SEC01-BP03 Identificación y validación de los objetivos de control

En función de sus requisitos de cumplimiento y los riesgos identificados a partir de su modelo de amenazas, extraiga y valide los objetivos de control y los controles que tiene que aplicar a su carga de trabajo. La validación continua tanto de los objetivos de control como de los controles le ayuda a medir la efectividad de la mitigación de riesgos.

Resultado deseado: definir claramente los objetivos de control de seguridad de su empresa y alinearlos con sus requisitos de cumplimiento. Implementar y poner en marcha controles mediante la automatización y las políticas, y evaluarlos de forma continua con el fin de determinar su eficacia para lograr sus objetivos. Poner a disposición de los auditores demostraciones de eficacia, tanto en un momento determinado como durante un período de tiempo.

Antipatrones usuales:

Incomprensión por parte de la empresa de los requisitos normativos, las expectativas del mercado y los estándares del sector en cuanto al control de la seguridad.
Alineación incorrecta de los marcos de ciberseguridad y los objetivos de control con los requisitos de la empresa.
Ausencia de una correspondencia estrecha y medible entre la implementación de los controles y los objetivos de control.
Falta de uso de la automatización para informar sobre la eficacia de los controles.

Nivel de riesgo expuesto si no se establece esta práctica recomendada: alto

Guía para la implementación

Existen muchos marcos de ciberseguridad comunes que pueden constituir la base de sus objetivos de control de seguridad. Debe tener en cuenta los requisitos normativos, las expectativas del mercado y los estándares del sector para su empresa con el objetivo de determinar qué marcos se adaptan mejor a sus necesidades. Algunos ejemplos de estos marcos son AICPA SOC 2, HITRUST, PCI-DSS, ISO 27001 y NIST SP 800-53.

Una vez identificados los objetivos de control, debe analizar cómo los servicios de AWS de los que hace uso le ayudan a conseguir dichos objetivos. Puede utilizar AWS Artifact para encontrar documentación e informes que estén en consonancia con sus marcos objetivo, que describan el ámbito de la responsabilidad cubierta por AWS y que contengan orientación para el ámbito restante, que está bajo su responsabilidad. Para obtener más orientación específica sobre los servicios y su correspondencia con las distintas declaraciones de control de los marcos, consulte las AWS Customer Compliance Guides.

A medida que defina unos controles que sirvan para lograr sus objetivos, reglamente su aplicación mediante controles preventivos y automatice las mitigaciones mediante controles de detección. Ayude a prevenir configuraciones y acciones de recursos no conformes en todas sus AWS Organizations mediante el uso de políticas de control de servicios (SCP). Implemente reglas en AWS Config para supervisar y notificar la existencia de recursos no conformes y reemplace después esas reglas por un modelo de cumplimiento una vez que tenga seguridad sobre su comportamiento. Para desplegar conjuntos de reglas predefinidas y administradas que se alineen con sus marcos de ciberseguridad, evalúe el uso de estándares de AWS Security Hub CSPM como primera opción. El estándar Prácticas recomendadas de seguridad básicas de AWS (AWS FSBP) y el CIS AWS Foundations Benchmark son buenos puntos de partida y contienen controles alineados con muchos de los objetivos comunes en varios marcos estándares. Cuando Security Hub CSPM no cuenta intrínsecamente con las detecciones de controles deseadas, se puede complementar con los paquetes de conformidad de AWS Config.

Utilice los paquetes para socios de APN recomendados por el equipo de AWS Global Security and Compliance Acceleration (GSCA) para obtener ayuda de asesores de seguridad, agencias de consultoría, sistemas de recopilación de pruebas y generación de informes, auditores y otros servicios complementarios cuando sea necesario.

Pasos para la implementación

Valore los marcos de ciberseguridad comunes y alinee sus objetivos de control con los marcos elegidos.
Obtenga la documentación relevante sobre la orientación y las responsabilidades de su marco con AWS Artifact. Determine qué partes del cumplimiento corresponden a AWS según el modelo de responsabilidad compartida y qué partes son de su responsabilidad.
Utilice SCP, políticas de recursos, políticas de confianza de roles y otras barreras de protección para evitar configuraciones y acciones de recursos no conformes.
Valore el despliegue de estándares de Security Hub CSPM y paquetes de conformidad de AWS Config que se ajusten con sus objetivos de control.

Recursos

Prácticas recomendadas relacionadas:

Documentos relacionados:

AWS Customer Compliance Guides

Herramientas relacionadas:

AWS Artifact

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

SEC01-BP02 Proteger el usuario raíz y las propiedades de la cuenta

SEC01-BP04 Actualización constante de las amenazas y recomendaciones de seguridad