Controles de seguridad en el marco de gobierno

Es importante planificar desde un punto de vista básico. ¿Cómo se empieza? La siguiente figura muestra cómo se puede crear una estrategia de gobierno de la seguridad basada en una política, objetivos de control, estándares y controles de seguridad.

Los siguientes son los componentes jerárquicos de una estrategia de gobernanza de la seguridad:

• Política— UNApolíticaes la base de cualquier estrategia de gobernanza de ciberseguridad. Es un documento que establece las expectativas de la empresa, como las obligaciones legales, reglamentarias o contractuales que debe cumplir. Las políticas pueden variar según el sector y la región.

• Objetivos de control—Objetivos de controlson objetivos, como las mejores prácticas reconocidas en el sector, que ayudan a cumplir la intención de una política. En el caso de la computación en nube, muchas empresas adoptan laMatriz de controles en la nube (CCM)(sitio web de Cloud Security Alliance), que es un marco de objetivos de control de la ciberseguridad.

• Estándares—Normasson requisitos establecidos formalmente que satisfacen un objetivo de control. Los estándares pueden incluir procesos, acciones o configuraciones, y son cuantificables para que pueda medir el rendimiento en comparación con el estándar.

• Controles de seguridad—Controles de seguridadson los mecanismos técnicos o administrativos que se implementan para implementar las normas. Todos los controles de seguridad se ajustan a los estándares, pero no todos los estándares se ajustan a los controles de seguridad. Las pruebas de los controles de seguridad están diseñadas para monitorear y medir si se cumplen de manera efectiva los estándares definidos.

Esta guía se centra en cómo diseñar e implementar los tipos comunes de controles de seguridad en elNube de AWS.