Árbol de decisiones para la adopción de un servicio AWS de seguridad - AWS Guía prescriptiva
Contexto empresarialAWS evaluación del servicio

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Árbol de decisiones para la adopción de un servicio AWS de seguridad

La siguiente imagen muestra un árbol de decisiones que puede utilizar para evaluar si su organización debe adoptar un servicio AWS de seguridad. El árbol de decisiones se divide en dos secciones: el contexto de la empresa y la evaluación del servicio de AWS seguridad. La primera sección, el contexto empresarial, está diseñada para evaluar su control o solución actual, si existe. Continúe con la segunda sección, la evaluación del servicio de AWS seguridad, si no tiene una solución actual o si su control o solución actuales no cumplen con sus requisitos comerciales o técnicos. En la sección de evaluación del servicio de AWS seguridad, usted determina si Servicio de AWS cumple con esos requisitos.

Árbol de decisiones para la adopción de un servicio AWS de seguridad

Contexto empresarial para evaluar una solución o un control de seguridad actual

En esta sección, evaluará su control o solución actual para asegurarse de que cumple con los requisitos empresariales y técnicos de su organización. Si no cuenta con un control o una solución, debe evaluar el servicio de AWS seguridad y pasar directamente a la sección de evaluación del servicio de seguridad de AWS.

1.1 ¿No se cumple con un mandato de conformidad, seguridad o privacidad?

Las organizaciones están sujetas a las leyes y reglamentos relativos a la seguridad y la privacidad de los datos. Cualquier violación de estos mandatos puede tener consecuencias graves. Si su empresa no puede cumplir con un requisito de cumplimiento, seguridad o privacidad, debe evaluar el servicio AWS de seguridad.

1.2 ¿Corre un riesgo elevado que no se ha abordado?

Las organizaciones deben identificar y gestionar los riesgos de seguridad importantes en su entorno. Un riesgo alto podría implicar posibles filtraciones de datos, vulnerabilidades del sistema, interrupciones operativas u otros problemas de seguridad críticos. Si su solución actual (o la ausencia de ella) no mitiga adecuadamente estos altos riesgos, proceda a evaluar el servicio de AWS seguridad.

1.3 ¿Tiene una solución manual o propensa a errores?

Las soluciones que requieren pasos manuales o la interacción humana son más propensas a errores. La inconsistencia, la baja confiabilidad de los datos, los activos que no cumplen con las normas y la falta de escalabilidad son comunes en estos escenarios. Los controles automatizados son fundamentales para las cargas de trabajo y los sistemas de TI. Si su solución actual no admite la automatización total, considere la posibilidad de evaluar el servicio AWS de seguridad.

1.4 ¿Tiene problemas de administración, agilidad o escalabilidad?

Es importante mapear cualquier problema relacionado con la administración. Los siguientes son algunos ejemplos: la falta de compatibilidad al gestionar diferentes activos, la solución no cubre todos los dispositivos, los errores e interrupciones durante las actualizaciones y el impacto negativo en el rendimiento de la producción. La solución debe ofrecer agilidad para que los equipos puedan innovar desde una sólida postura de seguridad. Debe respaldar la escalabilidad para lograr un crecimiento empresarial exponencial. Si tiene algún problema de administración, disponibilidad o escalamiento, debe evaluar el servicio de AWS seguridad.

1.5 ¿Tiene un coste total de propiedad elevado?

Evalúe el coste total de propiedad (TCO) de su solución de seguridad actual comparando los costes con los puntos de referencia del sector y con las métricas internas. Por lo general, las organizaciones invierten entre el 6 y el 14% de su presupuesto de TI en ciberseguridad, y el 10% es la media. Tenga en cuenta factores como las licencias, la implementación, el mantenimiento, el soporte y los costos operativos para proteger sus activos. Puede incluir sus herramientas internas que cubran la misma cantidad de activos que desee proteger. Un presupuesto de seguridad desequilibrado para las herramientas también puede indicar un alto TCO, por ejemplo, si el 60% del presupuesto se destina a una sola herramienta. Si su TCO es superior a estos puntos de referencia, proceda a evaluar el AWS servicio de seguridad.

AWS evaluación del servicio de seguridad

Una prueba de tecnología (POT) es similar a una prueba de concepto. El objetivo de una POT es determinar si una posible solución a un problema técnico es viable. Por ejemplo, puede usar un POT para demostrar que una configuración específica puede lograr un resultado determinado. En esta sección, utiliza un POT para evaluar y demostrar si un servicio de AWS seguridad determinado cumple con sus requisitos empresariales y técnicos.

La arquitectura AWS de referencia de seguridad (AWS SRA) proporciona una guía prescriptiva para implementar todos los servicios de AWS seguridad en un entorno de múltiples cuentas. Esta arquitectura puede ayudarlo a planificar y ejecutar su evaluación de POT.

Esta guía de decisiones se aplica a todos los servicios de AWS seguridad, incluidas las ofertas más recientes. Para obtener una up-to-date lista de los servicios y las mejores prácticas actuales, consulte Nube de AWS Seguridad.

2.1 ¿El servicio de AWS seguridad aborda sus mandatos de cumplimiento, seguridad o privacidad?

El servicio de AWS seguridad debe abordar cualquier mandato de cumplimiento, seguridad y privacidad que la solución actual no aborde. Puede encontrar AWS certificaciones e informes de seguridad y conformidad en AWS Artifact. Además, puede utilizar la Servicio de AWS documentación para validar la cobertura.

2.2 ¿El servicio AWS de seguridad ayuda a mitigar el riesgo?

La gestión de riesgos es un factor clave para ayudar a proteger a las empresas contra muchas amenazas. La decisión de adoptar un servicio puede estar directamente relacionada con la mitigación de uno o más riesgos elevados en su organización. El servicio AWS de seguridad debe mitigar el riesgo a un nivel aceptable, en función de su apetito por el riesgo y del contexto empresarial.

2.3 ¿Demuestra el POT la eficacia del servicio de seguridad?

La eficacia del servicio de AWS seguridad debe demostrarse mediante un POT, de acuerdo con las diferentes métricas de cada servicio de seguridad. Por ejemplo, el POT podría validar que el servicio puede detectar y responder rápidamente a las amenazas de seguridad mediante un algoritmo de inteligencia de amenazas. Puede evaluar el éxito confirmando que las amenazas se detectaron en cuestión de minutos y que las notificaciones y correcciones automatizadas se ejecutaron correctamente. En el caso de un servicio de gestión de vulnerabilidades, puede evaluar la eficacia en función de lo siguiente:

  • ¿Cuántas vulnerabilidades se detectaron?

  • ¿Cuál es la tasa de éxito de la aplicación de parches y actualizaciones?

  • Para proteger la web, ¿se bloquearon inmediatamente los ataques de secuencias de comandos entre sitios (XSS) y de inyección de SQL realizados por el equipo de seguridad ofensivo (también conocido como equipo rojo)?

AWS Los servicios profesionales y los AWS socios pueden ayudarlo en esta evaluación del POT.

2.4 ¿El coste total de propiedad es inferior al del control o la solución actuales?

Un menor TCO puede ayudarle a optimizar los costes de su organización. Algunas métricas comunes que se utilizan en estas comparaciones son: los costos de adquisición e implementación, los gastos fijos y variables, los costos de operación, los costos de mantenimiento y soporte, los costos de expansión y confiabilidad y los costos de capacitación. Existen otras mediciones y comparaciones de costos que puede realizar en función de su caso de uso específico. Calculadora de precios de AWSPueden ayudarlo a estimar los costos Servicios de AWS. Además, puede utilizar los productos de las rutas gratuitas capa gratuita de AWS y las que aparecen en ellas para evaluar muchas de ellas Servicios de AWS. Para obtener más información, consulte las versiones de prueba Nube de AWS de seguridad gratuitas.

2.5 Decisión de compensación

La decisión de compensación requiere equilibrar varios factores, en particular la eficacia del servicio y las consideraciones sobre el TCO. Cuando no sea posible realizar cálculos exactos o determinaciones claras, evalúe el equilibrio general entre beneficios y limitaciones.

Es posible que surja un equilibrio positivo incluso cuando los factores parezcan entrar en conflicto. Por ejemplo, un servicio puede aumentar los costes pero ofrecer una mayor escalabilidad. Esto representa un equilibrio positivo en el que la mejora de la eficacia justifica los costes adicionales. Por el contrario, una reducción de las capacidades podría no ser aceptable, incluso si un servicio ofrece un ahorro de costes significativo.

Debe sopesar toda la información disponible para determinar un resultado general positivo o negativo. Sobre la base de este análisis, puede tomar una decisión de compensación.