Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Dominios del flujo de trabajo de seguridad y cumplimiento
<a name="domains"></a>

En esta sección se describen en detalle los dominios de los que es responsable el flujo de trabajo de seguridad y cumplimiento. Durante la fase de movilización de su proyecto de migración, estos dominios ayudan a acelerar la planificación e implementación de la seguridad y el cumplimiento en AWS los siguientes ámbitos:
+ [Descubrimiento y alineación de la seguridad](discovery-and-alignment.md)
+ [Mapeo del marco de seguridad](mapping.md)
+ [Implementación, integración y validación de la seguridad](implementation-integration-and-validation.md)
+ [Documentación de seguridad](documentation.md)
+ [Operaciones en la nube de seguridad y cumplimiento](cloud-operations.md)

Es importante abordar estos dominios durante la fase de movilización para proteger las actividades de migración durante la siguiente fase de migración y modernización.

# Descubrimiento y alineación de la seguridad
<a name="discovery-and-alignment"></a>

Al organizar un proyecto de migración, el primer dominio del flujo de trabajo de seguridad y cumplimiento es el *descubrimiento y la alineación de la seguridad*. El objetivo de este dominio es ayudar a su organización a alcanzar los siguientes objetivos:
+ Capacite al flujo de trabajo de seguridad y cumplimiento sobre los servicios AWS de seguridad, las capacidades y el cumplimiento de la normativa
+ Descubra sus requisitos de seguridad y cumplimiento y sus prácticas actuales. Tenga en cuenta estos requisitos desde el punto de vista de la infraestructura y las operaciones, que incluyen:
  + Los desafíos de seguridad y los factores que impulsan el estado final objetivo
  + Conjunto de habilidades del equipo de seguridad en la nube
  + Políticas, configuraciones, controles y barreras de cumplimiento y riesgo de seguridad
  + Nivel de referencia y apetito por los riesgos de seguridad
  + Herramientas de seguridad actuales y futuras

## Talleres de un día de inmersión
<a name="immersion-day-workshops"></a>

Para cumplir con estos objetivos, aproveche los días de inmersión en seguridad y cumplimiento. Los *días de inmersión* son talleres que cubren una variedad de temas relacionados con la seguridad, como:
+ [AWS modelo de responsabilidad compartida](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ [AWS servicios de seguridad](https://aws.amazon.com/products/security/)
+ [AWS Arquitectura de referencia de seguridad (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/)
+ [AWS conformidad](https://aws.amazon.com/compliance/)
+ El [pilar de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) del AWS Well-Architected Framework

Los talleres de un día de inmersión ayudan a establecer una base de conocimientos para su equipo de seguridad. Los capacita sobre los servicios AWS de seguridad y las mejores prácticas de seguridad y cumplimiento. AWS Los arquitectos de soluciones, los servicios AWS profesionales y AWS los socios pueden ayudarlo a realizar estos talleres interactivos. Utilizan plataformas de presentación estándar, laboratorios de AWS y actividades de pizarra para ayudar a preparar a sus equipos.

## Talleres de descubrimiento
<a name="discovery-workshops"></a>

Tras los talleres del día de inmersión, realizará varios talleres exhaustivos de descubrimiento de la seguridad y el cumplimiento. Estos ayudan a sus equipos a descubrir los requisitos actuales de seguridad, riesgo y conformidad (SRC) de la infraestructura, las aplicaciones y las operaciones. Estos requisitos se analizan desde las siguientes perspectivas: personas, procesos y tecnología. Las siguientes son las áreas de descubrimiento para cada perspectiva.

### Perspectiva de las personas
<a name="people-perspective"></a>
+ **Estructura organizativa**: comprenda la estructura y las responsabilidades actuales del flujo de trabajo en materia de seguridad y cumplimiento.
+ **Capacidades y habilidades**: tenga conocimientos y habilidades prácticas para y para las capacidades de seguridad Servicios de AWS y cumplimiento de la nube. Esto incluye el descubrimiento, la planificación, la implementación y las operaciones.
+ **Matriz de responsabilidad, rendición de cuentas, consulta e información (RACI)**: defina las funciones y responsabilidades de las actividades actuales de seguridad y cumplimiento dentro de la organización.
+ **Cultura**: comprenda la cultura actual de seguridad y cumplimiento. Priorice la seguridad y el cumplimiento como parte de las fases de creación, diseño, implementación y operación. Introduzca las operaciones de seguridad de desarrollo (DevSecOps) en la cultura de seguridad y cumplimiento de la nube.

### Perspectiva de procesos
<a name="process-perspective"></a>
+ **Prácticas**: defina y documente los procesos actuales de seguridad y cumplimiento para crear, diseñar, implementar y operar. Los procesos incluyen:
  + Acceso y administración de identidades
  + Controles de detección y respuesta a incidentes
  + Seguridad de infraestructura y red
  + Protección de datos
  + Conformidad
  + Continuidad y recuperación del negocio
+ **Documentación de implementación**: documente las políticas de seguridad y cumplimiento, las configuraciones de control, la documentación de herramientas y la documentación de arquitectura. Estos documentos son necesarios para cubrir la seguridad y el cumplimiento de las áreas de infraestructura, red, aplicaciones, bases de datos y despliegue.
+ **Documentación sobre los riesgos**: cree una documentación sobre los riesgos para la seguridad de la información que describa el riesgo y el umbral.
+ **Validaciones**: cree requisitos de validación y auditoría de seguridad internos y externos.
+ Guías de **ejecución**: desarrolle guías operativas que cubran los procesos actuales y estándares de implementación y gobierno en materia de seguridad y cumplimiento.

### Perspectiva tecnológica
<a name="technology-perspective"></a>
+ **Servicios y herramientas**: utilice herramientas para validar su postura de seguridad y cumplimiento y para hacer cumplir y gobernar el panorama de TI actual. Establezca herramientas para las siguientes categorías:
  + Acceso y administración de identidades
  + Controles de detección y respuesta a incidentes
  + Seguridad de infraestructura y red
  + Protección de datos
  + Conformidad
  + Continuidad y recuperación del negocio

Durante el taller AWS de descubrimiento de la seguridad, utilizará plantillas de recopilación de datos y cuestionarios estandarizados para recopilar datos. En situaciones en las que no pueda proporcionar la información debido a la falta de claridad de los datos o a que los datos estén obsoletos, puede utilizar una herramienta de detección de migraciones para recopilar información de seguridad a nivel de las aplicaciones y la infraestructura. Para obtener una lista de las herramientas de detección que puede utilizar, consulte las [herramientas de detección, planificación y recomendación de migración](https://aws.amazon.com/prescriptive-guidance/migration-tools/migration-discovery-tools/) en Prescriptive Guidance. AWS La lista proporciona detalles sobre las capacidades de descubrimiento y el uso de cada herramienta. También compara las herramientas para ayudarlo a elegir la mejor herramienta para cumplir con los requisitos y limitaciones de su entorno de TI.

Durante la evaluación de seguridad inicial, le recomendamos encarecidamente que comience con el modelado de amenazas. Esto le ayuda a identificar las posibles amenazas y las medidas existentes en vigor. También pueden existir requisitos predefinidos y documentados en materia de seguridad, cumplimiento y riesgo. Para obtener más información, consulte el [taller sobre modelado de amenazas para desarrolladores](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) (AWS formación) y consulte [Cómo abordar el modelado de amenazas](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (entrada del AWS blog). Este enfoque le ayuda a reconsiderar sus estrategias de seguridad y cumplimiento para el despliegue, la implementación y la gobernanza en el Nube de AWS.

# Mapeo del marco de seguridad
<a name="mapping"></a>

Tras completar el dominio de detección y alineación de la seguridad, el siguiente paso es completar el *dominio de mapeo del marco de seguridad*. Este dominio es un proceso de taller que asigna los requisitos de seguridad y cumplimiento descubiertos a los servicios Nube de AWS de seguridad. También alinea su arquitectura y sus operaciones con las mejores prácticas AWS de seguridad y cumplimiento. El taller mapea todos los requisitos desde la perspectiva de las personas, los procesos y la tecnología con el fin de cubrir los siguientes aspectos:
+ AWS infraestructura
  + Cuenta de AWS, infraestructura y protección de redes
  + Protección de datos
  + Conformidad
  + Detección y respuesta a incidentes
  + Identity and Access Management
  + Continuidad y recuperación del negocio
+ Solicitud en AWS
  + Siga las mejores prácticas Servicios de AWS para ayudar a proteger su aplicación
  + Control de acceso para aplicaciones, bases de datos, sistemas operativos y datos
  + Protección del sistema operativo
  + Protección de aplicaciones, bases de datos y datos
  + Detección y respuesta a incidentes
  + Conformidad
  + Continuidad y recuperación del negocio de las aplicaciones

Al completar el dominio de mapeo del marco de seguridad, tenga en cuenta la propensión al riesgo definida, la estructura del equipo, las habilidades y capacidades del equipo, los procesos de seguridad, las políticas de seguridad, los controles de seguridad, las herramientas, las operaciones de seguridad y otros requisitos y restricciones de seguridad. En general, el mapeo de los marcos de seguridad proporciona a las organizaciones un enfoque sistemático para gestionar los riesgos de seguridad, mantener el cumplimiento y mejorar continuamente su postura de seguridad, de acuerdo con los estándares y las mejores prácticas del sector.

[El proceso de mapeo del marco de [AWS seguridad utiliza la arquitectura de referencia de seguridad (AWS SRA)](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/), el [pilar de seguridad](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/welcome.html) del marco de buena AWS arquitectura, la [perspectiva de migración del](https://docs.aws.amazon.com/wellarchitected/latest/migration-lens/security.html) marco de AWS buena arquitectura y el documento técnico Introducción a la seguridad. AWS](https://docs.aws.amazon.com/whitepapers/latest/introduction-aws-security/welcome.html) Estos documentos sirven de referencia orientativa para ayudarle a seguir las AWS mejores prácticas en materia de seguridad y conformidad en la nube.

Al utilizar plantillas de mapeo estandarizadas en el taller, puede asignar el requisito al estado final objetivo. Destaca las herramientas Servicios de AWS, los procesos, las políticas, los controles y los cambios necesarios para alcanzar el estado final objetivo.

Al organizar el taller de mapeo del marco de seguridad, puede recurrir a servicios AWS profesionales, arquitectos de soluciones de AWS seguridad o AWS socios. Estos recursos pueden ayudarlo a acelerar y facilitar el taller. Los talleres de mapeo del marco de seguridad se pueden incluir como parte de una [fiesta sobre la aceleración basada en la experiencia (EBA)](https://aws.amazon.com/blogs/mt/level-up-your-cloud-transformation-with-experience-based-acceleration-eba/), dirigida por arquitectos de AWS soluciones, gerentes de soluciones para AWS clientes o AWS socios. La EBA actúa como un acelerador para ayudarlo a construir una Nube de AWS base sólida que siga las mejores prácticas de AWS migración y modernización.

# Implementación, integración y validación de la seguridad
<a name="implementation-integration-and-validation"></a>

Tras definir sus requisitos de seguridad, riesgo y conformidad, el siguiente dominio es la *implementación, la integración y la validación de la seguridad*. En función de los requisitos identificados, elija los controles y las medidas de seguridad adecuados para mitigar los riesgos de forma eficaz. Esto puede incluir el cifrado, los controles de acceso, los sistemas de detección de intrusos o los firewalls. Integre las soluciones de seguridad, como los sistemas de detección y prevención de intrusiones, la protección de terminales y la gestión de identidades, en la infraestructura de TI existente para ofrecer una cobertura de seguridad integral. Realice evaluaciones de seguridad periódicas, incluidas la detección de vulnerabilidades, las pruebas de penetración y la revisión del código, para validar la eficacia de los controles de seguridad e identificar las debilidades o deficiencias. Al centrarse en la implementación, la integración y la validación de la seguridad, las organizaciones pueden reforzar su postura de seguridad, reducir la probabilidad de que se produzcan infracciones de seguridad y demostrar el cumplimiento de los requisitos reglamentarios y los estándares del sector.

## Implementación
<a name="implementation"></a>

En primer lugar, actualice la documentación para adaptarla a su nivel actual de seguridad, riesgo y cumplimiento normativo. Esto le permite implementar los requisitos, controles, políticas y herramientas de seguridad y cumplimiento planificados en la nube. Este paso solo es necesario si ya cuenta con un registro de riesgos y tiene definidas sus preferencias, las cuales se habrían identificado durante los talleres de descubrimiento.

A continuación, debe implementar los requisitos, controles, políticas y herramientas de seguridad y cumplimiento planificados en la nube. Le recomendamos que los implemente en el siguiente orden: infraestructura, sistema operativo y Servicios de AWS, a continuación, aplicación o base de datos. Utilice la información de la siguiente tabla para asegurarse de haber abordado todas las áreas requeridas de seguridad y cumplimiento.


|  |  | 
| --- |--- |
| **Área** | **Requisitos de seguridad y conformidad** | 
| Infraestructura |   Cuenta de AWS    Zona de aterrizaje   Controles preventivos   Controles de detección     Segmentación de la red    Control de acceso    Cifrado    Registro, supervisión y alertas   | 
| Servicios de AWS |   Servicio de AWS configuración    instancias   Almacenamiento   Network     Control de acceso    Cifrado    Actualizaciones y parches    Registro, supervisión y alertas   | 
| Sistema operativo |   Antivirus    Protección contra malware y gusanos    Configuración    Protección de redes    Control de acceso    Cifrado    Actualizaciones y parches    Registro, supervisión y alertas   | 
| Aplicación o base de datos |   Configuración    Código y esquema    Control de acceso    Cifrado    Actualizaciones y parches    Registro, supervisión y alertas   | 

## Integración
<a name="integration"></a>

La implementación de la seguridad a menudo requiere la integración con lo siguiente:
+ **Redes**: redes dentro y fuera del Nube de AWS
+ Entorno de **TI híbrido: entornos de TI distintos del entorno** Nube de AWS, como los locales, las nubes públicas, las nubes privadas y las ubicaciones
+ **Software o servicios externos**: software y servicios gestionados por proveedores de software independientes (ISVs) y que no están alojados en su entorno.
+ Servicios de **modelo operativo en AWS la nube: servicios** de modelo operativo en la nube que proporcionan DevSecOps capacidades.

Durante la fase de evaluación de su proyecto de migración, utilice las herramientas de detección, la documentación existente o los talleres de entrevistas con las aplicaciones para identificar y confirmar estos puntos de integración de la seguridad. Al diseñar e implementar las cargas de trabajo en el Nube de AWS, establezca estas integraciones de acuerdo con las políticas y los procesos de seguridad y cumplimiento que definió durante los talleres de mapeo.

## Validación
<a name="validation"></a>

Tras la implementación y la integración, la siguiente actividad consiste en validar la implementación. Asegúrese de que la configuración esté alineada con las AWS mejores prácticas de seguridad y cumplimiento. Le recomendamos que valide la seguridad en dos áreas de cobertura:
+ **Evaluación de vulnerabilidades y pruebas de penetración específicas de la carga de trabajo**: valide la seguridad del sistema operativo, la aplicación, la base de datos o la red de las cargas de trabajo en las que se ejecutan. Servicios de AWS Para realizar estas validaciones, utilice las herramientas y los scripts de prueba existentes. Al realizar estas evaluaciones, es importante cumplir con la [política de atención al cliente en materia de pruebas de AWS penetración](https://aws.amazon.com/security/penetration-testing/).
+ **AWS****validación de las mejores prácticas de seguridad**: compruebe si su AWS implementación cumple con el AWS Well Architected Framework y otros parámetros seleccionados, como el Center for Internet Security (CIS). Para esta validación, puede utilizar herramientas y servicios como [Prowler](https://github.com/prowler-cloud/prowler/#requirements-and-installation) (GitHub) [AWS Trusted Advisor](https://docs.aws.amazon.com/awssupport/latest/user/getting-started.html), [AWS Service Screener () o [AWS Self-Service](https://github.com/awslabs/aws-security-assessment-solution)](https://github.com/aws-samples/service-screener-v2) Security Assessment (GitHub). GitHub

Es importante documentar y comunicar todos los hallazgos de seguridad y conformidad al equipo de seguridad y a los líderes. Estandarice las plantillas de informes y utilícelas para facilitar la comunicación con las partes interesadas en materia de seguridad respectivas. Documente todas las excepciones realizadas durante la búsqueda de soluciones y asegúrese de que las partes interesadas en materia de seguridad correspondientes las aprueben.

# Documentación de seguridad
<a name="documentation"></a>

Al movilizar la seguridad y el cumplimiento durante una migración, es esencial definir y documentar cómo se implementan la seguridad y el cumplimiento en la nube. La documentación debe incluir lo siguiente:
+ **Documentación de implementación de la seguridad y el cumplimiento**: cree uno o más documentos que detallen la definición, el proceso, las políticas, los controles, las configuraciones y las herramientas de seguridad y cumplimiento. Asegúrese de que estos documentos aborden estos aspectos desde una Nube de AWS perspectiva. Incluya lo siguiente en esta documentación:
  + Acceso y administración de identidades
  + Controles de detección y respuesta a incidentes
  + Seguridad de infraestructura y red
  + Protección de datos
  + Conformidad
  + Continuidad y recuperación del negocio
+ Guías operativas de **seguridad y cumplimiento: cree guías** operativas de seguridad y cumplimiento que sirvan de guía al equipo de operaciones en la nube. Deben detallar cómo completar las tareas, actividades y cambios de seguridad y cumplimiento en la nube como parte de los requisitos operativos. Esto incluye la supervisión de la seguridad y el cumplimiento, la gestión de incidentes, la validación y la mejora continua. Asegúrese de que sus manuales aborden los requisitos que identificó durante el dominio del descubrimiento y la alineación de la seguridad.
+ Matriz **RACI de seguridad en la nube: cree una matriz** RACI responsable, responsable, consultada e informada (RACI) que defina las responsabilidades y las partes interesadas en materia de seguridad y cumplimiento en las siguientes áreas:
  + Diseño y desarrollo
  + Despliegue e implementación
  + Operaciones

# Operaciones en la nube de seguridad y cumplimiento
<a name="cloud-operations"></a>

El dominio final son las *operaciones en la nube de seguridad y cumplimiento*. Se trata de una actividad continua en la que se utilizan los manuales operativos de seguridad y conformidad definidos para regular las operaciones en la nube. También crea un modelo operativo de seguridad en la nube para determinar las responsabilidades de seguridad y cumplimiento en su organización.

## Modelo operativo en la nube de seguridad y cumplimiento
<a name="cloud-operating-model"></a>

En este dominio, se define un [modelo operativo de nube](apg-gloss.md#glossary-com) para la seguridad. Su modelo operativo de nube debe abordar los requisitos que identificó durante los talleres de descubrimiento y, posteriormente, los definió como manuales de referencia. Puede diseñar el modelo operativo en la nube de seguridad y cumplimiento de una de estas tres maneras:
+ **Centralizado**: un modelo más tradicional, en el que SecOps es responsable de identificar y corregir los eventos de seguridad en toda la empresa. Esto puede incluir la revisión de las conclusiones generales de la empresa sobre la postura de seguridad, como los problemas relacionados con la configuración de la seguridad y los parches.
+ **Descentralizado**: la responsabilidad de responder y corregir los eventos de seguridad en toda la empresa se ha delegado en los propietarios de las aplicaciones y en las unidades de negocio individuales, y no existe una función de operaciones central. Por lo general, sigue existiendo una función general de gobernanza de la seguridad que define las políticas y los principios.
+ **Híbrido**: una combinación de ambos enfoques, en el que SecOps todavía tienen un nivel de responsabilidad y responsabilidad a la hora de identificar y organizar la respuesta a los eventos de seguridad, y la responsabilidad de remediarlos recae en los propietarios de las aplicaciones y las unidades de negocio individuales.

Es importante seleccionar el modelo operativo adecuado en función de los requisitos de seguridad y conformidad, la madurez de la organización y las limitaciones. Los requisitos y limitaciones de seguridad y conformidad se identificaron durante el taller de descubrimiento. La madurez de la organización, por otro lado, define el nivel de las prácticas de seguridad operativa. El siguiente es un ejemplo de un rango de madurez:
+ **Bajo**: la tala es local y se toman algunas medidas o se toman de forma esporádica.
+ **Intermedio**: se correlacionan los registros de diferentes fuentes y se establecen alertas automatizadas.
+ **Alto**: existen manuales detallados que contienen detalles sobre las respuestas estandarizadas a los procesos.  Desde el punto de vista operativo y técnico, la mayoría de las respuestas a las alertas están automatizadas.

Para comprender mejor el modelo operativo de la nube en materia de seguridad y conformidad y ayudar a seleccionar un diseño adecuado, consulte [Consideraciones sobre las operaciones de seguridad en la nube](https://aws.amazon.com/blogs/security/considerations-for-security-operations-in-the-cloud/) (entrada del AWS blog). En situaciones en las que no haya requisitos predefinidos, le recomendamos que configure un centro de operaciones de seguridad (SOC) como parte del modelo operativo en la nube. Por lo general, se trata de una práctica basada en un modelo operativo centralizado. Con este enfoque, puede dirigir los eventos de múltiples fuentes a un equipo centralizado, que luego puede desencadenar acciones y respuestas. Esto estandariza la gobernanza de la seguridad a través de las operaciones en la nube. AWS y AWS los socios tienen la capacidad de ayudarlo a crear un SOC y a definir e implementar la organización, la automatización y la respuesta de la seguridad (SOAR). AWS y AWS los socios utilizan consultas de servicios profesionales Servicios de AWS, plantillas definidas y herramientas de terceros de los socios. AWS 

## Operaciones de seguridad continuas
<a name="ongoing-security-operations"></a>

En este dominio, lleve a cabo las siguientes tareas de forma continua utilizando los manuales de operaciones de seguridad y cumplimiento que haya definido:
+ **Supervisión de la seguridad y el cumplimiento**: realice una supervisión centralizada de las amenazas y los eventos de seguridad mediante las herramientas Servicios de AWS, las métricas, los criterios y la frecuencia que haya definido. El equipo de operaciones o el SOC administran esta supervisión continua, en función de la estructura de su organización. La supervisión de la seguridad implica el análisis y la correlación de grandes cantidades de registros y datos. Los datos de registro provienen de puntos finales, redes Servicios de AWS, infraestructura y aplicaciones y se almacenan en un repositorio centralizado, como [Amazon Security Lake](https://docs.aws.amazon.com/security-lake/latest/userguide/what-is-security-lake.html) o un sistema de gestión de eventos e información de seguridad (SIEM). Es importante configurar las alertas para poder responder a los eventos de forma manual o automática en el momento oportuno.
+ **Gestión de incidentes**: defina su postura de seguridad básica. Cuando se produzca una desviación de una línea base preestablecida, ya sea por una mala configuración o por factores externos, registre un incidente. Asegúrese de que un equipo asignado responda a estos incidentes. La base de un programa de respuesta a incidentes exitoso en la nube es que las personas, los procesos y las herramientas estén integrados en cada etapa del programa de respuesta a incidentes (preparación, operaciones y actividad posterior al incidente). La educación, la formación y la experiencia son fundamentales para el éxito de un programa de respuesta a incidentes en la nube. Lo ideal es que se implementen mucho antes de tener que gestionar un posible incidente de seguridad. Para obtener más información sobre cómo configurar un programa eficaz de respuesta a incidentes de seguridad, consulte la [Guía de respuesta a incidentes de AWS seguridad](https://docs.aws.amazon.com/whitepapers/latest/aws-security-incident-response-guide/introduction.html).
+ **Validación** de seguridad: la validación de seguridad implica realizar una evaluación de vulnerabilidades, pruebas de penetración y pruebas simuladas de eventos de seguridad caótica. La validación de seguridad debe continuar ejecutándose periódicamente, especialmente en los siguientes escenarios:
  + Actualizaciones y versiones de software
  + Amenazas recientemente identificadas, como malware, virus o gusanos
  + Requisitos de auditoría interna y externa
  + Violaciones de seguridad

  Es importante documentar el proceso de validación de la seguridad y destacar las personas, el proceso, el cronograma, las herramientas y las plantillas para la recopilación de datos y la presentación de informes. Esto estandariza las validaciones de seguridad. Siga cumpliendo con la [política de AWS atención al cliente en materia de pruebas de penetración](https://aws.amazon.com/security/penetration-testing/) cuando ejecute validaciones de seguridad en la nube.
+ Auditorías **internas y externas: lleve a cabo auditorías** internas y externas para validar que las configuraciones de seguridad y conformidad cumplan con los requisitos normativos o de las políticas internas. Realice auditorías periódicamente según un cronograma predefinido. Las auditorías internas normalmente las lleva a cabo un equipo interno de seguridad y riesgos. Las auditorías externas las llevan a cabo los organismos pertinentes o los funcionarios encargados de la normalización. Puede utilizarlas Servicios de AWS, por ejemplo, [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)y [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html), para facilitar el proceso de auditoría. Estos servicios pueden proporcionar evidencia relevante para los informes de auditoría de TI de seguridad. También pueden simplificar la gestión del riesgo y el cumplimiento con los estándares normativos y del sector mediante la automatización de la recopilación de pruebas. Esto le ayuda a evaluar si las políticas, los procedimientos y las actividades conocidas como *controles* funcionan de manera eficaz. También es importante alinear los requisitos de auditoría con los de sus socios de servicios gestionados para garantizar su cumplimiento.

**Revisión de la arquitectura de seguridad**: realice una revisión y actualización periódicas de su AWS arquitectura desde el punto de vista de la seguridad y el cumplimiento. Revise la arquitectura trimestralmente o cuando haya cambios en la arquitectura. AWS sigue publicando actualizaciones y mejoras en las funciones y servicios de seguridad y conformidad. Utilice la [arquitectura AWS de referencia de seguridad y la](https://docs.aws.amazon.com/prescriptive-guidance/latest/security-reference-architecture/welcome.html) herramienta AWS Well Architected para facilitar estas revisiones de la arquitectura. Es importante documentar la implementación de la seguridad y el cumplimiento y los cambios recomendados tras el proceso de revisión.

## AWS servicios de seguridad para las operaciones
<a name="aws-security-services"></a>

Usted comparte la AWS responsabilidad de la seguridad y el cumplimiento en el Nube de AWS. Esta relación se describe en detalle en el [modelo de responsabilidad AWS compartida](https://aws.amazon.com/compliance/shared-responsibility-model/). Si bien AWS gestiona la seguridad *de* la nube, usted es responsable de la seguridad *en* la nube. Usted es responsable de proteger su propio contenido, infraestructura, aplicaciones, sistemas y redes, del mismo modo que lo haría en un centro de datos local. Sus responsabilidades en materia de seguridad y cumplimiento Nube de AWS varían según los servicios que utilice, la forma en que los integre en su entorno de TI y las leyes y reglamentos aplicables.

Una de sus ventajas Nube de AWS es que le permite escalar e innovar mediante el uso de las AWS mejores prácticas y los servicios de seguridad y cumplimiento. Esto le ayuda a mantener un entorno seguro y, al mismo tiempo, pagar solo por los servicios que utiliza. También tiene acceso a los mismos servicios de AWS seguridad y cumplimiento que utilizan las organizaciones empresariales altamente seguras para proteger sus entornos de nube.

Crear una arquitectura de nube sobre una base sólida y segura es el primer paso y el mejor para garantizar la seguridad y el cumplimiento de la nube. Sin embargo, sus AWS recursos son tan seguros como los haya configurado. Una postura efectiva de seguridad y cumplimiento solo se logra mediante un cumplimiento continuo y estricto a nivel operativo. Las operaciones de seguridad y cumplimiento se pueden agrupar, a grandes rasgos, en cinco categorías:
+ Protección de datos
+ Acceso y administración de identidades
+ Protección de redes y aplicaciones
+ Detección de amenazas y monitoreo continuo
+ Cumplimiento y privacidad de los datos

AWS los servicios de seguridad y conformidad se asignan a estas categorías para ayudarle a cumplir un conjunto integral de requisitos. Agrupados en estas categorías, los siguientes son los servicios principales de AWS seguridad y cumplimiento y sus capacidades. Estos servicios pueden ayudarlo a crear y hacer cumplir la gobernanza de la seguridad en la nube.

### Protección de datos
<a name="data-protection"></a>

AWS proporciona los siguientes servicios que pueden ayudarle a proteger sus datos, cuentas y cargas de trabajo contra el acceso no autorizado:
+ [AWS Certificate Manager](https://docs.aws.amazon.com/acm/latest/userguide/acm-overview.html)— Aprovisione, administre e implemente SSL/TLS certificados para usarlos con Servicios de AWS.
+ [AWS CloudHSM](https://docs.aws.amazon.com/cloudhsm/latest/userguide/introduction.html)— Administre sus módulos de seguridad de hardware (HSMs) en el Nube de AWS.
+ [AWS Key Management Service (AWS KMS)](https://docs.aws.amazon.com/kms/latest/developerguide/overview.html) — Cree y controle las claves utilizadas para cifrar sus datos.
+ [Amazon Macie](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html): descubra, clasifique y ayude a proteger los datos confidenciales con funciones de seguridad basadas en el aprendizaje automático.
+ [AWS Secrets Manager](https://docs.aws.amazon.com/secretsmanager/latest/userguide/intro.html)— Rote, gestione y recupere las credenciales de las bases de datos, las claves de API y otros datos secretos a lo largo de su ciclo de vida.

### Identity and Access Management
<a name="identity"></a>

Los siguientes servicios de AWS identidad le ayudan a gestionar de forma segura las identidades, los recursos y los permisos a escala:
+ [Amazon Cognito](https://docs.aws.amazon.com/cognito/latest/developerguide/cognito-user-identity-pools.html): añada el registro, el inicio de sesión y el control de acceso de los usuarios a sus aplicaciones web y móviles.
+ [AWS Directory Service](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/what_is.html)— Utilice Microsoft Active Directory administrado en Nube de AWS.
+ [AWS IAM Identity Center](https://docs.aws.amazon.com/singlesignon/latest/userguide/what-is.html)— Administre de forma centralizada el acceso mediante inicio de sesión único (SSO) a múltiples aplicaciones Cuentas de AWS y aplicaciones empresariales.
+ [AWS Identity and Access Management (IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction.html): controle de forma segura el acceso a los recursos y a los mismos. Servicios de AWS 
+ [AWS Organizations](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_introduction.html)— Implemente una administración basada en políticas para varios. Cuentas de AWS
+ [AWS Resource Access Manager (AWS RAM)](https://docs.aws.amazon.com/ram/latest/userguide/what-is.html) — Comparta AWS los recursos entre sus cuentas.

### Protección de redes y aplicaciones
<a name="network-app-protection"></a>

Esta categoría de servicios le ayuda a aplicar una política de seguridad detallada en los puntos de control de la red de toda la organización. Lo siguiente le Servicios de AWS ayuda a inspeccionar y filtrar el tráfico para evitar el acceso no autorizado a los recursos en los límites de host, red y aplicación:
+ [AWS Firewall Manager](https://docs.aws.amazon.com/waf/latest/developerguide/fms-chapter.html)— Configure y gestione AWS WAF las reglas y las aplicaciones desde una ubicación Cuentas de AWS central.
+ [AWS Network Firewall](https://docs.aws.amazon.com/network-firewall/latest/developerguide/what-is-aws-network-firewall.html)— Implemente las protecciones de red esenciales para sus nubes privadas virtuales (VPCs).
+ [Firewall DNS Amazon Route 53 Resolver](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/resolver-dns-firewall.html): ayude a proteger sus solicitudes de DNS salientes de su VPCs.
+ [AWS Shield](https://docs.aws.amazon.com/waf/latest/developerguide/shield-chapter.html)— Proteja sus aplicaciones web con una protección DDo S gestionada.
+ [AWS Systems Manager](https://docs.aws.amazon.com/systems-manager/latest/userguide/what-is-systems-manager.html)— Configure y gestione Amazon Elastic Compute Cloud (Amazon EC2) y los sistemas locales para aplicar parches de sistema operativo, crear imágenes de sistemas seguras y configurar sistemas operativos.
+ [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html): aprovisione una sección aislada de forma lógica en la AWS que pueda lanzar AWS los recursos en una red virtual que usted defina.
+ [AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)— Ayude a proteger sus aplicaciones web de las vulnerabilidades web más comunes.

### Detección de amenazas y monitoreo continuo
<a name="detection-monitoring"></a>

Los siguientes servicios AWS de supervisión y detección le ayudan a identificar posibles incidentes de seguridad en su AWS entorno:
+ [AWS CloudTrail](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/cloudtrail-user-guide.html)— Realice un seguimiento de la actividad de los usuarios y del uso de las API para permitir la gobernanza y la auditoría operativa y de riesgos de su empresa Cuenta de AWS.
+ [AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)— Registre y evalúe las configuraciones de sus AWS recursos para ayudarlo a auditar el cumplimiento, realizar un seguimiento de los cambios en los recursos y analizar la seguridad de los recursos.
+ [AWS Config reglas](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html): cree reglas que actúen automáticamente en respuesta a los cambios en su entorno, como aislar los recursos, enriquecer los eventos con datos adicionales o restaurar una configuración a un estado de funcionalidad comprobada.
+ [Amazon Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html): analice y visualice los datos de seguridad para llegar rápidamente a la causa raíz de los posibles problemas de seguridad.
+ [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html): proteja sus cargas de trabajo Cuentas de AWS y las suyas con la detección inteligente de amenazas y la supervisión continua.
+ [Amazon Inspector](https://docs.aws.amazon.com/inspector/latest/user/what-is-inspector.html): automatice las evaluaciones de seguridad para ayudar a mejorar la seguridad y el cumplimiento de las aplicaciones en las que se despliegan AWS.
+ [AWS Lambda](https://docs.aws.amazon.com/lambda/latest/dg/welcome.html)— Ejecute código sin aprovisionar ni administrar servidores para poder escalar su respuesta programada y automatizada a los incidentes.
+ [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html)— Vea y gestione las alertas de seguridad y automatice las comprobaciones de conformidad desde una ubicación central.

### Cumplimiento y privacidad de datos
<a name="compliance"></a>

A continuación, se Servicios de AWS proporciona una visión completa de su estado de conformidad. Supervisan continuamente su entorno mediante comprobaciones de conformidad automatizadas que se basan en las AWS mejores prácticas y los estándares del sector:
+ [AWS Artifact](https://docs.aws.amazon.com/artifact/latest/ug/what-is-aws-artifact.html)— Obtenga acceso bajo demanda a los informes AWS de seguridad y cumplimiento y a determinados acuerdos en línea.
+ [AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/what-is.html)— Audite continuamente su AWS consumo para simplificar la gestión del riesgo y garantizar el cumplimiento de las normativas y los estándares del sector.