Determinación de la puntuación de seguridad

La página Resumen y la página Controles de la consola de Security Hub muestran un resumen de la puntuación de seguridad de todos los estándares habilitados. En la página Estándares de seguridad, Security Hub también muestra una puntuación de seguridad del 0 al 100 por ciento para cada estándar habilitado.

Al activar Security Hub por primera vez, Security Hub calcula la puntuación de seguridad resumida y las puntuaciones de seguridad estándar en un plazo de 30 minutos después de su primera visita a la página Resumen o a la página Normas de seguridad de la consola de Security Hub. Las puntuaciones solo se generan para los estándares que están activados al visitar esas páginas. Para ver una lista de los estándares que están habilitados actualmente, invoca la operación de la API GetEnabledStandards. Además, el registro AWS Config de recursos debe estar configurado para que aparezcan las puntuaciones. La puntuación de seguridad resumida es el promedio de las puntuaciones de seguridad estándar.

Tras la primera generación de puntuaciones, Security Hub actualiza las puntuaciones de seguridad cada 24 horas. Security Hub muestra una marca de tiempo para indicar cuándo se actualizó por última vez una puntuación de seguridad.

nota

Las puntuaciones de seguridad por primera vez pueden tardar hasta 24 horas en generarse en las regiones de China y de AWS GovCloud (US) Region.

Si activa los resultados de control consolidados, es posible que sus puntuaciones de seguridad tarden hasta 24 horas en actualizarse. Además, al habilitar una nueva región de agregación o actualizar las regiones vinculadas, se restablecen las puntuaciones de seguridad existentes. Security Hub puede tardar hasta 24 horas en generar nuevas puntuaciones de seguridad que incluyan datos de las regiones actualizadas.

Cómo se calculan las puntuaciones de seguridad

La puntuación de seguridad representa la proporción de controles superados frente a los controles habilitados. La puntuación se muestra como un porcentaje redondeado hacia arriba o hacia abajo hasta el número entero más cercano.

Security Hub calcula una puntuación de seguridad resumida para todos los estándares habilitados. Security Hub también calcula una puntuación de seguridad para cada estándar habilitado. Para calcular la puntuación, los controles habilitados incluyen los controles con los estados Aprobado, Con fallos y Desconocido. Los controles cuyo estado es Sin datos se excluyen del cálculo de la puntuación.

Security Hub ignora los resultados archivados y suprimidos al calcular el estado del control. Esto puede afectar a las puntuaciones de seguridad. Por ejemplo, si suprime todos los resultados fallidos de un control, su estado pasa a ser Aprobado, lo que a su vez puede mejorar sus puntuaciones de seguridad. Para obtener más información sobre el estado de control, consulte Estado de cumplimiento y estado de control.

Ejemplo de puntuación:

Estándar	Controles superados	Controles con errores	Controles desconocidos	Puntuación estándar
AWS Mejores prácticas fundamentales de seguridad, versión 1.0.0	168	22	0	88%
Referencia sobre los AWS fundamentos de la CEI, versión 1.4.0	8	29	0	22%
Índice de referencia sobre AWS los fundamentos de la CEI v1.2.0	6	35	0	15%
Publicación especial 800-53 del NIST, revisión 5	159	56	0	74%
PCI DSS v3.2.1	28	17	0	62%

Al calcular la puntuación de seguridad resumida, Security Hub cuenta cada control solo una vez en todos los estándares. Por ejemplo, si ha habilitado un control que se aplica a tres estándares habilitados, solo cuenta como un control habilitado a efectos de puntuación.

En este ejemplo, aunque el número total de controles habilitados en todos los estándares habilitados es de 528, Security Hub cuenta cada control único solo una vez con fines de puntuación. Es probable que el número de controles habilitados únicos sea inferior a 528. Si suponemos que el número de controles habilitados únicos es 515 y el número de controles únicos aprobados es 357, la puntuación resumida es del 69 %. Esta puntuación se calcula dividiendo el número de controles únicos aprobados entre el número de controles únicos habilitados.

Es posible que tengas una puntuación resumida diferente de la puntuación de seguridad estándar, incluso si solo has activado un estándar en tu cuenta en la región actual. Esto puede ocurrir si ha iniciado sesión en una cuenta de administrador y las cuentas de los miembros tienen habilitados estándares adicionales o estándares diferentes. Esto también puede ocurrir si estás consultando la puntuación de la región de agregación y en las regiones enlazadas se han activado estándares adicionales o diferentes.

Puntuaciones de seguridad para las cuentas de administrador

Si ha iniciado sesión en una cuenta de administrador, la puntuación de seguridad resumida y la puntuación estándar representan los estados de control de la cuenta de administrador y de todas las cuentas de los miembros.

Si el estado de un control es Con fallos incluso en la cuenta de un miembro, su estado es Con fallos en la cuenta de administrador y afecta a las puntuaciones de la cuenta de administrador.

Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros y de todas las regiones vinculadas.

Puntuaciones de seguridad si ha establecido una región de agregación

Si ha establecido una agregación Región de AWS, la puntuación de seguridad resumida y las puntuaciones estándar representan todos los estados de control regiones vinculadas.

Si el estado de un control es Con fallos incluso en una región vinculada, su estado es Con fallos en la región de agregación y afecta a las puntuaciones de la región de agregación.

Si ha iniciado sesión en una cuenta de administrador y está consultando las puntuaciones de una Región de agregación, las puntuaciones de seguridad representan los estados de control de todas las cuentas de los miembros y de todas las regiones vinculadas.