SEC01-BP03 Identificar e validar objetivos de controle

Com base em seus requisitos de conformidade e riscos identificados no modelo de ameaça, derive e valide os objetivos de controle e os controles que você precisa aplicar à workload. A validação contínua de objetivos de controle e controles ajuda a medir a eficácia da mitigação de riscos.

Resultado desejado: os objetivos de controle de segurança da sua empresa estão bem definidos e alinhados aos seus requisitos de conformidade. Os controles são implementados e aplicados por meio de automação e políticas, bem como continuamente avaliados quanto à respectiva eficácia para alcançar seus objetivos. As evidências de eficácia em determinado momento e durante um período de tempo podem ser facilmente relatadas aos auditores.

Antipadrões comuns:

• Os requisitos regulatórios, as expectativas de mercado e os padrões do setor de garantia de segurança não são claros para sua empresa.

• Seus frameworks de segurança cibernética e seus objetivos de controle estão desalinhados com relação aos requisitos de sua empresa.

• A implementação de controles não se alinha de maneira consistente e mensurável com os seus objetivos de controle.

• Você não usa a automação para relatar a eficácia de seus controles.

Nível de exposição a riscos se esta prática recomendada não for estabelecida: alto

Orientações para a implementação

Há muitos frameworks comuns de segurança cibernética que podem servir de base para seus objetivos de controle de segurança. Considere os requisitos regulatórios, as expectativas de mercado e os padrões do setor aplicáveis à sua empresa a fim de determinar quais frameworks atendem melhor às suas necessidades. Exemplos incluem AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001 e NIST SP 800-53.

Com relação aos objetivos de controle identificados, entenda como os serviços da AWS que você consome ajudam a atingi-los. Use o AWS Artifact para encontrar documentos e relatórios alinhados aos frameworks pretendidos que descrevam o escopo de responsabilidade atendido pela AWS e orientações sobre o escopo restante sob sua responsabilidade. Para obter mais orientações específicas aos serviços, relativas ao alinhamento com diferentes declarações de controle de framework, consulte AWS Customer Compliance Guides.

Ao definir os controles que viabilizam seus objetivos, codifique a imposição usando controles preventivos e automatize a mitigação usando controles de detecção. Ajude a evitar configurações e ações de recursos irregulares no AWS Organizations usando políticas de controle de serviços (SCPs). Implemente regras no AWS Config para monitorar e relatar recursos irregulares e, em seguida, mude-as para um modelo de imposição quando acreditar que elas terão o comportamento desejado. Para implantar conjuntos de regras predefinidas e gerenciadas que se alinham aos seus frameworks de segurança cibernética, avalie o uso de padrões do AWS Security Hub como sua primeira opção. O padrão de Práticas de Segurança Básica da AWS (FSBP) e o CIS AWS Foundations Benchmark são bons pontos de partida e têm controles que se alinham a muitos objetivos que são compartilhados em vários frameworks padrão. Quando o Security Hub não tiver intrinsecamente as detecções de controle desejadas, elas poderão ser complementadas usando os pacotes de conformidade do AWS Config.

Use os pacotes de parceiros da APN recomendados pela equipe do programa Aceleração da Segurança e Conformidade Global (GSCA) da AWS para obter assistência de consultores de segurança, agências de consultoria, sistemas de coleta de evidências e geração de relatórios, auditores e outros serviços complementares quando necessário.

Etapas da implementação

1. Avalie frameworks comuns de segurança cibernética e alinhe seus objetivos de controle aos escolhidos.

2. Obtenha documentação relevante sobre orientações e responsabilidades pelo uso de seu framework usando o AWS Artifact. Entenda quais partes da conformidade enquadram-se no Modelo de Responsabilidade Compartilhada da AWS e quais partes são de sua responsabilidade.

3. Use SCPs, políticas de recursos, políticas de confiança de perfil e outras barreiras de proteção para evitar configurações e ações de recursos irregulares.

4. Avalie a implantação de padrões do Security Hub e de pacotes de conformidade do AWS Config que se alinhem aos seus objetivos de controle.

Recursos

Práticas recomendadas relacionadas:

• SEC03-BP01 Definir requisitos de acesso

• SEC04-BP01 Configurar registro em log de serviço e aplicação

• SEC07-BP01 Compreender seu esquema de classificação de dados

• OPS01-BP03 Avaliar os requisitos de governança

• OPS01-BP04 Avaliar os requisitos de conformidade

• PERF01-BP05 Usar políticas e arquiteturas de referência

• COST02-BP01 Desenvolver políticas com base nos requisitos da sua organização

Documentos relacionados:

• AWS Customer Compliance Guides

Ferramentas relacionadas:

• AWS Artifact