Comparación de frameworks
Mantenido por: Aether365 Team Audiencia: Administradores de seguridad y responsables de cumplimiento Alcance: Comparación lado a lado de los frameworks CIS, EIDSCA, CISA SCuBA y NIS2
Comparación lado a lado de los cuatro frameworks de seguridad soportados por Aether365.
Resumen general
| CIS | EIDSCA | CISA SCuBA | NIS2 | |
|---|---|---|---|---|
| Nombre completo | CIS Microsoft 365 Foundations Benchmark | Entra ID Security Config Analyzer | Secure Cloud Business Applications M365 Baseline | EU Network and Information Systems Directive 2 |
| Publicado por | Center for Internet Security | Microsoft (open-source) | CISA (agencia federal de EE.UU.) | Unión Europea |
| Audiencia principal | Organizaciones comerciales a nivel mundial | Organizaciones que usan Entra ID | Agencias federales de EE.UU. | Entidades esenciales/importantes de la UE |
| Área de enfoque | Configuración general de M365 | Seguridad de identidad en Entra ID | M365 producto por producto | Gestión de riesgos de ciberseguridad |
| Número de comprobaciones | ~100 | ~80 | ~150 | ~50 |
| Cadencia de actualización | Versiones principales cada 12-18 meses | Continua (GitHub) | Versiones principales anuales | Ciclo legislativo |
| Licencia | Uso gratuito | Open-source (MIT) | Dominio público | Regulación de la UE |
CIS Microsoft 365 Foundations Benchmark
Ideal para: Organizaciones que buscan una línea base reconocida comercialmente y aceptada por auditores.
Los benchmarks de CIS son el estándar de facto en los programas de seguridad comerciales. El benchmark de M365 cubre:
- Cuentas y autenticación - MFA, autenticación heredada, políticas de contraseñas
- Configuración del Centro de administración de Microsoft 365 - acceso de invitados, uso compartido, colaboración externa
- Exchange Online - autenticación de correo (SPF, DKIM, DMARC), reglas de flujo de correo, anti-phishing
- SharePoint Online y OneDrive - configuración de uso compartido, controles de acceso externo
- Microsoft Teams - políticas de reuniones, acceso de invitados, federación externa
- Entra ID - acceso condicional, asignación de roles, valores predeterminados de seguridad
Niveles de perfil:
| Nivel | Descripción |
|---|---|
| L1 | Controles fundamentales. Implementar primero. Menor riesgo de interrupción. |
| L2 | Mayor seguridad. Puede requerir planificación y comunicación a los usuarios. |
Las comprobaciones de Aether365 incluyen el nivel de perfil en cada resultado para que puedas priorizar L1 primero.
EIDSCA (Entra ID Security Config Analyzer)
Ideal para: Organizaciones que necesitan una cobertura profunda de seguridad de identidad más alla de lo que cubre CIS.
EIDSCA fue co-desarrollado con ingenieros de Microsoft y se enfoca específicamente en la configuración de Entra ID. Cubre áreas que CIS omite o cubre solo parcialmente:
- Privileged Identity Management (PIM) - acceso justo a tiempo, configuración de activación de roles
- Métodos de autenticación - FIDO2, configuración de la app de autenticación, Windows Hello
- Políticas de acceso condicional - cumplimiento de dispositivos, riesgo de inicio de sesión, riesgo de usuario
- Gobernanza de aplicaciones - permisos de aplicaciones OAuth, políticas de consentimiento
- Valores predeterminados y línea base de seguridad - recomendaciones de línea base propias de Microsoft
- Protección de identidad - políticas de riesgo, detección de credenciales comprometidas
Las comprobaciones de EIDSCA se corresponden con las categorías de Secure Score en Microsoft Entra y complementan las comprobaciones de CIS con una cobertura más detallada de Entra ID.
CISA SCuBA M365 Security Baseline
Ideal para: Agencias federales de EE.UU. sujetas a las directrices de CISA; organizaciones que desean una cobertura exhaustiva por producto.
SCuBA (Secure Cloud Business Applications) está estructurado por producto de M365 en lugar de por categoría de seguridad:
| Línea base por producto | Cobertura |
|---|---|
| AAD (Azure Active Directory) | Identidad, MFA, acceso condicional |
| Exchange Online | Seguridad de correo, anti-phishing, flujo de correo |
| Teams | Seguridad de reuniones, acceso de invitados, prevención de pérdida de datos |
| SharePoint y OneDrive | Uso compartido, acceso externo, DLP |
| Power Platform | Políticas de creación de aplicaciones, acceso de invitados |
| Defender for Office 365 | Políticas ATP, safe links, safe attachments |
Cada sección de producto contiene políticas obligatorias y opcionales. Aether365 marca claramente las políticas opcionales en el detalle del resultado.
SCuBA está tecnicamente dirigido a agencias federales de EE.UU. (sistemas cubiertos por FISMA), pero las políticas son ampliamente aplicables a cualquier organización.
NIS2 (EU Network and Information Systems Directive 2)
Ideal para: Organizaciones con sede en la UE que operan servicios esenciales o importantes y deben demostrar cumplimiento con NIS2.
NIS2 es un framework regulatorio, no un benchmark técnico. Especifica categorías de controles que las organizaciones deben implementar, pero no prescribe valores de configuración exactos. Las comprobaciones NIS2 de Aether365 mapean la configuración de M365 a los requisitos de los artículos de NIS2:
| Artículo NIS2 | Categoría de control | Ejemplo de comprobaciones M365 |
|---|---|---|
| Art. 21(2)(a) | Gestión de riesgos | Políticas de seguridad, registro de auditoría |
| Art. 21(2)(b) | Gestión de incidentes | Políticas de alertas, retención de logs de auditoría |
| Art. 21(2)(c) | Continuidad de negocio | Copias de seguridad, configuración de retención de datos |
| Art. 21(2)(d) | Seguridad de la cadena de suministro | Permisos de aplicaciones de terceros |
| Art. 21(2)(e) | Seguridad en adquisiciones | Políticas de consentimiento de aplicaciones |
| Art. 21(2)(f) | Control de acceso | MFA, acceso privilegiado, PIM |
| Art. 21(2)(g) | Criptografia | Configuración de cifrado, política TLS |
| Art. 21(2)(h) | Seguridad de RRHH | Baja de usuarios, revisión de cuentas de invitados |
| Art. 21(2)(i) | Autenticación | MFA, políticas de contraseñas, autenticación heredada |
Importante: Aprobar las comprobaciones NIS2 en Aether365 no certifica el cumplimiento de NIS2. El cumplimiento de NIS2 requiere procesos organizativos, evaluaciones legales y obligaciones de notificación que van más alla de la configuración técnica. Las comprobaciones NIS2 de Aether365 te dan la confianza de que tu configuración de M365 no contradice los requisitos de NIS2.
Qué framework debería usar?
No necesitas elegir uno solo. Aether365 ejecuta todos los frameworks y presenta los resultados de forma conjunta. Existe una superposición significativa entre frameworks - un mismo ajuste de configuración puede ser evaluado por CIS, EIDSCA y CISA. Aether365 elimina los duplicados de comprobaciones superpuestas y muestra cada hallazgo una sola vez con referencias cruzadas a todos los frameworks que lo cubren.
Recomendaciones como punto de partida:
| Situación | Empezar con |
|---|---|
| Sin experiencia previa con frameworks | CIS L1 - fundamental y ampliamente reconocido |
| Enfoque en seguridad de identidad | EIDSCA - la cobertura más profunda de Entra ID |
| Agencia federal de EE.UU. o sector público | CISA SCuBA |
| Requisito regulatorio de la UE | NIS2, luego complementar con CIS |
| Necesidad de superar una auditoría de seguridad | CIS - el más reconocido por auditores externos |
| Cobertura integral | Ejecutar los cuatro frameworks simultáneamente |
Número de comprobaciones por framework
El número de comprobaciones varia a medida que los frameworks se actualizan. Cifras aproximadas actuales en Aether365:
| Framework | Total de comprobaciones | Tasa de aprobación típica (PYME) | Tasa de aprobación típica (Empresa) |
|---|---|---|---|
| CIS (L1) | ~60 | 55-70% | 70-85% |
| CIS (L1+L2) | ~100 | 45-65% | 65-80% |
| EIDSCA | ~80 | 50-65% | 65-80% |
| CISA SCuBA | ~150 | 40-60% | 60-75% |
| NIS2 | ~50 | 55-70% | 70-85% |
Las tasas de aprobación son estimaciones orientativas. Tu tasa dependera en gran medida de tu configuración existente, tus licencias y de si has desplegado políticas de acceso condicional.