OPS01-BP05 Evaluación del panorama de amenazas
Evalúe las amenazas para la empresa (por ejemplo, las empresas de la competencia, los riesgos y responsabilidades empresariales, los riesgos operativos y las amenazas para la seguridad de la información) y mantenga la información actualizada en un registro de riesgos. Incluya la repercusión de los riesgos a la hora de determinar dónde centrar los esfuerzos.
El Marco de Well-Architected
Los clientes de AWS son elegibles para una revisión de Well-Architected de sus cargas de trabajo de importancia crítica para medir sus arquitecturas
La participación de todos los equipos en estas revisiones ayuda a establecer un entendimiento común de sus cargas de trabajo y de cómo los roles del equipo contribuyen al éxito. Las necesidades identificadas a través de la revisión pueden ayudar a dar forma a sus prioridades.
AWS Trusted Advisor
Resultado deseado:
-
Revisa y toma medidas regularmente en función de los resultados de Well-Architected y Trusted Advisor.
-
Conoce las revisiones que se han aplicado más recientemente a sus servicios.
-
Conoce el riesgo y la repercusión de las amenazas conocidas y actúa en consecuencia.
-
Implementa mitigaciones de la forma necesaria.
-
Comunica acciones y el contexto.
Patrones comunes de uso no recomendados:
-
Está utilizando una versión antigua de una biblioteca de software en su producto. No está al corriente de las actualizaciones de seguridad de la biblioteca por problemas que pueden tener un impacto no deseado en la carga de trabajo.
-
Su competidor acaba de lanzar una versión de su producto que resuelve muchas de las quejas de sus clientes sobre su producto. No ha priorizado la resolución de ninguno de estos problemas conocidos.
-
Los reguladores han estado persiguiendo a empresas como la suya que no cumplen con los requisitos legales de conformidad de la normativa. No ha priorizado el cumplimiento de ninguno de sus requisitos pendientes.
Beneficios de establecer esta práctica recomendada: identifica y comprende las amenazas a su organización y carga de trabajo, lo que lo ayuda a determinar qué amenazas debe abordar, su prioridad y los recursos necesarios para hacerlo.
Nivel de riesgo expuesto si no se establece esta práctica recomendada: medio
Guía para la implementación
-
Evaluación del panorama de amenazas: evalúe las amenazas a la empresa (por ejemplo, competencia, riesgos y responsabilidades comerciales, riesgos operativos y amenazas a la seguridad de la información), de modo que pueda incluir su impacto al determinar dónde centrar los esfuerzos.
-
Mantenimiento de un modelo de amenazas: establezca y mantenga un modelo de amenazas que identifique las amenazas potenciales, las mitigaciones planificadas y en curso, y su prioridad. Revise la probabilidad de que las amenazas se manifiesten en forma de incidentes, el costo de recuperación de dichos incidentes y el daño causado esperado, así como el costo de prevención de los incidentes. Revise las prioridades a medida que cambie el contenido del modelo de amenazas.
Recursos
Prácticas recomendadas relacionadas:
Documentos relacionados:
Videos relacionados: