Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Descubrimiento y alineación de la seguridad
Al organizar un proyecto de migración, el primer dominio del flujo de trabajo de seguridad y cumplimiento es el descubrimiento y la alineación de la seguridad. El objetivo de este dominio es ayudar a su organización a alcanzar los siguientes objetivos:
-
Capacite al flujo de trabajo de seguridad y cumplimiento sobre los servicios AWS de seguridad, las capacidades y el cumplimiento de la normativa
-
Descubra sus requisitos de seguridad y cumplimiento y sus prácticas actuales. Tenga en cuenta estos requisitos desde el punto de vista de la infraestructura y las operaciones, que incluyen:
-
Los desafíos de seguridad y los factores que impulsan el estado final objetivo
-
Conjunto de habilidades del equipo de seguridad en la nube
-
Políticas, configuraciones, controles y barreras de cumplimiento y riesgo de seguridad
-
Nivel de referencia y apetito por los riesgos de seguridad
-
Herramientas de seguridad actuales y futuras
-
Talleres de un día de inmersión
Para cumplir con estos objetivos, aproveche los días de inmersión en materia de seguridad y cumplimiento. Los días de inmersión son talleres que cubren una variedad de temas relacionados con la seguridad, como:
-
El pilar de seguridad del AWS Well-Architected Framework
Los talleres de un día de inmersión ayudan a establecer una base de conocimientos para su equipo de seguridad. Los capacita sobre los servicios AWS de seguridad y las mejores prácticas de seguridad y cumplimiento. AWS Los arquitectos de soluciones, los servicios AWS profesionales y AWS los socios pueden ayudarlo a realizar estos talleres interactivos. Utilizan plataformas de presentación estándar, laboratorios de AWS y actividades de pizarra para ayudar a preparar a sus equipos.
Talleres de descubrimiento
Tras los talleres del día de inmersión, realizará varios talleres exhaustivos de descubrimiento de la seguridad y el cumplimiento. Estos ayudan a sus equipos a descubrir los requisitos actuales de seguridad, riesgo y cumplimiento (SRC) de la infraestructura, las aplicaciones y las operaciones. Estos requisitos se analizan desde las siguientes perspectivas: personas, procesos y tecnología. Las siguientes son las áreas de descubrimiento para cada perspectiva.
Perspectiva de las personas
-
Estructura organizativa: comprenda la estructura y las responsabilidades actuales del flujo de trabajo en materia de seguridad y cumplimiento.
-
Capacidades y habilidades: tenga conocimientos y habilidades prácticas para y para las capacidades de seguridad Servicios de AWS y cumplimiento de la nube. Esto incluye el descubrimiento, la planificación, la implementación y las operaciones.
-
Matriz de responsabilidad, rendición de cuentas, consulta e información (RACI): defina las funciones y responsabilidades de las actividades actuales de seguridad y cumplimiento dentro de la organización.
-
Cultura: comprenda la cultura actual de seguridad y cumplimiento. Priorice la seguridad y el cumplimiento como parte de las fases de creación, diseño, implementación y operación. Introduzca las operaciones de seguridad de desarrollo (DevSecOps) en la cultura de seguridad y cumplimiento de la nube.
Perspectiva de procesos
-
Prácticas: defina y documente los procesos actuales de seguridad y cumplimiento para crear, diseñar, implementar y operar. Los procesos incluyen:
-
Acceso y administración de la identidad
-
Controles de detección y respuesta a incidentes
-
Seguridad de la infraestructura y la red
-
Protección de los datos
-
Conformidad
-
Continuidad y recuperación del negocio
-
-
Documentación de implementación: documente las políticas de seguridad y cumplimiento, las configuraciones de control, la documentación de herramientas y la documentación de arquitectura. Estos documentos son necesarios para cubrir la seguridad y el cumplimiento de las áreas de infraestructura, red, aplicaciones, bases de datos y despliegue.
-
Documentación sobre los riesgos: cree una documentación sobre los riesgos para la seguridad de la información que describa la propensión al riesgo y el umbral.
-
Validaciones: cree requisitos de validación y auditoría de seguridad internos y externos.
-
Guías de ejecución: desarrolle guías operativas que cubran los procesos actuales y estándares de implementación y gobierno en materia de seguridad y cumplimiento.
Perspectiva tecnológica
-
Servicios y herramientas: utilice herramientas para validar su postura de seguridad y cumplimiento y para hacer cumplir y gobernar el panorama de TI actual. Establezca herramientas para las siguientes categorías:
-
Acceso y administración de la identidad
-
Controles de detección y respuesta a incidentes
-
Seguridad de la infraestructura y la red
-
Protección de los datos
-
Conformidad
-
Continuidad y recuperación del negocio
-
Durante el taller AWS de descubrimiento de la seguridad, utilizará plantillas de recopilación de datos y cuestionarios estandarizados para recopilar datos. En situaciones en las que no pueda proporcionar la información debido a la falta de claridad de los datos o a que los datos estén obsoletos, puede utilizar una herramienta de detección de migraciones para recopilar información de seguridad a nivel de las aplicaciones y la infraestructura. Para obtener una lista de las herramientas de detección que puede utilizar, consulte las herramientas de detección, planificación y recomendación de migración
Durante la evaluación de seguridad inicial, le recomendamos encarecidamente que comience con el modelado de amenazas. Esto le ayuda a identificar las posibles amenazas y las medidas existentes que existen. También pueden existir requisitos predefinidos y documentados en materia de seguridad, cumplimiento y riesgo. Para obtener más información, consulte el taller sobre modelado de amenazas para desarrolladores
