Programa de riesgos y conformidad de AWS - Amazon Web Services: Risk and Compliance
Gestión de riesgos empresariales de AWSGestión operativa y empresarial Entorno de control y automatizaciónEvaluación de controles y monitoreo continuo Certificaciones, programas e informes de AWS y acreditaciones independientesCloud Security Alliance

Programa de riesgos y conformidad de AWS

AWS ha integrado un programa de riesgos y conformidad en toda la organización. Este programa tiene como objetivo gestionar el riesgo en todas las fases del diseño e implementación de servicios y mejorar y revaluar continuamente las actividades relacionadas con el riesgo de la organización. Los componentes del programa integrado de riesgos y conformidad de AWS se analizan en mayor detalle en las siguientes secciones.

Gestión de riesgos empresariales de AWS

AWS cuenta con un programa de gestión de riesgos empresariales (BRM) que se asocia con las unidades de negocio de AWS para ofrecer a la junta directiva de AWS y a los directivos de AWS una visión integral de los principales riesgos en AWS. El programa BRM demuestra una supervisión independiente de los riesgos de las funciones de AWS. Específicamente, el programa BRM hace lo siguiente:

  • Realiza evaluaciones de riesgos y monitoreo de riesgos de áreas funcionales clave de AWS

  • Identifica e impulsa la corrección de riesgos

  • Mantiene un registro de riesgos conocidos

Para impulsar la corrección de riesgos, el programa BRM informa de los resultados de sus esfuerzos y, cuando es necesario, los remite a los directores y vicepresidentes de toda la empresa para informar de la toma de decisiones de la empresa.

Gestión operativa y empresarial

AWS realiza una combinación de reuniones e informes semanales, mensuales y trimestrales para, entre otras cosas, garantizar la comunicación de los riesgos en todos los componentes del proceso de gestión de riesgos. Además, AWS implementa un proceso de escalado para proporcionar visibilidad a la dirección de los riesgos de alta prioridad en toda la organización. Estos esfuerzos, en conjunto, ayudan a garantizar que el riesgo se administre de manera coherente con la complejidad del modelo de negocio de AWS.

Además, a través de una estructura de responsabilidad en cascada, los vicepresidentes (propietarios de empresas) son responsables de la supervisión de su negocio. Con este fin, AWS realiza reuniones semanales para revisar las métricas operativas e identificar las tendencias y los principales riesgos antes de que afecten al negocio.

Los altos cargos desempeñan funciones importantes a la hora de definir los valores principales y el tono de AWS. Todos los ​empleados reciben el Código deontológico y de conducta comercial de la empresa y, además, completan un proceso de capacitación periódica de empleados. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir las políticas establecidas.

La estructura organizativa de AWS ofrece una estructura de planificación, ejecución y control de las operaciones empresariales. Esta estructura organizativa incluye funciones y responsabilidades a fin de habilitar al personal adecuado, realizar las operaciones con eficacia y facilitar la segregación de funciones. La dirección también tiene líneas apropiadas definidas para generar informes del personal clave. Los procesos de verificación para la contratación de la empresa comprenden la validación de la formación, la experiencia profesional anterior y, en algunos casos, la comprobación de antecedentes de conformidad con la legislación y los reglamentos a efectos de que los empleados se ajusten al cargo que ocuparán y al nivel de acceso a las instalaciones de AWS. La empresa sigue un proceso de contratación estructurado para familiarizar a los nuevos empleados con las herramientas, los procesos, los sistemas, las políticas y los procedimientos de Amazon.

Entorno de control y automatización

AWS implementa controles de seguridad como un elemento fundamental para administrar el riesgo en toda la organización. El entorno de control de AWS se compone de estándares, procesos y estructuras que proporcionan la base para implementar un conjunto mínimo de requisitos de seguridad en AWS.

Si bien los procesos y estándares incluidos como parte del entorno de control de AWS se mantienen por sí solos, AWS también aprovecha aspectos del entorno de control general de Amazon. Las herramientas utilizadas incluyen:

  • Herramientas utilizadas en todas las empresas de Amazon, como la herramienta que gestiona la separación de tareas

  • Ciertas funciones empresariales en todo Amazon, como las legales, de recursos humanos y financieras

En los casos en que AWS aprovecha el entorno de control general de Amazon, los estándares y procesos que rigen estos mecanismos se adaptan específicamente al negocio de AWS. Esto significa que las expectativas para su uso y aplicación dentro del entorno de control de AWS pueden diferir de las expectativas de su uso y aplicación en el entorno general de Amazon. El entorno de control de AWS actúa en última instancia como la base para la entrega segura de ofertas de servicios de AWS.

La automatización del control es una forma de que AWS reduzca la intervención humana en ciertos procesos recurrentes que comprenden el entorno de control de AWS. Es clave para la implementación efectiva del control de seguridad de la información y la gestión asociada de los riesgos. La automatización del control busca minimizar de manera proactiva las posibles inconsistencias en la ejecución del proceso que pueden surgir debido a la naturaleza defectuosa de los humanos que realizan un proceso repetitivo. Mediante la automatización del control, se eliminan las posibles desviaciones del proceso. Esto proporciona mayores niveles de seguridad de que se aplicará un control según lo diseñado.

Los equipos de ingeniería de AWS en todas las funciones de seguridad son responsables de diseñar el entorno de control de AWS para admitir mayores niveles de automatización de controles siempre que sea posible. Entre los ejemplos de controles automatizados en AWS se incluyen:

  • Gobernanza y supervisión: control de versiones y aprobación de políticas

  • Administración de personal: impartición de formación automatizada, despido rápido de empleados

  • Administración de desarrollo y configuración: canalizaciones de implementación de código, análisis de código, copia de seguridad de código, pruebas de implementación integradas

  • Identity and Access Management: división automatizada de tareas, revisiones de acceso, administración de permisos

  • Monitoreo y registro: recopilación y correlación de registros automatizadas, alarmas

  • Seguridad física: procesos automatizados relacionados con los centros de datos de AWS, incluida la administración de hardware, la formación en seguridad del centro de datos, alarmas de acceso y administración de acceso físico

  • Análisis y administración de parches: análisis de vulnerabilidades, administración de parches e implementación automatizados

Evaluación de controles y monitoreo continuo

AWS implementa diversas actividades antes y después de la implementación del servicio para reducir aún más el riesgo en el entorno de AWS. Estas actividades integran los requisitos de seguridad y conformidad durante el diseño y el desarrollo de cada servicio de AWS y, a continuación, validan que los servicios funcionen de forma segura una vez que pasan a producción (lanzamiento).

Las actividades de conformidad y gestión de riesgos incluyen dos actividades previas al lanzamiento y dos actividades posteriores al lanzamiento. Las actividades previas al lanzamiento son las siguientes:

  • Revisión de la administración de riesgos de seguridad de aplicaciones de AWS para validar que los riesgos de seguridad se han identificado y mitigado

  • Revisión de la preparación de la arquitectura para ayudar a los clientes a garantizar que están en consonancia con los regímenes de conformidad

En el momento de su implementación, un servicio habrá pasado por evaluaciones rigurosas en relación con los requisitos de seguridad detallados para cumplir con los altos estándares de seguridad de AWS. Las actividades posteriores al lanzamiento son las siguientes:

  • Revisión continua de AWS Application Security para garantizar que se mantenga la posición de seguridad del servicio

  • Análisis continuo de la administración de vulnerabilidades

Estas evaluaciones de control y el monitoreo continuo permiten a los clientes regulados la capacidad de crear con confianza soluciones conformes en los servicios de AWS. Para obtener una lista de los servicios incluidos en el ámbito de varios programas de conformidad, consulte la página web Servicios de AWS en el ámbito.

Certificaciones, programas e informes de AWS y acreditaciones independientes

AWS se somete regularmente a auditorías de certificación independientes de terceros para garantizar que las actividades de control funcionen según lo previsto. Más específicamente, AWS se audita en función de una variedad de marcos de seguridad globales y regionales que dependen de la región y el sector. AWS participa en más de 50 programas de auditoría diferentes.

El organismo evaluador documenta los resultados de estas auditorías y los pone a disposición de todos los clientes de AWS a través de AWS Artifact. AWS Artifact es un portal autoservicio gratuito para obtener acceso a informes de conformidad de AWS bajo demanda. Cuando se publican nuevos informes, están disponibles en AWS Artifact, lo que permite a los clientes supervisar continuamente la seguridad y la conformidad de AWS con acceso inmediato a los nuevos informes.

En función de los requisitos contractuales o reglamentarios locales de un país o sector, AWS también puede someterse a auditorías directamente con los clientes o los auditores gubernamentales. Estas auditorías proporcionan una supervisión adicional del entorno de control de AWS para garantizar que los clientes tengan las herramientas para ayudarse a sí mismos a operar con confianza, conformidad y de manera basada en el riesgo mediante el uso de los servicios de AWS.

Para obtener información más detallada sobre los programas de certificación de AWS, los informes y las atestaciones de terceros, visite la página web del programa de conformidad de AWS. También puede visitar la página web de Servicios de AWS en el ámbito para obtener información específica del servicio.

Cloud Security Alliance

AWS participa en la autoevaluación voluntaria de Cloud Security Alliance (CSA) Security, Trust & Assurance Registry (STAR) de CSA para documentar nuestra conformidad con las prácticas recomendadas publicadas por CSA. La CSA es “la organización líder mundial dedicada a definir y crear conciencia sobre las prácticas recomendadas para ayudar a garantizar un entorno de computación en la nube seguro”. El Cuestionario de la Iniciativa de Evaluación de Consenso de la CSA (CAIQ) proporcionado por la CSA anticipa un conjunto de preguntas que un cliente de la nube. y/o un auditor de la nube preguntaría a un proveedor de la nube. Contiene una serie de preguntas sobre la seguridad, el control y los procesos que pueden utilizarse para una amplia variedad de esfuerzos, entre otros, para evaluar la seguridad y seleccionar al proveedor de la nube.

Hay dos recursos disponibles para los clientes que documentan la alineación de AWS con el CAIQ de CSA. El primero es el documento técnico de CAIQ de CSA y el segundo es una asignación de control más detallada para nuestros controles SOC-2, que está disponible a través de AWS Artifact. Para obtener más información sobre la participación de AWS en el CAIQ de CSA, consulte el sitio de CSA de AWS.