Establecimiento de los requisitos de seguridad y gobernanza para cada proveedor de servicios en la nube

Las instituciones educativas tienen varios objetivos de cumplimiento, gobernanza y ciberseguridad que deben alcanzar. Los riesgos de no cumplir con estos objetivos pueden incluir la pérdida de la reputación institucional, multas pecuniarias, el pago de rescates, filtraciones de información confidencial, el robo de propiedad intelectual y la pérdida total de funciones esenciales o un uso limitado de estas. Gracias al modelo de responsabilidad compartida, las instituciones que adoptan los servicios en la nube pueden reducir la carga administrativa al delegar parte de la responsabilidad de la seguridad de la infraestructura al proveedor de servicios en la nube. Además, puede beneficiarse de servicios de seguridad nativos en la nube diseñados específicamente que ofrecen características que no suelen estar disponibles, son difíciles de administrar o tienen un costo prohibitivo en una implementación en las instalaciones. Algunos ejemplos incluyen servicios como la protección AWS WAFde aplicaciones web, AWS Shieldla protección contra la denegación de servicio distribuida y Amazon GuardDuty para la detección de amenazas. DDo Una estrategia exitosa de seguridad y gobernanza en la nube permite a los equipos de TI y seguridad centrarse en crear sistemas que sean seguros por diseño, ayuda a la institución a adaptarse rápidamente a los cambiantes requisitos de la misión y proporciona a los profesores e investigadores entornos seguros para revolucionar el aprendizaje y la innovación. Para evaluar sus requisitos de seguridad y gobernanza, tenga en cuenta las siguientes preguntas clave.

¿A qué marcos de cumplimiento deben ajustarse sus cargas de trabajo?

Las instituciones educativas deben cumplir con muchos marcos de cumplimiento debido a la multitud de partes interesadas y cargas de trabajo que soportan. Entre estos marcos de cumplimiento, se incluyen la Ley de Derechos Educativos y Privacidad de la Familia (FERPA), la Ley de Portabilidad y Responsabilidad de Seguros Médicos (HIPAA), el Programa Federal de Administración de Riesgos y Autorizaciones (FedRAMP), la Certificación del modelo de madurez de ciberseguridad (CMMC), el Reglamento sobre el Tráfico Internacional de Armas (ITAR), los Servicios de Información de la Justicia Criminal (CJIS) y el Estándar de Seguridad de Datos del Sector de las Tarjetas de Pago (PCI DSS) de EE. UU. En algunos casos, como con la CMMC, la financiación de las becas de investigación no se libera hasta que las cargas de trabajo pertinentes estén certificadas como conformes. Cada marco es único y puede aplicarse solo a un subconjunto de cargas de trabajo. Asegúrese de conocer los requisitos que debe cumplir cada carga de trabajo y de poder cumplir esos requisitos en el entorno de cada carga de trabajo. En los entornos de nube, asegúrese de comprender sus responsabilidades en comparación con las responsabilidades del proveedor de la nube. Debe tener los conocimientos, los recursos y las habilidades necesarios para lograr y mantener el cumplimiento.
¿Qué mecanismos tiene para hacer cumplir la normativa en varios proveedores de servicios en la nube sin inhibir la innovación?

Si su institución académica es nueva en la nube, le recomendamos que seleccione un proveedor principal de servicios en la nube estratégicos y se centre en comprender cómo diseñar, crear y operar entornos de nube que sean seguros por diseño. Lo ideal es que los controles de seguridad que se incrustan automáticamente en los sistemas de autoservicio permitan a los usuarios implementar rápidamente entornos de nube seguros con una intervención mínima de los equipos de TI. Centrarse en un solo proveedor limita la cantidad de recursos y tiempo que debe invertir para garantizar la seguridad y el cumplimiento. Las instituciones que tienen más éxito eligen un proveedor de servicios en la nube que pueda satisfacer la mayoría de los requisitos de cumplimiento, cuente con una sólida red de socios, ofrezca soluciones de cumplimiento prediseñadas y ofrezca una automatización de autoservicio segura. Si debe garantizar la seguridad y el cumplimiento con distintos proveedores de servicios en la nube, necesitará una inversión adicional para desarrollar las habilidades y los recursos necesarios para administrar el cumplimiento en cada entorno. Si cada proveedor de servicios en la nube usa un entorno fundamental o zona de aterrizaje diferente, debe entender qué estándares y requisitos de cumplimiento puede admitir cada zona de aterrizaje, lo que podría determinar si algunas cargas de trabajo se pueden alojar en ese proveedor. Puede administrar el cumplimiento de cada proveedor por separado o utilizar soluciones personalizadas o de socios que puedan centralizar la administración en todos los proveedores. AWS Marketplace proporciona soluciones listas para usar que también pueden cumplir con sus requisitos de cumplimiento.
¿Cómo puede evaluar y controlar el costo y el uso con varios proveedores de nube?

Si su institución académica es nueva en la nube, le recomendamos que establezca mecanismos de control y visibilidad de los costos para comprender mejor qué servicios en la nube se utilizan, a quién pertenecen los recursos de la nube, cuál es su propósito y qué posibles ahorros de costos se pueden lograr al optimizar el consumo. Las instituciones pueden lograr un importante retorno de la inversión al asociarse con su proveedor de servicios en la nube para migrar y modernizar los sistemas esenciales, ya que pueden negociar acuerdos empresariales, beneficiarse de los precios por volumen y aprovechar la experiencia del proveedor de servicios en la nube. Si necesita controlar los costos y el uso con varios proveedores, considere cómo puede agregar y analizar los costos y el uso de cada proveedor, ya sea con procesos y herramientas internos o mediante soluciones de socios. Muchas organizaciones están empezando a identificar las operaciones financieras en la nube (FinOps) como una función clave y están dedicando recursos a promover e implementar capacidades para la gestión y optimización de los costes de la nube.
¿Cuenta con mecanismos para administrar fácilmente los permisos de los usuarios a lo largo del tiempo?

Recomendamos que las instituciones académicas comprendan las principales necesidades de las partes interesadas cuando se acerquen por primera vez a la nube. Los usuarios de los sistemas institucionales incluyen estudiantes, profesores, investigadores, personal de TI, administración, seguridad, público general y colaboradores externos. Debe identificar las necesidades principales de estos usuarios y asegurarse de contar con los mecanismos adecuados para concederles acceso a los servicios en la nube. Los diferentes tipos de usuarios requieren diferentes tipos de acceso a los servicios en la nube. Por ejemplo, los estudiantes, el profesorado y el público general necesitan acceder a las aplicaciones; el personal de TI, los administradores y el personal de seguridad necesitan acceder a la infraestructura en la nube; los investigadores y sus colaboradores externos necesitan acceder a entornos de investigación seguros; los profesores necesitan acceder a entornos de enseñanza seguros e incluso podrían querer proporcionar a los estudiantes un acceso práctico a las tecnologías de la nube. Debe disponer de herramientas para administrar de forma centralizada estas identidades de forma automatizada y utilizar los procesos establecidos para identificar, conceder y revocar permisos a medida que los roles y las responsabilidades cambian con el tiempo.
¿Cuenta con mecanismos para integrar adecuadamente los nuevos sistemas con su solución de administración de identidades?

Recomendamos que las instituciones académicas faciliten la integración de los nuevos sistemas con sus sistemas de administración de identidades. Esto ofrece a la institución la flexibilidad necesaria para admitir varias funciones esenciales, ya que permite a las partes interesadas adquirir y crear sistemas que puedan integrarse fácilmente en el sistema de administración de identidades. Al simplificar el proceso de integración, será menos probable que las partes interesadas utilicen sus propias medidas de control de acceso, que podrían no aplicar las prácticas recomendadas de seguridad, como el inicio de sesión único, las claves de acceso y la autenticación multifactor (MFA). Asegúrese de que el sistema de administración de identidades pueda interoperar con los sistemas necesarios mediante integraciones nativas o protocolos estándares del sector.
¿Cuenta con mecanismos que permitan una detección y respuesta eficaces a los incidentes?

Las instituciones educativas suelen ser blanco de ciberataques y ransomware. Para ayudar a detectar estos incidentes y responder a ellos de forma eficaz, recomendamos un enfoque bifurcado:
- Centre sus esfuerzos en las medidas preventivas en forma de controles de seguridad que se incrustan automáticamente en los entornos de nube.
- Implemente capacidades de detección que ayuden a los equipos de respuesta a ciberincidentes a detectar, contener y mitigar las brechas de seguridad de manera oportuna.

Al igual que con el cumplimiento, debe asegurarse de contar con los recursos, las habilidades y las herramientas necesarias para detectar, prevenir y responder a los eventos en cada entorno. Al centrarse en un solo proveedor de nube principal, puede limitar los recursos necesarios. Las instituciones académicas que no cuenten con un equipo de operaciones de seguridad maduro deberían recurrir a proveedores de software independientes, proveedores de detección y respuesta administradas y consultores de ciberseguridad para obtener ayuda en estas áreas.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Diferenciación entre aplicaciones de SaaS y servicios de nube básicos

Adopción de servicios administrados nativos en la nube siempre que sea posible y práctico