Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

# Madurez: ajuste y medición de los procesos, las herramientas y el riesgo
<a name="mature"></a>

En la fase madura del modelo de seguridad en la nube, la atención se centra en alinear los equipos de seguridad con las capacidades de seguridad del AWS Cloud Adoption Framework (AWS CAF) y en instituir procesos ágiles. Esta alineación ayuda a los equipos especializados a acelerar la innovación en periodos cortos y, al mismo tiempo, incorpora hojas de ruta y una planificación a largo plazo. La fase de madurez remarca la colaboración con las operaciones de TI y en la adquisición de habilidades en la nube profundas y especializadas. Cada capacidad de seguridad implementa herramientas y procesos clave para mejorar la eficiencia y el impacto, además del desarrollo de métricas y mecanismos de informes para medir los cambios incrementales y el impacto general.

**Topics**
+ [Ajuste y medición de procesos](tune-and-measure-processes.md)
+ [Ajuste y medición de las herramientas](tune-and-measure-tools.md)
+ [Ajuste y medición del riesgo](tune-and-measure-risk.md)
+ [Consulta de ejemplos de casos de uso en la fase de madurez](review-examples.md)

# Ajuste y medición de procesos
<a name="tune-and-measure-processes"></a>

El [enfoque ágil](https://docs.aws.amazon.com/prescriptive-guidance/latest/migration-program-implementation/approach.html) proporciona más flexibilidad e innovación, y puede ayudarlo a probar e implementar nuevas ideas rápidamente. Divida sus equipos de seguridad en roles especializados, como personal de respuesta ante incidentes y administradores de vulnerabilidades. Las funciones deben alinearse con las categorías de la siguiente imagen, que corresponden a las capacidades del Marco de adopción de la AWS nube (AWS CAF). El enfoque ágil anima a los equipos a pensar en grande, inventar, simplificar e identificar posibles deficiencias en materia de seguridad. Esto da como resultado la creación de historias de usuarios o hojas de ruta pendientes para futuras mejoras.

Un proceso ágil permite soluciones más dinámicas y adaptables, en lugar de depender solo de las capacidades de una herramienta específica. *Responder rápido a los errores* es una filosofía que utiliza pruebas frecuentes e incrementales para reducir el ciclo de vida del desarrollo y es una parte fundamental de un enfoque ágil. Haga un cambio, pruébelo y, a continuación, decida si desea continuar con el enfoque actual o cambiar a uno alternativo. Si los equipos trabajan en este ciclo, ayudan a su organización a mantenerse al día con la naturaleza acelerada de la nube. La formación específica también es fundamental: debe ofrecer una formación específica para un dominio concreto de la seguridad de la nube.



![\[Cree funciones especializadas que se correspondan con las capacidades de la AWS CAF en el pilar de seguridad.\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-mature-processes.png)


**nota**  
Esta imagen no contiene las capacidades de garantía y gobierno de la seguridad de la AWS CAF. Esta guía se centra en las operaciones de seguridad, y la garantía y gobernanza de seguridad quedan fuera del ámbito de esta guía. Para obtener más información sobre la garantía de seguridad, consulte [AWS Re:inForce 2023: Scaling](https://youtu.be/m2wjmGvY2pY?si=o_Rf9Rliu86oFkSQ) compliance with on. AWS Control Tower YouTube

En la organización, utilice un enfoque ágil que la ayude a mantenerse al día con el rápido desarrollo y los cambios en la nube. A continuación se muestran algunas formas de comenzar a experimentar e iterar en su entorno de nube:
+ Especialícese en las categorías definidas en AWS CAF, como se muestra en la imagen anterior.
+ Por cuestiones de dinamismo, céntrese en la innovación en lugar de en las operaciones.
+ Avance con rapidez en sprints al permitir que las personas hagan pruebas, respondan rápido a los errores e implementen rápidamente, y continúe con este ciclo para mantenerse al día con el negocio.
+ Para respaldar las operaciones continuas, siempre que sea posible, alinee los procesos para los entornos en las instalaciones y basados en la nube.
+ Para ayudar a las personas a profundizar y centrarse en un área, ofrezca una formación específica en lugar de amplia.
+ Anime a las personas a pensar en grande, investigar “qué pasaría si” y crear tareas pendientes (como hojas de ruta o deficiencias).

# Ajuste y medición de las herramientas
<a name="tune-and-measure-tools"></a>

Después de establecer equipos especializados para diferentes dominios de seguridad, alinéelos entre sí. [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/what-is-securityhub.html) puede ayudarlo a lograrlo. Security Hub CSPM proporciona un panel de control centralizado y unificado para monitorear el progreso en comparación con los marcos. También se integra con los servicios AWS de seguridad muchas herramientas de terceros.

El [Marco de ciberseguridad](https://www.nist.gov/cyberframework) del Instituto Nacional de Estándares y Tecnología (NIST), que figura en el sitio web del NIST, consta de cinco funciones: identificar, proteger, detectar, responder y recuperar. La siguiente imagen muestra cómo puede utilizar diferentes Servicios de AWS durante cada función y, a continuación, configurar esos servicios para que envíen sus conclusiones al Security Hub CSPM para la elaboración de informes consolidados. Si opta por utilizar otras herramientas, puede utilizar la API CSPM de Security Hub, AWS Command Line Interface (AWS CLI) y el AWS Security Finding Format (ASFF) para crear integraciones personalizadas. Para obtener más información sobre las integraciones de CSPM de Security Hub con otros servicios, consulte Integraciones de [productos en la documentación](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-findings-providers.html) de CSPM AWS Security Hub CSPM de Security Hub.



![\[Herramientas de seguridad que se integran con AWS Security Hub CSPM\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/tune-and-measure-tools.png)


Security Hub CSPM se integra con todos estos servicios y herramientas y proporciona lo siguiente:
+ Proporciona un panel unificado que muestra las actualizaciones y ayuda a los equipos a iterar in situ.
+ [Se integra automáticamente con servicios de AWS seguridad, como [Amazon Macie GuardDuty, Amazon y](https://docs.aws.amazon.com/macie/latest/user/what-is-macie.html)[Amazon](https://docs.aws.amazon.com/guardduty/latest/ug/what-is-guardduty.html) Detective](https://docs.aws.amazon.com/detective/latest/adminguide/what-is-detective.html)
+ Admite la integración con herramientas de terceros, como [https://github.com/prowler-cloud/prowler](https://github.com/prowler-cloud/prowler) y [https://github.com/stelligent/cfn_nag](https://github.com/stelligent/cfn_nag).
+ Admite integraciones personalizadas con herramientas, como la API CSPM de Security Hub y el AWS Security Finding Format (ASFF) AWS CLI

# Ajuste y medición del riesgo
<a name="tune-and-measure-risk"></a>

Durante la fase madura de la etapa de caminata, puede utilizarla AWS Security Hub CSPM para ajustar y medir continuamente el riesgo de seguridad. Security Hub CSPM evalúa continuamente la postura de seguridad de una organización y toma medidas para solucionar los problemas identificados. Security Hub CSPM centraliza y prioriza los hallazgos de seguridad de todos los servicios y Cuentas de AWS socios externos compatibles. Esto ayuda a analizar las tendencias de seguridad e identificar los problemas de seguridad de alta prioridad.

Security Hub CSPM realiza cientos de comprobaciones de seguridad y las clasifica en función del riesgo para su entorno. AWS Puedes ver tu puntuación comparándola con los controles de seguridad en un panel unificado en la consola CSPM de Security Hub. Para obtener más información, consulte [Determinación de los puntajes de seguridad](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-security-score.html) en la documentación de CSPM de Security Hub. A través de este panel, la DevSecOps función puede identificar rápidamente cualquier comprobación que haya fallado, la gravedad del problema de seguridad Región de AWS y qué recurso está afectado. Una vez identificado, el DevSecOps equipo puede priorizar y solucionar el problema. A medida que se solucionan los problemas, Security Hub CSPM actualiza automáticamente el estado.

# Consulta de ejemplos de casos de uso en la fase de madurez
<a name="review-examples"></a>

A continuación se muestran ejemplos de la fase de madurez. En estos ejemplos se profundiza en los modelos, las herramientas y los procesos para los diferentes objetivos empresariales de forma práctica.

## Madurez: ejemplo de detección de amenazas
<a name="mature-threat-detection-example"></a>

**Resultado empresarial de los controles de detección: **aumente la visibilidad y la velocidad de detección de los incidentes en la nube para reducir el riesgo y permitir el uso y el desarrollo acelerados de los recursos de nube.

**Herramienta: **el [https://github.com/awslabs/assisted-log-enabler-for-aws](https://github.com/awslabs/assisted-log-enabler-for-aws) (GitHub) es una herramienta de código abierto que lo ayuda a activar el registro durante un incidente de seguridad. Puede aumentar rápidamente la visibilidad de un incidente.

**Ejemplo de caso de uso:** considere el caso de uso de una sola cuenta que se muestra en el siguiente diagrama. Hay eventos que requieren una investigación más profunda. No sabe con certeza si el registro está activado. En este caso, lo mejor es realizar una prueba con el Assisted Log Enabler para ver qué servicios están habilitados o deshabilitados. Assisted Log Enablercomprueba las AWS CloudTrail rutas, los registros de consultas de DNS, los registros de flujo de VPC y otros registros. Si no están habilitados, los Assisted Log Enabler habilita. Assisted Log Enablerpuede comprobar y activar el registro en todas partes Regiones de AWS.

También puede aumentar o reducir la limitación del Assisted Log Enabler. Tras completar la ejecución de pruebas, cerrar el evento y resolver el problema, se da cuenta de que ya no necesita este nivel de registro. Puede limpiar rápidamente la implementación para detener el registro. Esta característica le permite utilizar el Assisted Log Enabler como herramienta de clasificación.



![\[Uso del Assisted Log Enabler para ver qué servicios tienen el registro activado o desactivado\]](http://docs.aws.amazon.com/es_es/prescriptive-guidance/latest/strategy-accelerating-security-maturity/images/assisted-log-enabler.png)


Estas son algunas de las características principales del Assisted Log Enabler for AWS:
+ Puede ejecutarlo en un entorno de una cuenta o multicuenta.
+ Puede usarlo para establecer una línea de base para iniciar sesión en el entorno.
+ Puede usar la característica de ejecución de pruebas para comprobar el estado actual y determinar qué servicios tienen activado el registro.
+ Puede seleccionar los servicios para los que desea habilitar el registro.
+ Puede aumentar o reducir la limitación del Assisted Log Enabler para su caso de uso.

## Madurez: ejemplo de IAM
<a name="mature-iam-example"></a>

**Resultado empresarial de IAM: **automatice la visibilidad y compárelo con las prácticas recomendadas para reducir el riesgo de forma continua, permitir conexiones externas seguras y aprovisionar rápidamente nuevos usuarios y entornos.

**Herramienta:** el [AWS Identity and Access Management Access Analyzer (Analizador de acceso de IAM)](https://docs.aws.amazon.com/IAM/latest/UserGuide/what-is-access-analyzer.html) lo ayuda a identificar recursos compartidos con una entidad externa, valida las políticas de IAM con las prácticas recomendadas y la gramática de la política y genera políticas de IAM en función del historial de la actividad de acceso. Le recomendamos encarecidamente que habilite el Analizador de acceso de IAM tanto en la cuenta como en la organización.

**Beneficios del servicio:** el Analizador de acceso de IAM ofrece una gran cantidad de resultados reveladores. Puede ayudarlo a identificar los recursos de la organización y las cuentas que se comparten con una entidad externa. Puede detectar recursos como un bucket de S3 público, uno AWS KMS key compartido con otra cuenta o un rol compartido con una cuenta externa, lo que le brinda una excelente visibilidad para identificar los recursos que no están bajo el control de su organización. No solo valida las políticas de IAM, sino que también puede generarlas.