Controles de seguridad en el marco de gobernanza

Es importante planificar desde un nivel básico. ¿Cómo se comienza? En la siguiente figura, se muestra cómo se puede crear una estrategia de gobernanza de la seguridad basada en una política, objetivos de control, estándares y controles de seguridad.

Los siguientes son los componentes jerárquicos de una estrategia de gobernanza de la seguridad:

• Política: una política es la base de cualquier estrategia de gobernanza de ciberseguridad. Es un documento que establece las expectativas de la empresa, como las obligaciones legales, reglamentarias o contractuales que debe cumplir. Las políticas pueden variar en función del sector y la región.

• Objetivos de control: los objetivos de control son metas, como las prácticas recomendadas reconocidas en el sector, que ayudan a cumplir la intención de una política. En el caso de la computación en la nube, muchas empresas adoptan la Matriz de controles en la nube (CCM) (sitio web de Cloud Security Alliance), que es un marco de objetivos de control de ciberseguridad.

• Estándares: los estándares son requisitos que se establecen de manera formal y satisfacen un objetivo de control. Los estándares pueden incluir procesos, acciones o configuraciones, y son cuantificables para que pueda medir el rendimiento en comparación con el estándar.

• Controles de seguridad: los controles de seguridad son los mecanismos técnicos o administrativos que se llevan a cabo para implementar los estándares. Todos los controles de seguridad se ajustan a los estándares, pero no todos los estándares se ajustan a los controles de seguridad. Las pruebas de los controles de seguridad se han diseñado para monitorear y medir si se cumplen de manera efectiva los estándares definidos.

Esta guía se enfoca en cómo diseñar e implementar los tipos comunes de controles de seguridad en la Nube de AWS.