Frameworks de Compliance
Mantenido por: Aether365 Team Audiencia: Administradores de seguridad y responsables de compliance Alcance: Descripciones de los frameworks CIS, EIDSCA, CISA SCuBA y NIS2
Aether365 evalúa tu tenant de Microsoft 365 según cuatro frameworks de seguridad reconocidos. Cada framework está mantenido por una autoridad diferente y tiene un enfoque, alcance y audiencia distintos.
CIS Microsoft 365 Foundations Benchmark
Mantenido por: Center for Internet Security (CIS) Versión: v3.0 Audiencia: Todas las organizaciones que utilizan Microsoft 365 Alcance: Seguridad de cuentas, Entra ID, Exchange, Teams, SharePoint, registro de auditoría
CIS es el benchmark de seguridad para M365 más ampliamente adoptado. Define un conjunto de controles claro y aplicable, cada uno con una guía de implementación detallada. Los controles se clasifican como Nivel 1 o Nivel 2:
| Nivel | Descripción | Cuando aplicarlo |
|---|---|---|
| L1 | Controles fundamentales con impacto operativo mínimo | Todas las organizaciones |
| L2 | Controles más estrictos que pueden afectar la experiencia del usuario | Entornos sensibles en seguridad |
Formato del ID de comprobación: CIS.M365.{sección}.{subsección}.{item} - por ejemplo, CIS.M365.1.1.1
Las comprobaciones CIS cubren las secciones 1 a 9 del benchmark, incluyendo:
- Sección 1: Gestión de identidad y acceso
- Sección 2: Microsoft Entra ID
- Sección 3: Aplicaciones de Microsoft 365
- Sección 4: Microsoft Teams
- Sección 5: Seguridad del correo electrónico (Exchange Online)
- Sección 6: SharePoint Online
- Sección 7: OneDrive
- Sección 8: Microsoft Defender
- Sección 9: Registro de auditoría
EIDSCA (Entra ID Security Config Analyzer)
Mantenido por: Microsoft y la comunidad de código abierto Audiencia: Organizaciones con uso significativo de Entra ID Alcance: Configuración en profundidad de Entra ID
EIDSCA se centra específicamente en Entra ID (anteriormente Azure Active Directory) y cubre áreas que CIS no aborda con el mismo nivel de detalle. Areas clave:
- Registro de métodos de autenticación y políticas SSPR
- Brechas en el acceso condicional y cobertura de políticas base
- Configuración de Privileged Identity Management (PIM)
- Controles de tiempo de vida de tokens y sesiones
- Configuración de usuarios invitados y colaboración B2B
- Configuración de confianza de proveedores de identidad externos
EIDSCA es especialmente útil si tu organización depende en gran medida de funcionalidades de Entra ID como Privileged Identity Management, colaboración externa o flujos de autenticación personalizados.
Formato del ID de comprobación: EIDSCA.{categoría}{número} - por ejemplo, EIDSCA.PR01
CISA SCuBA M365 Security Baseline
Mantenido por: Agencia de Ciberseguridad e Infraestructura de EE. UU. (CISA) Versión: Línea base publicada actualmente Audiencia: Agencias federales de EE. UU. y organizaciones que trabajan con ellas; sectores regulados Alcance: Suite completa de productos M365
SCuBA (Secure Cloud Business Applications) es la línea base de seguridad del gobierno federal de EE. UU. para plataformas de productividad en la nube. Se estructura por producto de M365 en lugar de por categoría de control:
| Producto | Las comprobaciones cubren |
|---|---|
| Microsoft Entra ID | Gestión de identidad y acceso |
| Microsoft Defender for Office 365 | Políticas de protección contra amenazas |
| Exchange Online | Transporte de correo, anti-phishing, cifrado |
| Microsoft Teams | Acceso externo, políticas de reuniones |
| SharePoint Online y OneDrive | Uso compartido, control de acceso |
| Microsoft 365 Apps | Políticas de macros, gestión de complementos |
| Power Platform | Políticas de conectores (solo Enterprise) |
SCuBA es relevante más alla de los entornos federales de EE. UU. Sus declaraciones claras de políticas y su formato de pruebas automatizadas lo convierten en una línea base útil para cualquier organización que busque una orientación rigurosa mantenida de forma independiente.
Formato del ID de comprobación: MS.{PRODUCTO}.{número}.{subnumero} - por ejemplo, MS.AAD.1.1
NIS2
Mantenido por: Unión Europea Directiva: EU 2022/2502 (NIS2) Audiencia: Organizaciones que operan en la UE, especialmente operadores de entidades esenciales e importantes Alcance: Medidas técnicas y organizativas según el Artículo 21
NIS2 no es un benchmark técnico, es una directiva regulatoria. Aether365 mapea los controles de configuración de M365 a los requisitos técnicos que NIS2 exige en el Artículo 21, que obliga a las organizaciones a tomar medidas adecuadas para gestionar el riesgo de ciberseguridad.
Las comprobaciones NIS2 en Aether365 se centran en:
| Área NIS2 | Controles de M365 |
|---|---|
| Control de acceso y autenticación | MFA, acceso privilegiado, acceso condicional |
| Gestión de incidentes | Registro de auditoría, políticas de alerta, eventos de seguridad |
| Continuidad del negocio | Configuración de copias de seguridad y recuperación, residencia de datos |
| Seguridad de la cadena de suministro | Políticas de consentimiento de aplicaciones, configuración de conectores externos |
| Higiene cibernética básica | Autenticación heredada, configuraciones relacionadas con parches |
Alcance de compliance NIS2
Aether365 cubre los controles técnicos específicos de M365 relevantes para NIS2. El cumplimiento total de NIS2 requiere un programa más amplio de medidas técnicas y organizativas que van más alla de la configuración de tu M365. Los resultados de Aether365 no constituyen una certificación de cumplimiento de NIS2.
Comparación de frameworks
| Dimension | CIS | EIDSCA | CISA SCuBA | NIS2 |
|---|---|---|---|---|
| Autoridad | CIS | Código abierto / Microsoft | CISA de EE. UU. | Regulación de la UE |
| Enfoque | M365 amplio | Profundidad en Entra ID | Producto por producto | Regulatorio basado en riesgos |
| Nivel de detalle | Alto | Muy alto | Alto | Moderado |
| Adecuado para organizaciones de la UE | Si | Si | Si | Obligatorio |
| Adecuado para el gobierno federal de EE. UU. | Si | Si | Obligatorio | No aplica |
| Adecuado para todas las organizaciones | Si | Si | Si | Si reguladas en la UE |
| Número de comprobaciones en Aether365 | ~60 | ~40 | ~50 | ~30 |
Todos los frameworks se ejecutan como parte de un Compliance Scan. No puedes seleccionar frameworks individuales por análisis: todas las comprobaciones aplicables se ejecutan juntas y los resultados se etiquetan por framework para su filtrado.