Compartir vía


Controlar de forma segura el patrimonio de la nube

La gobernanza de seguridad conecta las prioridades empresariales con implementaciones técnicas, como arquitectura, estándares y directivas. Los equipos de gobernanza proporcionan supervisión para mantener y mejorar la posición de seguridad con el tiempo. Estos equipos también notifican el cumplimiento que requieren los organismos reguladores.

Diagrama que muestra los componentes clave de la gobernanza de seguridad, incluida la administración de riesgos, el cumplimiento, la aplicación de directivas y la supervisión continua.

Los objetivos empresariales y el riesgo proporcionan las instrucciones más eficaces para la seguridad. Este enfoque garantiza que los esfuerzos de seguridad se centren en las prioridades clave de la organización. Además, ayuda a los propietarios de riesgos mediante el lenguaje y los procesos conocidos dentro del marco de administración de riesgos.

Diagrama que muestra las metodologías implicadas en la adopción de la nube. El diagrama tiene cuadros para cada fase: equipos y roles, estrategia, plan, listo, adopción, gobernanza y administración. El cuadro de este artículo está resaltado.

Este artículo es una guía complementaria de la metodología de gobernanza . Proporciona áreas de optimización de seguridad que puede tener en cuenta a medida que avanza por esa fase en el recorrido.

Modernización de la posición de seguridad

El uso de solo los informes de problemas no es una estrategia eficaz para mantener la posición de seguridad. En la era de la nube, la gobernanza requiere un enfoque activo que colabora continuamente con otros equipos. La administración de la posición de seguridad es una función emergente y esencial. Este rol aborda la cuestión crítica de la seguridad ambiental. Abarca áreas clave, como administración de vulnerabilidades y informes de cumplimiento de seguridad.

En un entorno local, la gobernanza de seguridad se basa en los datos periódicos disponibles sobre el entorno. Este enfoque suele dar lugar a información obsoleta. La tecnología en la nube revoluciona este proceso al proporcionar visibilidad a petición sobre la posición de seguridad actual y la cobertura de recursos. Esta información en tiempo real transforma la gobernanza en una organización más dinámica. Fomenta una colaboración más estrecha con otros equipos de seguridad para supervisar los estándares de seguridad, proporcionar instrucciones y mejorar los procesos.

En su estado ideal, la gobernanza impulsa la mejora continua en toda la organización. Este proceso en curso involucra a todas las partes de la organización para garantizar avances de seguridad constantes.

Los siguientes son principios clave para la gobernanza de la seguridad:

  • Detección continua de recursos y tipos de recurso: un inventario estático no es posible en un entorno en la nube dinámico. Su organización debe centrarse en la detección continua de recursos y tipos de recurso. En la nube, se agregan nuevos tipos de servicios con regularidad. Los propietarios de cargas de trabajo ajustan dinámicamente el número de instancias de aplicación y servicio según sea necesario, lo que crea un entorno que cambia constantemente. Esta situación hace que la administración del inventario sea una materia en constante evolución. Los equipos de gobernanza deben identificar continuamente los tipos de recursos y las instancias para mantenerse al día de este ritmo de cambio.

  • Mejora continua de la posición de seguridad de los recursos: los equipos de gobernanza deben centrarse en mejorar y aplicar estándares para mantenerse al día con la nube y los atacantes. Las organizaciones de tecnologías de la información (TI) deben reaccionar rápidamente a las nuevas amenazas y adaptarse en consecuencia. Los atacantes evolucionan constantemente sus técnicas, mientras que las defensas mejoran continuamente y es posible que deban actualizarse. No siempre puede incorporar todas las medidas de seguridad necesarias en la configuración inicial.

  • Gobernanza controlada por directivas: esta gobernanza garantiza una implementación coherente porque define directivas una vez y las aplica automáticamente entre los recursos. Este proceso limita el tiempo de desperdiciado y el esfuerzo en las tareas manuales repetidas. A menudo se implementa mediante Azure Policy o marcos de automatización de directivas que no son de Microsoft.

Para mantener la agilidad, la guía de procedimientos recomendados suele ser iterativa. Efectúa la síntesis de pequeños fragmentos de información de varios orígenes para crear la imagen completa y realizar continuamente pequeños ajustes.

Facilitación de Azure

  • Microsoft Defender for Cloud puede ayudarle a detectar y administrar automáticamente máquinas virtuales en su entorno mediante el aprovisionamiento automático de recopilación de datos.

  • Las aplicaciones de Microsoft Defender for Cloud pueden ayudarle a detectar y controlar continuamente el software de primera entidad y no de Microsoft como aplicaciones de servicio que se usan en sus entornos.

Preparación y respuesta a incidentes

La gobernanza de la seguridad es fundamental para mantener la preparación. Para aplicar estrictamente estándares, los mecanismos y prácticas de gobernanza sólidos deben apoyar la implementación de mecanismos de preparación y respuesta y prácticas operativas. Tenga en cuenta las siguientes recomendaciones para ayudar a controlar la preparación de incidentes y los estándares de respuesta:

Gobernanza de la preparación de incidentes

  • Automatización de la gobernanza: use herramientas para automatizar la gobernanza tanto como sea posible. Puede usar herramientas para administrar directivas para implementaciones de infraestructura, implementar medidas de protección, proteger los datos y mantener los estándares de administración de identidades y acceso. Al automatizar la gobernanza de estas medidas de seguridad, puede asegurarse de que todos los recursos de su entorno cumplan sus propios estándares de seguridad y todos los marcos de cumplimiento necesarios para su empresa. Para más información, consulte Aplicación de directivas de gobernanza en la nube.

  • Cumplir las líneas base de seguridad de Microsoft: comprenda las recomendaciones de seguridad de Microsoft para los servicios del patrimonio de la nube, que están disponibles como líneas base de seguridad. Estas líneas base pueden ayudarle a garantizar que las implementaciones existentes están correctamente protegidas y que las nuevas implementaciones están configuradas correctamente desde el principio. Este enfoque reduce el riesgo de configuraciones incorrectas.

Gobernanza de respuesta a incidentes

  • Gobernanza del plan de respuesta a incidentes: el plan de respuesta a incidentes debe mantenerse con la misma atención que los demás documentos críticos de su patrimonio. El plan de respuesta a incidentes debe ser:

    • Versión controlada para asegurarse de que los equipos están trabajando fuera de la versión más reciente y que se puede auditar el control de versiones.

    • Almacenado en almacenamiento de alta disponibilidad y seguro.

    • Se ha revisado periódicamente y actualizado cuando los cambios en el entorno lo requieren.

  • Gobernanza del entrenamiento de respuesta a incidentes: los materiales de entrenamiento para la respuesta a incidentes deben controlarse por versiones para la auditabilidad y asegurarse de que se usa la versión más reciente en un momento dado. También deben revisarse periódicamente y actualizarse cuando se realicen actualizaciones en el plan de respuesta a incidentes.

Facilitación de Azure

  • Azure Policy es una solución de administración de directivas que puede usar para ayudar a aplicar los estándares de la organización y evaluar el cumplimiento a escala. Para automatizar la aplicación de directivas para muchos servicios de Azure, aproveche las definiciones de directivas integradas.

  • Defender for Cloud proporciona directivas de seguridad que pueden automatizar el cumplimiento de los estándares de seguridad.

Gobernanza de confidencialidad

La gobernanza eficaz es fundamental para mantener la seguridad y el cumplimiento en entornos de nube empresarial. La gobernanza incluye las directivas, los procedimientos y los controles que garantizan que los datos se administran de forma segura y de acuerdo con los requisitos normativos. Proporciona un marco para la toma de decisiones, la responsabilidad y la mejora continua, que es esencial para proteger la información confidencial y mantener la confianza. Este marco es fundamental para mantener el principio de confidencialidad de la Triad de la CIA. Le ayuda a asegurarse de que solo se puede acceder a los datos confidenciales a los usuarios y procesos autorizados.

  • Directivas técnicas: estas directivas incluyen directivas de control de acceso, directivas de cifrado de datos y directivas de enmascaramiento de datos o tokenización. El objetivo de estas directivas es crear un entorno seguro manteniendo la confidencialidad de los datos a través de estrictos controles de acceso y métodos de cifrado sólidos.

  • Directivas escritas: las directivas escritas sirven como marco de gobernanza para todo el entorno empresarial. Establecen los requisitos y parámetros para el control, el acceso y la protección de datos. Estos documentos garantizan la coherencia y el cumplimiento en toda la organización y proporcionan directrices claras para los empleados y el personal de TI. Las directivas escritas también sirven como punto de referencia para auditorías y evaluaciones, lo que ayuda a identificar y abordar las brechas en las prácticas de seguridad.

  • Protección de pérdida de datos: se deben llevar a cabo medidas de supervisión y auditoría continuas de prevención de pérdida de datos (DLP) para garantizar el cumplimiento continuo de los requisitos de confidencialidad. Este proceso incluye la revisión y actualización periódica de las directivas DLP, la realización de evaluaciones de seguridad y la respuesta a cualquier incidente que pueda poner en peligro la confidencialidad de los datos. Establezca DLP mediante programación en toda la organización para garantizar un enfoque coherente y escalable para proteger los datos confidenciales.

Supervisar el cumplimiento y los métodos de cumplimiento

Es fundamental supervisar el cumplimiento y aplicar directivas para mantener el principio de confidencialidad en entornos de nube empresarial. Estas acciones son esenciales para estándares de seguridad sólidos. Estos procesos garantizan que todas las medidas de seguridad se apliquen y sean eficaces de forma coherente para ayudar a proteger los datos confidenciales contra el acceso no autorizado y las infracciones. Las evaluaciones periódicas, la supervisión automatizada y los programas integrales de formación son esenciales para garantizar el cumplimiento de las directivas y procedimientos establecidos.

  • Auditorías y evaluaciones periódicas: realice auditorías y evaluaciones de seguridad periódicas para asegurarse de que se siguen las directivas e identificar áreas para mejorar. Estas auditorías deben cubrir los requisitos y estándares normativos, del sector y de la organización, y podrían implicar a evaluadores de terceros para proporcionar una evaluación no sesgada. Un programa de evaluación e inspección aprobado ayuda a mantener altos estándares de seguridad y cumplimiento, y garantiza que todos los aspectos de la confidencialidad de los datos se revisen y aborden exhaustivamente.

  • Supervisión automatizada del cumplimiento: herramientas como Azure Policy automatizan la supervisión del cumplimiento de las directivas de seguridad y proporcionan información y alertas en tiempo real. Esta funcionalidad ayuda a garantizar el cumplimiento continuo de los estándares de seguridad. La supervisión automatizada le ayuda a detectar y responder rápidamente a las infracciones de directivas, lo que reduce el riesgo de vulneraciones de datos. También garantiza el cumplimiento continuo comprobando periódicamente las configuraciones y los controles de acceso en las directivas establecidas.

  • Programas de formación y concienciación: eduque a los empleados sobre las directivas de confidencialidad de los datos y los procedimientos recomendados para fomentar una cultura consciente de la seguridad. Las sesiones periódicas de formación y los programas de concienciación ayudan a garantizar que todos los miembros del personal comprendan sus roles y responsabilidades al mantener la confidencialidad de los datos. Estos programas deben actualizarse periódicamente para reflejar los cambios en las directivas y las amenazas emergentes. Esta estrategia garantiza que los empleados estén siempre equipados con los conocimientos y aptitudes más recientes.

Gobernanza de la integridad

Para mantener las protecciones de integridad de forma eficaz, necesita una estrategia de gobernanza bien diseñada. Esta estrategia debe asegurarse de que todas las directivas y procedimientos se documentan y aplican, y que todos los sistemas se auditan continuamente para el cumplimiento.

Las instrucciones descritas anteriormente en la sección Gobernanza de confidencialidad también se aplican al principio de integridad. Las siguientes recomendaciones son específicas de la integridad:

  • Gobernanza automatizada de la calidad de los datos: considere la posibilidad de usar una solución estándar para controlar los datos. Use una solución precompilada para aliviar la carga del equipo de gobernanza de datos de la validación manual de calidad. Esta estrategia también reduce el riesgo de acceso no autorizado y alteraciones a los datos durante el proceso de validación.

  • Gobernanza automatizada de la integridad del sistema: considere la posibilidad de usar una herramienta centralizada y unificada para automatizar la gobernanza de la integridad del sistema. Por ejemplo, Azure Arc permite controlar los sistemas en varias nubes, centros de datos locales y sitios perimetrales. Mediante el uso de un sistema como este, puede simplificar sus responsabilidades de gobernanza y reducir la carga operativa.

Facilitación de Azure

  • Calidad de datos de Microsoft Purview permite a los usuarios evaluar la calidad de los datos mediante reglas sin código o poco código, incluidas las reglas integradas (OOB) y las reglas generadas por ia. Estas reglas se aplican en el nivel de columna y, a continuación, se agregan para proporcionar puntuaciones para los recursos de datos, los productos de datos y los dominios empresariales. Este enfoque garantiza una visibilidad completa de la calidad de los datos en cada dominio.

Gobernanza de disponibilidad

Los diseños de arquitectura que normaliza en su patrimonio en la nube requieren gobernanza para asegurarse de que no se desvían de y que la disponibilidad no está comprometida con los patrones de diseño no compatibles. Del mismo modo, los planes de recuperación ante desastres también deben regirse para asegurarse de que están bien mantenidos.

Gobernanza del diseño de disponibilidad

  • Mantener patrones de diseño estandarizados: codifique y aplique estrictamente patrones de diseño de infraestructura y aplicaciones. Controle el mantenimiento de los estándares de diseño para asegurarse de que permanecen actualizados y protegidos contra el acceso o la alteración no autorizados. Trate estos estándares con el mismo cuidado que otras directivas. Cuando sea posible, automatice el cumplimiento de los patrones de diseño. Por ejemplo, puede habilitar directivas para controlar qué tipos de recursos se pueden implementar y especificar las regiones donde se permiten las implementaciones.

Gobernanza de la recuperación ante desastres

  • Gobernanza de los planes de recuperación ante desastres: trate los planes de recuperación ante desastres con el mismo nivel de importancia que los planes de respuesta a incidentes. Los planes de recuperación ante desastres deben ser:

    • Control de versiones para asegurarse de que los equipos siempre trabajan con la versión más reciente y que el control de versiones se puede auditar para obtener precisión y cumplimiento.

    • Almacenado en almacenamiento de alta disponibilidad y seguro.

    • Se revisa y actualiza periódicamente cuando se necesitan cambios en el entorno.

  • Gobernanza de los simulacros de recuperación ante desastres: los simulacros de recuperación ante desastres no solo son para el entrenamiento en los planes, sino que también sirven como oportunidades de aprendizaje para mejorar el propio plan. También pueden ayudar a refinar los estándares operativos o de diseño. El mantenimiento meticuloso de los simulacros de recuperación ante desastres ayuda a identificar áreas para mejorar y garantizar el cumplimiento de los requisitos de auditoría para la preparación ante desastres. Al almacenar estos registros en el mismo repositorio que los planes, puede ayudar a mantener todo organizado y seguro.

Mantenimiento de la gobernanza segura

Administración moderna de servicios (MSM)

Modern Service Management (MSM) es un conjunto de prácticas y herramientas diseñadas para administrar y optimizar los servicios de TI en un entorno en la nube. El objetivo de MSM es alinear los servicios de TI con las necesidades empresariales. Este enfoque garantiza una entrega de servicios eficaz al tiempo que mantiene altos estándares de seguridad y cumplimiento. MSM proporciona un enfoque estructurado para administrar entornos de nube complejos. MSM también permite a las organizaciones responder rápidamente a los cambios, mitigar los riesgos y garantizar la mejora continua. Además, MSM es relevante para el principio de confidencialidad, ya que incluye herramientas y prácticas que aplican la protección de datos y supervisan los controles de acceso.

  • Administración unificada de seguridad: las herramientas de MSM proporcionan una administración de seguridad completa mediante la integración de varias funciones de seguridad para proporcionar una visión holística del entorno en la nube. Este enfoque ayuda a aplicar directivas de seguridad y detecta y responde a las amenazas en tiempo real.

  • Administración y cumplimiento de directivas: MSM facilita la creación, aplicación y supervisión de directivas en todo el entorno de nube. Garantiza que todos los recursos cumplan los estándares de la organización y los requisitos normativos. Además, proporciona información y alertas en tiempo real.

  • Supervisión y mejora continuas: MSM enfatiza la supervisión continua del entorno en la nube para identificar y solucionar posibles problemas de forma proactiva. Este enfoque admite la optimización continua y la mejora de los servicios de TI, lo que garantiza que permanezcan alineados con los objetivos empresariales.

Paso siguiente