# SEC01-BP03 Identificación y validación de los objetivos de control
<a name="sec_securely_operate_control_objectives"></a>

 En función de sus requisitos de cumplimiento y los riesgos identificados a partir de su modelo de amenazas, extraiga y valide los objetivos de control y los controles que tiene que aplicar a su carga de trabajo. La validación continua tanto de los objetivos de control como de los controles le ayuda a medir la efectividad de la mitigación de riesgos. 

 **Resultado deseado:** los objetivos de control de seguridad de su empresa están bien definidos y alineados con sus requisitos de conformidad. Se implementan y ponen en marcha controles mediante la automatización y las políticas, y se evalúan de forma continua con el fin de determinar su eficacia para lograr sus objetivos. Poner a disposición de los auditores demostraciones de eficacia, tanto en un momento determinado como durante un periodo de tiempo. 

 **Patrones comunes de uso no recomendados:** 
+  Incomprensión por parte de la empresa de los requisitos normativos, las expectativas del mercado y los estándares del sector en cuanto al control de la seguridad. 
+  Alineación incorrecta de los marcos de ciberseguridad y los objetivos de control con los requisitos de la empresa. 
+  Ausencia de una correspondencia estrecha y medible entre la implementación de los controles y los objetivos de control. 
+  Falta de uso de la automatización para informar sobre la eficacia de los controles. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Existen muchos marcos de ciberseguridad comunes que pueden constituir la base de sus objetivos de control de seguridad. Debe tener en cuenta los requisitos normativos, las expectativas del mercado y los estándares del sector para su empresa con el objetivo de determinar qué marcos se adaptan mejor a sus necesidades. Entre los ejemplos, se incluyen [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) y [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 Una vez identificados los objetivos de control, debe analizar cómo los servicios de AWS de los que hace uso le ayudan a conseguir dichos objetivos. Utilice [AWS Artifact](https://aws.amazon.com/artifact/) para buscar la documentación y los informes que se alineen con sus marcos objetivo que describan el alcance de la responsabilidad cubierta por AWS y una guía para el ámbito restante que caiga bajo su responsabilidad. Para obtener más orientación específica sobre los servicios que se ajusten a las diversas declaraciones de control del marco, consulte [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 A medida que defina unos controles que sirvan para lograr sus objetivos, reglamente su aplicación mediante controles preventivos y automatice las mitigaciones mediante controles de detección. Ayude a evitar configuraciones y acciones de recursos no conformes en todo su sistema de AWS Organizations mediante las [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Implemente reglas en [AWS Config](https://aws.amazon.com/config/) para supervisar los recursos que no cumplan con las normas e informar sobre ellos y, a continuación, cambie las reglas a un modelo de cumplimiento una vez que esté seguro de su comportamiento. Para implementar conjuntos de reglas predefinidas y administradas que se ajusten a sus marcos de ciberseguridad, evalúe el uso de [estándares de AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) como primera opción. El estándar Prácticas recomendadas de seguridad básicas (FSBP) de AWS y el CIS AWS Foundations Benchmark son buenos puntos de partida y contienen controles alineados con muchos de los objetivos comunes en varios marcos estándares. Cuando Security Hub CSPM no cuente intrínsecamente con las detecciones de control deseadas, puede complementarse con [paquetes de conformidad de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Utilice los [paquetes para socios de APN](https://aws.amazon.com/partners/programs/gsca/bundles/) recomendados por el equipo de AWS Global Security and Compliance Acceleration (GSCA) para obtener asistencia de asesores de seguridad, agencias consultoras, sistemas de recopilación de pruebas y presentación de informes, auditores y otros servicios complementarios cuando sea necesario. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Valore los marcos de ciberseguridad comunes y alinee sus objetivos de control con los marcos elegidos. 

1.  Obtenga la documentación pertinente sobre la orientación y las responsabilidades de su marco con AWS Artifact. Determine qué partes del cumplimiento corresponden a AWS según el modelo de responsabilidad compartida y qué partes son de su responsabilidad. 

1.  Utilice SCP, políticas de recursos, políticas de confianza de roles y otras barreras de protección para evitar configuraciones y acciones de recursos no conformes. 

1.  Evalúe la implementación de estándares de Security Hub CSPM y paquetes de conformidad de AWS Config que se alineen con sus objetivos de control. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC03-BP01 Definición de los requisitos de acceso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Configuración del registro de servicios y aplicaciones](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Comprensión del esquema de clasificación de datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Evaluación de los requisitos de gobernanza](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Evaluación de los requisitos de cumplimiento](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Uso de políticas y arquitecturas de referencia](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Desarrollo de políticas basadas en los requisitos de su organización](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Documentos relacionados:** 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Herramientas relacionadas:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/)