# 5. Comprenda los estándares de seguridad y cómo se aplican a su carga de trabajo de SAP
**¿Cómo define los estándares y los controles de seguridad para alinearlos con la criticidad de su carga de trabajo de SAP?** Los estándares son documentos publicados en los que se definen las políticas y los procedimientos requeridos para asegurar sus sistemas a través de una práctica recomendada para un producto, una organización, una industria o una jurisdicción. Proporcionan un marco con el que se puede evaluar su carga de trabajo de SAP. Algunos estándares son obligatorios para garantizar la conformidad con los requisitos normativos, mientras que otros son opcionales, pero ayudan a establecer roles y responsabilidades.
[\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/es_es/wellarchitected/latest/sap-lens/design-principle-5.html)
# Práctica recomendada 5.1: defina los roles y las responsabilidades de seguridad
Al definir los requisitos para asegurar sus cargas de trabajo de SAP, puede identificar riesgos que se deben abordar y asegurarse de que se asignen debidamente los roles y las responsabilidades relacionadas con la seguridad. En las sugerencias, analizamos los estándares de AWS, SAP y cualquier proveedor de servicio para formar una base de referencia sobre la que puede crear su estrategia de seguridad.
**Sugerencia 5.1.1: comprenda el modelo de responsabilidad compartida de AWS**
AWS es responsable de la seguridad de la nube y usted, como cliente, es responsable de la seguridad en la nube. Esté al tanto y comprenda los siguientes recursos:
+ Documentación de AWS: [Modelo de responsabilidad compartida de AWS](https://aws.amazon.com/compliance/shared-responsibility-model/)
+ Documentación de AWS: [Respuesta al abuso y compromiso de AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/abuse-and-compromise.html)
+ Documentación de AWS: [Política de uso aceptable de AWS](https://aws.amazon.com/aup)
Comprenda la división de responsabilidades entre usted y sus socios en el contexto del modelo de responsabilidad compartida de AWS
**Sugerencia 5.1.2: comprenda las bases de la seguridad entre SAP y AWS, incluidos los certificados de conformidad, los informes y las confirmaciones**
Comprenda los estándares de seguridad y las certificaciones de conformidad que SAP y AWS admiten. Determine cuáles son pertinentes para su industria y su país (por ejemplo, PCI-DSS, GDPR, HIPAA). Estos controles pueden ayudar a fortalecer sus propios programas de conformidad y certificación, y reducir los esfuerzos necesarios para cumplir con los estándares de seguridad.
Consulte la documentación de SAP y de AWS para obtener más detalles:
+ Documentación de AWS: [Conformidad de AWS](https://aws.amazon.com/compliance)
+ Documentación de AWS: [AWS Compliance Center (Centro de conformidad de AWS)](https://aws.amazon.com/financial-services/security-compliance/compliance-center/)
+ Documentación de AWS: [Programas de conformidad](https://aws.amazon.com/compliance/programs/)
+ Documentación de AWS: [Servicios de conformidad en el ámbito](https://aws.amazon.com/compliance/services-in-scope/)
+ Documentación de SAP: [Trust Center](https://www.sap.com/about/trust-center.html)
**Sugerencia 5.1.3: evalúe las bases de la seguridad de los proveedores de servicios que admiten su carga de trabajo de SAP**
Si usted depende de organizaciones de terceros para administrar toda o parte de su carga de trabajo de SAP, evalúe la capacidad de ese tercero para cumplir con los controles de seguridad requeridos. Esto comprende los requisitos legales y regulatorios que su empresa debe cumplir.
# Práctica recomendada 5.2: clasifique los datos dentro de las cargas de trabajo de SAP
La sensibilidad de los datos puede afectar los controles necesarios para mitigar el riesgo. AWS sugiere consultar los marcos del estándar dentro de su industria o su organización y adoptarlos para clasificar sus cargas de trabajo de SAP y los datos que contienen.
**Sugerencia 5.2.1: determine la clasificación de los datos y los requisitos de manipulación**
Identifique cualquier marco de clasificación de datos ya implementado en su organización. Estos marcos pueden ayudarle a categorizar los datos en función de la sensibilidad de la información, como, por ejemplo, los datos que deben protegerse por cuestiones de confidencialidad, integridad y disponibilidad. Existen modelos de clasificación estándar, por ejemplo, el [Esquema de categorización de información de EE. UU.,](https://docs.aws.amazon.com/whitepapers/latest/data-classification/u.s.-information-categorization-scheme.html) que se pueden personalizar en función de su industria, empresa o requisitos de TI.
Comprenda cómo se deben manipular los datos según las pautas apropiadas para la clasificación. Esto incluye los controles de seguridad específicos relacionados con los requisitos estándar o normativos (por ejemplo, PCI-DSS o GDPR) y las consideraciones de privacidad comunes (por ejemplo, el manejo de Información personal identificable [PII]). En los siguientes documentos, podrá encontrar información adicional:
+ Documentación de AWS: [Data Classification: Secure Cloud Adoption Whitepaper (Clasificación de datos: documento técnico de adopción segura de la nube)](https://docs.aws.amazon.com/whitepapers/latest/data-classification/data-classification-overview.html)
+ Documentación de AWS: [Reglamentación General de Protección de Datos (RGPD)](https://aws.amazon.com/compliance/gdpr-center/)
+ [NIST Security and Privacy Controls for Information Systems and Organizations (Controles de seguridad y privacidad del NIST para organizaciones y sistemas de Información)](https://csrc.nist.gov/publications/detail/sp/800-53/rev-5/final)
+ [ISO 27001 – Annex A.8: Asset Management (Anexo A.8: administración de activos)](https://www.iso.org/isoiec-27001-information-security.html)
+ Well-Architected Framework [seguridad]: [Protección de los datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/a-data-protection.html)
**Sugerencia 5.2.2: identifique los tipos de datos de SAP con reglas de manejo específicas**
En función de los procesos empresariales que admite su sistema SAP, podrían existir requisitos para la manipulación y el almacenamiento de datos. Familiarícese con las pautas que rigen para su ubicación y su industria. Entre algunos ejemplos vinculados a SAP, se encuentran los siguientes:
+ Evaluar si es necesario un complemento digital para pagos a fin de proteger los datos del titular de la tarjeta almacenados y garantizar la conformidad con la Payment Card Industry (PCI, industria de tarjetas de pagos).
+ Evaluar los datos de RR. HH. para conocer los requisitos de residencia de los datos, por ejemplo, algunos países y jurisdicciones podrían requerir que los datos se almacenen dentro de una ubicación geográfica específica.
+ Considere qué datos podrían tener que estar cifrados en sistemas que no sean de producción para ocultar información confidencial, pero mantener la integridad de los datos.
**Sugerencia 5.2.3: clasifique todas sus cargas de trabajo según el marco definido**
Clasifique sus sistemas SAP según su uso comercial y la existencia de tipos de datos críticos. Los sistemas de transacciones, como SAP ERP, tienen más probabilidades de contener información confidencial que los sistemas analíticos, tales como SAP BW, o los sistemas de administración, como Solution Manager, aunque esto deberían validarlo expertos funcionales y de seguridad.
Además, debe evaluar si los mismos controles se aplican a cargas de trabajo que no son de producción. Por ejemplo, las cargas de trabajo que no son de producción incluyen datos de producción y, por lo tanto, ¿deben cumplir con los mismos controles de seguridad?
# Práctica recomendada 5.3: evalúe la necesidad de aplicar controles de seguridad específicos para sus cargas de trabajo de SAP
En función de la clasificación de datos, evalúe los controles que pueden ayudarlo a cumplir con los estándares y los requisitos establecidos en las prácticas recomendada anteriores. Estas prácticas incluyen ubicación, estrategia de cuenta de AWS y requisitos de aleatorización para cargas de trabajo de SAP que no sean de producción.
**Sugerencia 5.3.1: evalúe cualquier requisito de ubicación geográfica**
Sus cargas de trabajo de SAP podrían implementarse en una o varias regiones y AZ de AWS. Cada región de AWS consta de varias AZ aisladas y separadas físicamente dentro de un área geográfica. Además de evaluar la región en busca de latencia y resiliencia, debería considerar si se cumplen los requisitos de seguridad y conformidad. Entre algunos de las regiones aisladas con jurisdicciones operativas específicas, se encuentran las siguientes:
+ AWS GovCloud (EE. UU.): designada para alojar información confidencial, cargas de trabajo reglamentadas, y seguir los requisitos de seguridad y conformidad más estrictos del gobierno de los EE. UU.
+ Amazon Web Services en China: AWS ha colaborado con socios locales para garantizar que se cumplan los requisitos legales y normativos de China.
Algunas industrias o países tienen requisitos de residencia de datos que establecen que todo el contenido de los clientes que se procesa y se almacena en un sistema de TI debe permanecer dentro de las fronteras de un país en particular.
+ Documentación de AWS: [Addressing Data Residency with AWS (Cómo abordar la residencia de los datos con AWS)](https://aws.amazon.com/blogs/security/addressing-data-residency-with-aws/)
Antes de decidir una ubicación, revise la disponibilidad de los servicios para esa región de AWS a fin de asegurarse de que los servicios que requiere estén disponibles.
+ Documentación de AWS: [Servicios regionales de AWS](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)
**Sugerencia 5.3.2: determine la estrategia de cuenta de AWS requerida para sus cargas de trabajo de SAP**
Una importante consideración al ejecutar las cargas de trabajo de SAP en AWS es la estrategia de cuenta de AWS que adopte para cumplir con los controles de seguridad de la organización. Debería considerar separar las cargas de trabajo de SAP de las que no son de SAP y ejecutar las cargas de trabajo de producción en una cuenta distinta a la que destina para ejecutar cargas que no son de producción.
Comprenda la estrategia de administración de cuentas de AWS de su organización, incluido el uso de AWS Organizations y AWS Control Tower. Considere aislar las capacidades de seguridad y registro en una cuenta aislada. Consulte los siguientes recursos para obtener detalles adicionales:
+ Well-Architected Framework [seguridad]: [Separación y administración de cuentas de AWS](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/aws-account-management-and-separation.html)
+ Documentación de AWS: [Establecer su entorno de acuerdo con las practicas recomendadas de AWS](https://aws.amazon.com/organizations/getting-started/best-practices/)
+ Documentación de AWS: [Organizing Your AWS Environment Using Multiple Accounts (Organizar su entorno de AWS utilizando varias cuentas)](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/advanced-organization.html)
La estrategia de cuenta que adopte también afectará la configuración de la red dentro de AWS. Al determinar la estrategia de cuenta de AWS adecuada para sus cargas de trabajo de SAP, debe considerar lo siguiente:
+ Requisitos para el acceso entre cuentas, como la necesidad de configurar [Interconexión de VPC](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-peering.html) o [Gateway de tránsito](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html) para permitir la comunicación entre sistemas de producción y de no producción. Por ejemplo, el movimiento de transportes de SAP en su infraestructura.
+ Las dependencias de servicios compartidos (como recursos de administración de directorios) y los componentes de administración de red que se implementan en diferentes cuentas de AWS desde sus cargas de trabajo de SAP.
**Sugerencia 5.3.3: revise los controles para la aleatorización de datos (si corresponde)**
Muchos clientes de SAP confían en las copias de datos de producción con fines de pruebas, incluidas las pruebas de rendimiento y regresión. Si crea una copia de datos de producción, decida qué controles debe añadir para asegurarse de que sus datos de producción estén protegidos contra accesos y modificaciones no deseados.
Considere las siguientes opciones:
+ Mecanismos tradicionales de aleatorización de datos proporcionados por SAP o terceros
+ Uso de cuentas tradicionales o controles de red para limitar el acceso durante una copia de datos de producción
+ Uso de una cuenta que no es de producción con los mismos controles que la de producción
# Práctica recomendada 5.4: cree una estrategia para implementar controles de seguridad
Después de evaluar los requisitos empresariales en función de la clasificación de datos, cree una estrategia que equilibre los controles de seguridad de toda su organización con las guías de aplicación y los estándares abiertos disponibles. Tenga en cuenta el esfuerzo de implementación y reconozca el riesgo.
**Sugerencia 5.4.1: identifique una matriz para evaluar el riesgo**
Existen una variedad de marcos de administración de riesgos para geografías e industrias específicas. Comprenda el marco de riesgo adoptado por su organización y cómo aplica a la administración de riesgos relacionados con sus cargas de trabajo de SAP.
+ Documentación de AWS: [Ejemplo de matriz de riesgo](https://docs.aws.amazon.com/wellarchitected/latest/security-pillar/governance.html)
+ Documentación de AWS: [Scaling a governance, risk, and compliance program for the cloud (Escalar un programa de gobernanza, riesgo y conformidad para la nube)](https://aws.amazon.com/blogs/security/scaling-a-governance-risk-and-compliance-program-for-the-cloud/)
+ [NIST Risk Management Framework (Marco de administración de riesgos del NIST)](https://www.nist.gov/cyberframework/risk-management-framework)
**Sugerencia 5.4.2: evalúe los requisitos de seguridad y conformidad exigidos por su organización**
Consulte con su centro de excelencia en la nube, su equipo legal, los equipos de conformidad y con su proveedor de servicios administrados para comprender su base de referencia de seguridad y cómo se aplican los controles. Evalúe si todos estos controles se pueden aplicar fácilmente a su carga de trabajo de SAP e identifique áreas que podrían requerir una excepción, por ejemplo, listas de permitidos y denegados para servicios de AWS, flujo de tráfico entrante y saliente y restricciones de acceso.
**Sugerencia 5.4.3: identifique y convenga un proceso de excepciones**
En algunas situaciones, los requisitos de software, empresariales y de soporte para SAP podrían requerir que se desvíe de los patrones de seguridad estándar. Identifique un proceso para acordar y documentar cualquier excepción con un foro de asesoramiento de cambios o una autoridad de diseño de seguridad, y vuelva a evaluar el proceso periódicamente.
Documentación de AWS: [Change Management in the Cloud (Administración de cambios en la nube)](https://docs.aws.amazon.com/whitepapers/latest/change-management-in-the-cloud/change-management-in-the-cloud.html)