SEC01-BP03 Identificar e validar objetivos de controle
Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à workload. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos.
Resultado desejado: os objetivos de controle de segurança da sua empresa estão bem definidos e alinhados aos seus requisitos de conformidade. Os controles são implementados e aplicados por meio de automação e políticas, bem como continuamente avaliados quanto à respectiva eficácia para alcançar seus objetivos. As evidências de eficácia em determinado momento e durante um período de tempo podem ser facilmente relatadas aos auditores.
Antipadrões comuns:
-
Os requisitos regulatórios, as expectativas de mercado e os padrões do setor de garantia de segurança não são claros para sua empresa.
-
Seus frameworks de segurança cibernética e seus objetivos de controle estão desalinhados com relação aos requisitos de sua empresa.
-
A implementação de controles não se alinha de maneira consistente e mensurável com os seus objetivos de controle.
-
Você não usa a automação para relatar a eficácia de seus controles.
Nível de exposição a riscos se esta prática recomendada não for estabelecida: alto
Orientações para a implementação
Há muitos frameworks comuns de segurança cibernética que podem servir de base para seus objetivos de controle de segurança. Considere os requisitos regulatórios, as expectativas de mercado e os padrões do setor aplicáveis à sua empresa a fim de determinar quais frameworks atendem melhor às suas necessidades. Exemplos incluem AICPA SOC 2
Com relação aos objetivos de controle identificados, entenda como os serviços da AWS que você consome ajudam a atingi-los. Use o AWS Artifact
Ao definir os controles que viabilizam seus objetivos, codifique a imposição usando controles preventivos e automatize a mitigação usando controles de detecção. Ajude a evitar configurações e ações de recursos irregulares no AWS Organizations usando políticas de controle de serviços (SCPs). Implemente regras no AWS Config
Use os pacotes de parceiros da APN
Etapas da implementação
-
Avalie frameworks comuns de segurança cibernética e alinhe seus objetivos de controle aos escolhidos.
-
Obtenha documentação relevante sobre orientações e responsabilidades pelo uso de seu framework usando o AWS Artifact. Entenda quais partes da conformidade enquadram-se no Modelo de Responsabilidade Compartilhada da AWS e quais partes são de sua responsabilidade.
-
Use SCPs, políticas de recursos, políticas de confiança de perfil e outras barreiras de proteção para evitar configurações e ações de recursos irregulares.
-
Avalie a implantação de padrões do Security Hub e de pacotes de conformidade do AWS Config que se alinhem aos seus objetivos de controle.
Recursos
Práticas recomendadas relacionadas:
Documentos relacionados:
Ferramentas relacionadas: