esas \u00e1reas pueden conducir directamente a infracciones. <\/p>\n<p>Puede parecer poco probable que los actores de amenazas dediquen su tiempo a buscar errores de configuraci\u00f3n que puedan explotar.  Sin embargo, eso es exactamente lo que hizo el grupo patrocinado por el estado ruso Midnight Blizzard cuando viol\u00f3 Microsoft este a\u00f1o.  Si pueden ocurrir errores de configuraci\u00f3n en Microsoft, vale la pena revisarlos para asegurarse de que todas sus aplicaciones est\u00e9n seguras. <\/p>\n<p><a rel=\"nofollow noopener\" href=\"https:\/\/go.adaptive-shield.com\/applying-nist-cybersecurity-framework-to-your-saas-stack?utm_source=thehackernews&amp;utm_medium=sponsored_content&amp;utm_campaign=thn_nistchecklist_3\" target=\"_blank\"><strong><em>Vea c\u00f3mo puede aplicar los est\u00e1ndares NIST a su pila SaaS<\/em><\/strong><\/a><\/p>\n<p><noscript><br \/>\n<img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/Cumplimiento-de-SaaS-a-traves-del-marco-de-ciberseguridad-del.gif\" alt=\"\" height=\"1\" style=\"display:none;\" width=\"1\"\/><br \/>\n<\/noscript><\/p>\n<p><img height=\"1\" style=\"display:none\" width=\"1\" alt=\"Las noticias de los piratas inform\u00e1ticos\"\/><br \/>\n<\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo? <span class=\"\">Este art\u00edculo es una contribuci\u00f3n de uno de nuestros valiosos socios.<\/span> Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/saas-compliance-through-nist.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>El marco de ciberseguridad del Instituto Nacional de Est\u00e1ndares y Tecnolog\u00eda (NIST) de EE. UU. es una de<\/p>\n","protected":false},"author":1,"featured_media":1194956,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[4657,4656,4661,6370,4664,37788,38,4662,4668,201033,140,60838,4654,201031,4659,4653,4655,23105,4666,4665,201032,116,4660],"class_list":["post-1194955","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques-ciberneticos","tag-ciberseguridad","tag-como-hackear","tag-cumplimiento","tag-del","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-marco","tag-nist","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-saas","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-software-malicioso-ransomware","tag-traves","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1194955","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1194955"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1194955\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1194956"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1194955"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1194955"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1194955"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}