SEC01-BP03 Identificazione e convalida degli obiettivi di controllo

In base ai requisiti di conformità e ai rischi identificati dal modello di rischio, deriva e convalida gli obiettivi di controllo e i controlli da applicare al carico di lavoro. La convalida continua degli obiettivi di controllo e dei controlli aiuta a misurare l'efficacia della mitigazione dei rischi.

Risultato desiderato: gli obiettivi di controllo della sicurezza della tua azienda sono ben definiti e allineati ai tuoi requisiti di conformità. I controlli vengono implementati e applicati attraverso l'automazione e le policy e vengono costantemente valutati per verificarne l'efficacia nel raggiungimento degli obiettivi. Le prove dell'efficacia, sia in un determinato momento che in un determinato periodo di tempo, sono prontamente comunicate ai revisori.

Anti-pattern comuni:

• I requisiti normativi, le aspettative del mercato e gli standard di settore per una sicurezza certa non sono ben compresi dalla tua azienda.

• I framework di sicurezza informatica e gli obiettivi di controllo non sono allineati ai requisiti dell'azienda.

• L'implementazione dei controlli non è perfettamente allineata agli obiettivi di controllo in modo misurabile.

• L'automazione non viene utilizzata per creare report sull'efficacia dei tuoi controlli.

Livello di rischio associato se questa best practice non fosse adottata: elevato

Guida all'implementazione

I framework di sicurezza informatica comunemente utilizzati sono molti e possono costituire la base per gli obiettivi di controllo della sicurezza. Per determinare quale sia il framework più adatto alle tue esigenze, considera i requisiti normativi, le aspettative del mercato e gli standard di settore dell'azienda. A titolo esemplificativo, è possibile citare AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001 e NIST SP 800-53.

Per gli obiettivi di controllo identificati, occorre comprendere in che modo i servizi AWS utilizzati permettono di conseguirli. Utilizza AWS Artifact per ricercare la documentazione e i report allineati ai framework di riferimento che descrivono l'ambito di responsabilità coperto da AWS e le linee guida per l'ambito che rimane di tua competenza. Per ulteriori indicazioni specifiche sui servizi che si allineano alle varie dichiarazioni di controllo dei framework, consulta AWS Customer Compliance Guides.

Nel definire i controlli che raggiungono i tuoi obiettivi, codifica l'applicazione utilizzando i controlli preventivi e automatizza le mitigazioni mediante i controlli di rilevamento. Aiuta a prevenire le configurazioni e le azioni non conformi su AWS Organizations utilizzando le policy di controllo dei servizi. Implementa le regole in AWS Config per monitorare e segnalare le risorse non conformi, per poi passare a un modello di applicazione delle regole nel momento in cui il comportamento di tali risorse sarà sicuro. Per distribuire set di regole predefinite e gestite che si allineano ai tuoi framework di sicurezza informatica, valuta l'uso degli standard AWS Security Hub come prima opzione. Lo standard AWS Foundational Service Best Practices (FSBP) e il CIS AWS Foundations Benchmark sono validi punti di partenza con controlli che si allineano a molti obiettivi condivisi da più framework standard. Laddove Security Hub non disponga intrinsecamente dei rilevamenti di controllo desiderati, può essere integrato utilizzando i pacchetti di conformità AWS Config.

Utilizza i Pacchetti APN Partner consigliati dal team AWS Global Security and Compliance Acceleration (GSCA) per ricevere l'assistenza di consulenti di sicurezza, agenzie di consulenza, sistemi di raccolta delle prove e di reporting, revisori dei conti e altri servizi complementari, se necessario.

Passaggi dell'implementazione

1. Valuta i framework di sicurezza informatica comuni e allinea i tuoi obiettivi di controllo a quelli scelti.

2. Ottieni la documentazione pertinente sulle linee guida e le responsabilità per il tuo framework utilizzando AWS Artifact. Comprendi quali parti della conformità rientrano nel modello di responsabilità condivisa AWS e quali sono di tua competenza.

3. Utilizza le policy di controllo dei servizi, le policy sulle risorse, le policy di attendibilità dei ruoli e altri guardrail per prevenire configurazioni e azioni delle risorse non conformi.

4. Valuta l'implementazione di standard Security Hub e pacchetti di conformità AWS Config in linea con i tuoi obiettivi di controllo.

Risorse

Best practice correlate:

• SEC03-BP01 Definizione dei requisiti di accesso

• SEC04-BP01 Configurazione dei registri di servizi e applicazioni

• SEC07-BP01 Comprendere lo schema di classificazione dei dati

• OPS01-BP03 Valutazione dei requisiti di governance

• OPS01-BP04 Valutazione dei requisiti di conformità

• PERF01-BP05 Uso delle policy e delle architetture di riferimento

• COST02-BP01 Sviluppo di policy basate sui requisiti dell'organizzazione

Documenti correlati:

• AWS Customer Compliance Guides

Strumenti correlati:

• AWS Artifact