Gobernanza

La gobernanza de seguridad, como un subconjunto del enfoque general, se utiliza para cumplir los objetivos empresariales mediante la definición de políticas y objetivos de control con el fin de gestionar el riesgo. Gestione el riesgo con un enfoque por capas en relación con los objetivos de control de seguridad: cada capa se basa en la anterior. Comprender el modelo de responsabilidad compartida de AWS es la capa fundamental. Al conocer este modelo, podrá establecer con claridad sus responsabilidades en lo que respecta al cliente y las que ha heredado de AWS. Un recurso beneficioso es AWS Artifact, que le ofrece acceso bajo demanda a los informes de cumplimiento y seguridad de AWS y a determinados acuerdos en línea.

Logre la mayoría de sus objetivos de control en la próxima capa. Esta capa es la que proporciona la capacidad a toda la plataforma. Por ejemplo, esta capa incluye el proceso de aprovisionamiento de cuentas de AWS, la integración con un proveedor de identidades, como AWS IAM Identity Center, y los controles habituales de detección. Aquí también se incluyen algunos de los resultados del proceso de gobernanza de la plataforma. Cuando quiera comenzar a usar un nuevo servicio de AWS, actualice las políticas de control de servicio (SCP) en el servicio de AWS Organizations para proporcionar las barreras de protección durante el uso inicial del servicio. Puede utilizar otras SCP para implementar objetivos comunes de control de seguridad que, a menudo, se denominan invariables de seguridad. Se trata de objetivos de control o configuración que puede aplicar a varias cuentas, unidades organizativas o toda la organización de AWS. Ejemplos típicos de esto son limitar las regiones en las que se ejecuta la infraestructura o impedir que se desactiven los controles de detección. Esta capa intermedia también incluye políticas codificadas, como, por ejemplo, reglas de configuración o comprobaciones en las canalizaciones.

En la capa superior es donde los equipos de productos logran los objetivos de control. Esto se debe a que la implementación se lleva a cabo en las aplicaciones que estos equipos controlan. Esto podría hacerse mediante la implementación de la validación de entrada en una aplicación o al garantizar que la identidad se transfiere correctamente entre los microservicios. Aunque el equipo de productos sea el propietario de la configuración, sus miembros pueden seguir heredando cierta capacidad de la capa intermedia.

Cada vez que implemente el control, el objetivo es el mismo: gestionar el riesgo. Una selección de marcos de gestión de riesgos se aplica a determinados, sectores, regiones o tecnologías. Su objetivo principal: destacar el riesgo en función de su probabilidad y consecuencia. Este es el riesgo inherente. Puede definir un objetivo de control que reduzca tanto la probabilidad como la consecuencia, o ambas opciones. Luego, con un control establecido, puede ver cuál es el riesgo probable. Este es el riesgo residual. Los objetivos de control pueden aplicarse a una o varias cargas de trabajo. En el siguiente diagrama se muestra una matriz típica de riesgos. La probabilidad se basa en la frecuencia de incidencias anteriores y la consecuencia en los costos financieros, relacionados con la reputación y con el tiempo invertido del evento.

Risk matrix showing likelihood vs. consequence, with risk levels from low to critical.

Figura 2: Matriz de probabilidad de nivel de riesgo

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Responsabilidad compartida

Administración y separación de cuentas de AWS