# Funcionamiento seguro de las cargas de trabajo
<a name="operating-your-workload-securely"></a>

El funcionamiento seguro de las cargas de trabajo abarca todo su ciclo de vida: desde el diseño, la creación y la ejecución hasta las mejoras constantes. Una de las formas de mejorar la capacidad de trabajar de forma segura en la nube es mediante la adopción de un enfoque organizativo de la gobernanza. La gobernanza es la forma en que las decisiones se guían de forma coherente sin tener que depender únicamente del buen juicio de las personas implicadas. El proceso y modelo de gobernanza son la forma con la que responde a la pregunta: “¿Cómo puedo saber si se logran los objetivos de control de una determinada carga de trabajo y si son los adecuados?” Contar con un enfoque coherente a la hora de tomar decisiones acelera la implementación de cargas de trabajo y ayuda a subir el nivel de la capacidad de seguridad de la organización. 

Para gestionar su carga de trabajo de forma segura, debe aplicar las prácticas recomendadas generales en todas las áreas de seguridad. Tome los requisitos y procesos que ha definido en materia de excelencia operativa en los niveles organizativo y de carga de trabajo, y aplíquelos a todas las áreas. Mantenerse al día con las recomendaciones de AWS y del sector y con la inteligencia sobre amenazas lo ayuda a desarrollar el modelo de amenazas y los objetivos de control. La automatización de los procesos de seguridad, las pruebas y la validación le ayudan a escalar las operaciones de seguridad. 

La automatización permite la coherencia y la repetibilidad de los procesos. La gente hace bien muchas cosas, pero hacer lo mismo de forma coherente y en repetidas ocasiones sin cometer errores no es una de ellas. Incluso con manuales de procedimientos bien redactados, se corre el riesgo de que la gente no lleve a cabo tareas repetitivas de forma sistemática. Esto es especialmente cierto cuando cada uno tiene distintas responsabilidades y debe responder a alertas con las que no está familiarizado. Sin embargo, la automatización responde de la misma forma en cada momento. La mejor forma de implementar aplicaciones es a través de la automatización. El código que ejecuta la implementación puede probarse y utilizarse para llevarla a cabo. Esto aumenta la confianza en el proceso de cambio y reduce el riesgo de que se produzca un error en algún cambio. 

Para verificar que la configuración cumple con los objetivos de control, pruebe primero la automatización y la aplicación implementada en un entorno de prueba y entrenamiento. De esta forma, podrá probar la automatización para demostrar que hizo correctamente todos los pasos. También puede obtener retroalimentación temprana en el ciclo de desarrollo e implementación, lo que reduce la posibilidad de tener que volver a repetir los procesos. Para reducir la posibilidad de se produzcan errores de implementación, haga cambios en la configuración por código y no por persona. Si tiene que volver a implementar una aplicación, la automatización le facilitará esta tarea. A medida que va definiendo objetivos de control adicionales, podrá ir agregándolos fácilmente a la automatización para todas las cargas de trabajo.

En lugar de que los propietarios de cargas de trabajo individuales tengan que invertir en seguridad específica de dichas cargas, ahorre tiempo mediante el uso de capacidades comunes y componentes compartidos. Algunos de los ejemplos de servicios que varios equipos pueden consumir incluyen: el proceso de creación de cuentas de AWS, la identidad centralizada de personas, la configuración de registros comunes y la creación de imágenes base de AMI y contenedores. Este enfoque puede ayudar a los creadores a mejorar los tiempos de ciclo de las cargas de trabajo y lograr de forma coherente los objetivos de control de seguridad. Si los equipos son más coherentes, podrá validar los objetivos de control e informar mejor de su nivel de control y postura ante los riesgos a las partes interesadas.

**Topics**
+ [SEC01-BP03 Identificación y validación de los objetivos de control](sec_securely_operate_control_objectives.md)
+ [SEC01-BP04 Actualización constante de las amenazas y recomendaciones de seguridad](sec_securely_operate_updated_threats.md)
+ [SEC01-BP05 Reducción del alcance de la administración de la seguridad](sec_securely_operate_reduce_management_scope.md)
+ [SEC01-BP06 Automatización de la implementación de controles de seguridad estándares](sec_securely_operate_automate_security_controls.md)
+ [SEC01-BP07 Identificación de amenazas y priorización de mitigaciones con un modelo de amenazas](sec_securely_operate_threat_model.md)
+ [SEC01-BP08 Evaluación e implementación de nuevos servicios y características de seguridad de forma periódica](sec_securely_operate_implement_services_features.md)

# SEC01-BP03 Identificación y validación de los objetivos de control
<a name="sec_securely_operate_control_objectives"></a>

 En función de sus requisitos de cumplimiento y los riesgos identificados a partir de su modelo de amenazas, extraiga y valide los objetivos de control y los controles que tiene que aplicar a su carga de trabajo. La validación continua tanto de los objetivos de control como de los controles le ayuda a medir la efectividad de la mitigación de riesgos. 

 **Resultado deseado:** los objetivos de control de seguridad de su empresa están bien definidos y alineados con sus requisitos de conformidad. Se implementan y ponen en marcha controles mediante la automatización y las políticas, y se evalúan de forma continua con el fin de determinar su eficacia para lograr sus objetivos. Poner a disposición de los auditores demostraciones de eficacia, tanto en un momento determinado como durante un periodo de tiempo. 

 **Patrones comunes de uso no recomendados:** 
+  Incomprensión por parte de la empresa de los requisitos normativos, las expectativas del mercado y los estándares del sector en cuanto al control de la seguridad. 
+  Alineación incorrecta de los marcos de ciberseguridad y los objetivos de control con los requisitos de la empresa. 
+  Ausencia de una correspondencia estrecha y medible entre la implementación de los controles y los objetivos de control. 
+  Falta de uso de la automatización para informar sobre la eficacia de los controles. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Existen muchos marcos de ciberseguridad comunes que pueden constituir la base de sus objetivos de control de seguridad. Debe tener en cuenta los requisitos normativos, las expectativas del mercado y los estándares del sector para su empresa con el objetivo de determinar qué marcos se adaptan mejor a sus necesidades. Entre los ejemplos, se incluyen [AICPA SOC 2](https://aws.amazon.com/compliance/soc-faqs/), [HITRUST](https://aws.amazon.com/compliance/hitrust/), [PCI-DSS](https://aws.amazon.com/compliance/pci-dss-level-1-faqs/), [ISO 27001](https://aws.amazon.com/compliance/iso-27001-faqs/) y [NIST SP 800-53](https://aws.amazon.com/compliance/nist/). 

 Una vez identificados los objetivos de control, debe analizar cómo los servicios de AWS de los que hace uso le ayudan a conseguir dichos objetivos. Utilice [AWS Artifact](https://aws.amazon.com/artifact/) para buscar la documentación y los informes que se alineen con sus marcos objetivo que describan el alcance de la responsabilidad cubierta por AWS y una guía para el ámbito restante que caiga bajo su responsabilidad. Para obtener más orientación específica sobre los servicios que se ajusten a las diversas declaraciones de control del marco, consulte [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). 

 A medida que defina unos controles que sirvan para lograr sus objetivos, reglamente su aplicación mediante controles preventivos y automatice las mitigaciones mediante controles de detección. Ayude a evitar configuraciones y acciones de recursos no conformes en todo su sistema de AWS Organizations mediante las [políticas de control de servicios (SCP)](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_policies_scps.html). Implemente reglas en [AWS Config](https://aws.amazon.com/config/) para supervisar los recursos que no cumplan con las normas e informar sobre ellos y, a continuación, cambie las reglas a un modelo de cumplimiento una vez que esté seguro de su comportamiento. Para implementar conjuntos de reglas predefinidas y administradas que se ajusten a sus marcos de ciberseguridad, evalúe el uso de [estándares de AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/standards-reference.html) como primera opción. El estándar Prácticas recomendadas de seguridad básicas (FSBP) de AWS y el CIS AWS Foundations Benchmark son buenos puntos de partida y contienen controles alineados con muchos de los objetivos comunes en varios marcos estándares. Cuando Security Hub CSPM no cuente intrínsecamente con las detecciones de control deseadas, puede complementarse con [paquetes de conformidad de AWS Config](https://docs.aws.amazon.com/config/latest/developerguide/conformance-packs.html). 

 Utilice los [paquetes para socios de APN](https://aws.amazon.com/partners/programs/gsca/bundles/) recomendados por el equipo de AWS Global Security and Compliance Acceleration (GSCA) para obtener asistencia de asesores de seguridad, agencias consultoras, sistemas de recopilación de pruebas y presentación de informes, auditores y otros servicios complementarios cuando sea necesario. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Valore los marcos de ciberseguridad comunes y alinee sus objetivos de control con los marcos elegidos. 

1.  Obtenga la documentación pertinente sobre la orientación y las responsabilidades de su marco con AWS Artifact. Determine qué partes del cumplimiento corresponden a AWS según el modelo de responsabilidad compartida y qué partes son de su responsabilidad. 

1.  Utilice SCP, políticas de recursos, políticas de confianza de roles y otras barreras de protección para evitar configuraciones y acciones de recursos no conformes. 

1.  Evalúe la implementación de estándares de Security Hub CSPM y paquetes de conformidad de AWS Config que se alineen con sus objetivos de control. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC03-BP01 Definición de los requisitos de acceso](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_permissions_define.html) 
+  [SEC04-BP01 Configuración del registro de servicios y aplicaciones](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_detect_investigate_events_app_service_logging.html) 
+  [SEC07-BP01 Comprensión del esquema de clasificación de datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_data_classification_identify_data.html) 
+  [OPS01-BP03 Evaluación de los requisitos de gobernanza](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_governance_reqs.html) 
+  [OPS01-BP04 Evaluación de los requisitos de cumplimiento](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_compliance_reqs.html) 
+  [PERF01-BP05 Uso de políticas y arquitecturas de referencia](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_use_policies_and_reference_architectures.html) 
+  [COST02-BP01 Desarrollo de políticas basadas en los requisitos de su organización](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_govern_usage_policies.html) 

 **Documentos relacionados:** 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Herramientas relacionadas:** 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 

# SEC01-BP04 Actualización constante de las amenazas y recomendaciones de seguridad
<a name="sec_securely_operate_updated_threats"></a>

 Para mantenerse al día de las amenazas y mitigaciones más recientes, supervise las publicaciones de inteligencia sobre amenazas del sector y analice las fuentes de datos en busca de actualizaciones. Evalúe las ofertas de servicios administrados que se actualizan automáticamente en función de los datos de amenazas más recientes. 

 **Resultado deseado:** se mantiene al día a medida que las publicaciones del sector se actualizan con las amenazas y recomendaciones más recientes.  Utiliza la automatización para detectar posibles vulnerabilidades y exposiciones a medida que se identifiquen nuevas amenazas. Toma medidas de mitigación para estas amenazas.  Adopta servicios de AWS que se actualicen automáticamente con la información de amenazas más reciente. 

 **Patrones comunes de uso no recomendados:** 
+  No disponer de un mecanismo fiable y repetible para mantenerse al día de la información más reciente sobre amenazas. 
+  Mantener un inventario manual de su cartera de tecnología, cargas de trabajo y dependencias que requiera una revisión humana para detectar posibles vulnerabilidades y exposiciones. 
+  No disponer de mecanismos para actualizar sus cargas de trabajo y dependencias a las versiones más recientes disponibles que incluyan mitigaciones de amenazas conocidas. 

 **Beneficios de establecer esta práctica recomendada:** el uso de orígenes de inteligencia sobre amenazas para mantenerse al día reduce el riesgo de perderse cambios importantes en el panorama de amenazas que puedan afectar a su empresa.  Utilizar la automatización para analizar, detectar y corregir posibles vulnerabilidades o exposiciones en sus cargas de trabajo y sus dependencias puede ayudarle a mitigar los riesgos de forma rápida y predecible, en comparación con las alternativas manuales.  Esto ayuda a controlar el tiempo y los costos relacionados con la mitigación de vulnerabilidades. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Revise las publicaciones fiables de inteligencia sobre amenazas para mantenerse al día del panorama de amenazas.  Consulte la base de conocimiento de [MITRE ATT&CK](https://attack.mitre.org/) para obtener documentación sobre tácticas, técnicas y procedimientos (TTP) de confrontación conocidos. Consulte la lista de [vulnerabilidades y exposiciones comunes](https://cve.org/) (CVE) de MITRE para mantenerse al tanto de las vulnerabilidades conocidas de los productos que utiliza. Conozca los riesgos críticos de las aplicaciones web con el conocido proyecto [OWASP Top 10](https://owasp.org/www-project-top-ten/) de Open Worldwide Application Security Project (OWASP). 

 Manténgase al día de los eventos de seguridad de AWS y las medidas de corrección recomendadas con los [boletines de seguridad](https://aws.amazon.com/security/security-bulletins/) de AWS para las CVE. 

 Con el objetivo de reducir el esfuerzo general y los gastos que supone mantenerse al día, plantéese el uso de servicios de AWS que incorporen automáticamente nueva información sobre amenazas con el paso del tiempo.  Por ejemplo, [Amazon GuardDuty](https://aws.amazon.com/guardduty/) se mantiene al día con la inteligencia de amenazas del sector para detectar comportamientos anómalos y firmas de amenazas en las cuentas.  [Amazon Inspector](https://aws.amazon.com/inspector/) mantiene actualizada automáticamente una base de datos de las CVE que utiliza para sus características de análisis continuo.  Tanto [AWS WAF](https://aws.amazon.com/waf/) como [AWS Shield Advanced](https://docs.aws.amazon.com/waf/latest/developerguide/ddos-advanced-summary.html) ofrecen grupos de reglas administrados que se actualizan automáticamente a medida que surgen nuevas amenazas. 

 Revise el [pilar de excelencia operativa de Well-Architected](https://docs.aws.amazon.com/wellarchitected/latest/operational-excellence-pillar/welcome.html) para automatizar la administración de flotas y la aplicación de parches. 

## Pasos para la implementación
<a name="implementation-steps"></a>
+  Suscríbase a las actualizaciones de las publicaciones de inteligencia sobre amenazas que resulten pertinentes para su negocio y su sector. Suscríbase a los boletines de seguridad de AWS. 
+  Considere la posibilidad de adoptar servicios que incorporen automáticamente nuevos conocimientos sobre amenazas, como Amazon GuardDuty y Amazon Inspector. 
+  Implemente una estrategia de administración de flotas y aplicación de parches acorde con las prácticas recomendadas en el pilar de excelencia operativa de Well-Architected. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC01-BP07 Identificación de amenazas y priorización de mitigaciones con un modelo de amenazas](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_threat_model.html) 
+  [OPS01-BP05 Evaluación del panorama de amenazas](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_priorities_eval_threat_landscape.html) 
+  [OPS11-BP01 Implementación de un proceso de mejora continua](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_evolve_ops_process_cont_imp.html) 

# SEC01-BP05 Reducción del alcance de la administración de la seguridad
<a name="sec_securely_operate_reduce_management_scope"></a>

 Determine si puede reducir su alcance de seguridad mediante el uso de servicios de AWS que transfieran la administración de ciertos controles a AWS (*servicios administrados*). Estos servicios pueden ayudar a reducir las tareas de mantenimiento de la seguridad, como el aprovisionamiento de infraestructuras, la configuración del software, la aplicación de parches o las copias de seguridad. 

 **Resultado deseado:** tenga en cuenta el alcance de la administración de la seguridad al seleccionar los servicios de AWS para su carga de trabajo. El costo de los gastos generales de administración y las tareas de mantenimiento (el costo total de propiedad o TCO) se compara con el costo de los servicios que seleccione, además de otras consideraciones relacionadas con el marco de Well-Architected. Incorpora la documentación de control y cumplimiento de AWS en sus procedimientos de evaluación y verificación del control. 

 **Patrones comunes de uso no recomendados:** 
+  Implementar cargas de trabajo sin comprender a fondo el modelo de responsabilidad compartida para los servicios que seleccione. 
+  Alojar bases de datos y otras tecnologías en máquinas virtuales sin haber evaluado un servicio administrado equivalente. 
+  No incluir las tareas de administración de la seguridad en el costo total de la propiedad de las tecnologías de host en máquinas virtuales en comparación con las opciones de servicios administrados. 

 **Beneficios de establecer esta práctica recomendada:** el uso de servicios administrados puede reducir la carga general que supone administrar los controles de seguridad operativos, lo que puede reducir los riesgos de seguridad y el costo total de la propiedad. El tiempo que de otro modo se dedicaría a determinadas tareas de seguridad puede reinvertirse en tareas que aporten más valor a la empresa. Los servicios administrados también pueden reducir el alcance de sus requisitos de cumplimiento al trasladar algunos requisitos de control a AWS. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Hay varias formas en las que puede integrar los componentes de la carga de trabajo en AWS. La instalación y ejecución de tecnologías en instancias de Amazon EC2 suele requerir que asuma la mayor parte de la responsabilidad general sobre la seguridad. Para ayudar a reducir la carga de poner en práctica ciertos controles, identifique los servicios administrados de AWS que reduzcan su ámbito de responsabilidad en el modelo de responsabilidad compartida y piense en cómo puede utilizarlos en su arquitectura actual. Entre los ejemplos, se incluye el uso de [Amazon Relational Database Service (Amazon RDS)](https://aws.amazon.com/rds/) para implementar bases de datos, [Amazon Elastic Kubernetes Service (Amazon EKS)](https://aws.amazon.com/eks/) o [Amazon Elastic Container Service (Amazon ECS)](https://aws.amazon.com/ecs/) para orquestar contenedores, o el uso de [opciones sin servidor](https://aws.amazon.com/serverless/). Al desarrollar nuevas aplicaciones, piense en qué servicios pueden ayudar a reducir el tiempo y el costo a la hora de implementar y administrar los controles de seguridad. 

 Los requisitos de cumplimiento también pueden ser un factor determinante a la hora de seleccionar los servicios. Los servicios administrados pueden trasladar la responsabilidad del cumplimiento de algunos requisitos a AWS. Hable con su equipo de cumplimiento sobre si se sentirían cómodos al auditar los aspectos de los servicios que opera y administra y al aceptar las declaraciones de control en los informes de auditoría de AWS pertinentes. Puede proporcionar los artefactos de auditoría que se encuentran en [AWS Artifact](https://aws.amazon.com/artifact/) a sus auditores o reguladores como prueba de los controles de seguridad de AWS. También puede utilizar la guía de responsabilidad que ofrecen algunos de los artefactos de auditoría de AWS para diseñar la arquitectura, junto con [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf). Esta guía ayuda a determinar los controles de seguridad adicionales que debe poner en práctica para permitir los casos de uso específicos de su sistema. 

 Cuando utilice servicios administrados, debe familiarizarse con el proceso de actualización de los recursos a versiones más recientes (por ejemplo, actualizar la versión de una base de datos administrada por Amazon RDS o el tiempo de ejecución de un lenguaje de programación para una función de AWS Lambda). Si bien el servicio administrado puede llevar a cabo esta operación automáticamente, sigue siendo su responsabilidad configurar el momento de la actualización y comprender el impacto en sus operaciones. Herramientas como [AWS Health](https://aws.amazon.com/premiumsupport/technology/aws-health/) pueden ayudarle a hacer un seguimiento de estas actualizaciones y administrarlas en todos sus entornos. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Evalúe los componentes de la carga de trabajo que puedan sustituirse por un servicio administrado. 

   1.  Si está migrando una carga de trabajo a AWS, tenga en cuenta la simplificación de la administración (tiempo y gastos) y la reducción del riesgo al evaluar si debe volver a alojar, refactorizar, redefinir la plataforma, reconstruir o reemplazar la carga de trabajo. A veces, la inversión adicional al inicio de una migración puede generar ahorros significativos a largo plazo. 

1.  Considere la posibilidad de implementar servicios administrados, como Amazon RDS, en lugar de instalar y administrar implementaciones de su tecnología propia. 

1.  Utilice la guía de responsabilidades de AWS Artifact para determinar los controles de seguridad que debe poner en práctica para la carga de trabajo. 

1.  Mantenga un inventario de los recursos que se están utilizando y manténgase al día de los nuevos servicios y enfoques para identificar nuevas oportunidades y reducir el alcance. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [PERF02-BP01 Selección de las mejores opciones computacionales para su carga de trabajo](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_compute_hardware_select_best_compute_options.html) 
+  [PERF03-BP01 Uso de un almacén de datos personalizado que se adapte mejor a los requisitos de acceso y almacenamiento de datos](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_data_use_purpose_built_data_store.html) 
+  [SUS05-BP03 Uso de servicios administrados](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_hardware_a4.html) 

 **Documentos relacionados:** 
+  [Planned lifecycle events for AWS Health](https://docs.aws.amazon.com/health/latest/ug/aws-health-planned-lifecycle-events.html) 

 **Herramientas relacionadas:** 
+  [AWS Health](https://docs.aws.amazon.com/health/latest/ug/what-is-aws-health.html) 
+  [AWS Artifact](https://aws.amazon.com/artifact/) 
+  [AWS Customer Compliance Guides](https://d1.awsstatic.com/whitepapers/compliance/AWS_Customer_Compliance_Guides.pdf) 

 **Videos relacionados:** 
+  [How do I migrate to an Amazon RDS or Aurora MySQL DB instance using AWS DMS?](https://www.youtube.com/watch?v=vqgSdD5vkS0) 
+  [AWS re:Invent 2023 - Manage resource lifecycle events at scale with AWS Health](https://www.youtube.com/watch?v=VoLLNL5j9NA) 

# SEC01-BP06 Automatización de la implementación de controles de seguridad estándares
<a name="sec_securely_operate_automate_security_controls"></a>

 Aplique prácticas modernas de DevOps a medida que desarrolle e implemente controles de seguridad estándar en todos sus entornos de AWS.  Defina controles y configuraciones de seguridad estándar mediante plantillas de infraestructura como código (IaC), registre los cambios en un sistema de control de versiones, pruebe los cambios como parte de una canalización de CI/CD y automatice la implementación de los cambios en sus entornos de AWS. 

 **Resultado deseado:** las plantillas de IaC capturan los controles de seguridad estandarizados y los envían a un sistema de control de versiones.  Existen canalizaciones de CI/CD en lugares en los que se detectan cambios y se automatizan las pruebas y la implementación de sus entornos de AWS.  Existen barreras de protección para detectar errores de configuración en las plantillas y alertar sobre ellos antes de proceder a la implementación.  Se implementan cargas de trabajo en entornos donde existan controles estándar.  Los equipos tienen acceso para implementar configuraciones de servicio aprobadas a través de un mecanismo de autoservicio.  Existen estrategias de copia de seguridad y recuperación seguras para controlar las configuraciones, los scripts y los datos relacionados. 

 **Patrones comunes de uso no recomendados:** 
+  Hacer cambios en los controles de seguridad estándar de forma manual, mediante una consola web o una interfaz de línea de comandos. 
+  Confiar en los equipos de carga de trabajo individuales para implementar manualmente los controles que define un equipo central. 
+  Confiar en un equipo de seguridad central para implementar controles en el nivel de la carga de trabajo a petición de un equipo de carga de trabajo. 
+  Permitir que las mismas personas o equipos desarrollen, prueben e implementen scripts de automatización del control de seguridad sin una separación adecuada de funciones ni de controles y contrapesos.  

 **Beneficios de establecer esta práctica recomendada:** el uso de plantillas para definir los controles de seguridad estándar permite hacer un seguimiento y comparar los cambios a lo largo del tiempo mediante un sistema de control de versiones.  El uso de la automatización para probar e implementar los cambios crea estandarización y previsibilidad, lo que aumenta las posibilidades de que la implementación se complete correctamente y reduce las tareas manuales repetitivas.  Proporcionar un mecanismo de autoservicio para que los equipos de carga de trabajo implementen los servicios y configuraciones aprobados reduce el riesgo de errores de configuración y usos indebidos. Esto también les ayuda a incorporar controles en las primeras etapas del proceso de desarrollo. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** medio 

## Guía para la implementación
<a name="implementation-guidance"></a>

 Si sigue las prácticas descritas en [SEC01-BP01 Separación de cargas de trabajo con cuentas](https://docs.aws.amazon.com/wellarchitected/latest/framework/sec_securely_operate_multi_accounts.html), terminará teniendo varias Cuentas de AWS para diferentes entornos que administre mediante AWS Organizations.  Si bien es posible que cada uno de estos entornos y cargas de trabajo necesite controles de seguridad diferentes, puede estandarizar algunos controles de seguridad en toda la organización.  Entre algunos ejemplos de esto se incluyen la integración de proveedores de identidad centralizados, la definición de redes y firewalls y la configuración de ubicaciones estándar para almacenar y analizar los registros.  Del mismo modo en que puede utilizar la *infraestructura como código* (IaC) para aplicar el mismo rigor en el desarrollo del código de aplicación al aprovisionamiento de infraestructuras, también puede utilizar la IaC para definir e implementar los controles de seguridad estándar. 

 Siempre que sea posible, defina los controles de seguridad de forma declarativa, como en [AWS CloudFormation](https://aws.amazon.com/cloudformation/), y almacénelos en un sistema de control de código fuente.  Utilice las prácticas de DevOps para automatizar la implementación de los controles para obtener versiones más predecibles, pruebas automatizadas con herramientas como [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) y detectar desviaciones entre los controles implementados y la configuración deseada.  Puede utilizar servicios como [AWS CodePipeline](https://aws.amazon.com/codepipeline/), [AWS CodeBuild](https://aws.amazon.com/codebuild/) y [AWS CodeDeploy](https://aws.amazon.com/codedeploy/), para crear una canalización de CI/CD. Tenga en cuenta las instrucciones de [Organizing Your AWS Environment Using Multiple Accounts](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) para configurar estos servicios en sus propias cuentas que sean independientes de otras canalizaciones de implementación. 

 También puede definir plantillas para estandarizar la definición y la implementación de Cuentas de AWS, servicios y configuraciones.  Esta técnica permite que un equipo de seguridad central administre estas definiciones y se las proporcione a los equipos de la carga de trabajo mediante un enfoque de autoservicio.  Una forma de lograrlo es mediante [Service Catalog](https://aws.amazon.com/servicecatalog/), donde puede publicar plantillas como *productos* que los equipos de la carga de trabajo pueden incorporar a las implementaciones de su propia canalización.  Si utiliza [AWS Control Tower](https://aws.amazon.com/controltower/), hay disponibles algunas plantillas y controles como punto de partida.  Control Tower también ofrece la función [Account Factory](https://docs.aws.amazon.com/controltower/latest/userguide/af-customization-page.html), lo que permite a los equipos de la carga de trabajo crear nuevas Cuentas de AWS con los estándares que defina.  Esta función ayuda a eliminar las dependencias de un equipo central para aprobar y crear nuevas cuentas cuando los equipos de la carga de trabajo las identifiquen como necesarias.  Es posible que necesite estas cuentas para aislar los diferentes componentes de la carga de trabajo en función de motivos como la función que cumplen, la confidencialidad de los datos que se procesan o su comportamiento. 

## Pasos para la implementación
<a name="implementation-steps"></a>

1.  Determine cómo va a almacenar y mantener las plantillas en un sistema de control de versiones. 

1.  Cree canalizaciones de CI/CD para probar e implementar las plantillas.  Defina pruebas para comprobar si hay errores de configuración y si las plantillas se ajustan a los estándares de su empresa. 

1.  Cree un catálogo de plantillas estandarizadas para que los equipos de la carga de trabajo implementen Cuentas de AWS y servicios de acuerdo con sus requisitos. 

1.  Implemente estrategias de copia de seguridad y recuperación seguras para sus configuraciones de control, scripts y datos relacionados. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [OPS05-BP01 Uso del control de versiones](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_version_control.html) 
+  [OPS05-BP04 Uso de sistemas de administración de compilación e implementación](https://docs.aws.amazon.com/wellarchitected/latest/framework/ops_dev_integ_build_mgmt_sys.html) 
+  [REL08-BP05 Implementación de cambios con automatización](https://docs.aws.amazon.com/wellarchitected/latest/framework/rel_tracking_change_management_automated_changemgmt.html) 
+  [SUS06-BP01 Adopción de métodos que permitan introducir mejoras en la sostenibilidad rápidamente](https://docs.aws.amazon.com/wellarchitected/latest/framework/sus_sus_dev_a2.html) 

 **Documentos relacionados:** 
+  [Organización de su entorno de AWS con varias cuentas](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/deployments-ou.html) 

 **Ejemplos relacionados:** 
+  [Automate account creation, and resource provisioning using Service Catalog, AWS Organizations, and AWS Lambda](https://aws.amazon.com/blogs/mt/automate-account-creation-and-resource-provisioning-using-aws-service-catalog-aws-organizations-and-aws-lambda/) 
+  [Strengthen the DevOps pipeline and protect data with AWS Secrets Manager, AWS KMS, and AWS Certificate Manager](https://aws.amazon.com/blogs/security/strengthen-the-devops-pipeline-and-protect-data-with-aws-secrets-manager-aws-kms-and-aws-certificate-manager/) 

 **Herramientas relacionadas:** 
+  [AWS CloudFormation Guard](https://docs.aws.amazon.com/cfn-guard/latest/ug/what-is-guard.html) 
+  [Landing Zone Accelerator on AWS](https://github.com/awslabs/landing-zone-accelerator-on-aws) 

# SEC01-BP07 Identificación de amenazas y priorización de mitigaciones con un modelo de amenazas
<a name="sec_securely_operate_threat_model"></a>

 Utilice el modelado de amenazas para identificar y mantener un registro actualizado de las amenazas potenciales y las mitigaciones asociadas para la carga de trabajo. Priorice sus amenazas y adapte sus mitigaciones de controles de seguridad para evitarlas, detectarlas y responder a ellas. Revisite y mantenga todo esto en el contexto de la carga de trabajo y de la evolución del panorama de seguridad. 

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** alto 

## Guía para la implementación
<a name="implementation-guidance"></a>

 **Qué es el modelado de amenazas?** 

 “El modelado de amenazas sirve para identificar, comunicar y comprender las amenazas y las mitigaciones en el contexto de la protección de algo de valor”. – [Threat Modeling de Open Web Application Security Project (OWASP](https://owasp.org/www-community/Threat_Modeling) 

 **Por qué debería crear un modelo de amenazas?** 

 Los sistemas son complejos y, con el tiempo, se hacen más complejos y potentes aún, por lo que aportan más valor empresarial y aumentan la satisfacción y el compromiso de los clientes. Esto significa que, en las decisiones de diseño de TI, se deben tener en cuenta un número cada vez mayor de casos de uso. Debido a esta complejidad y al número de combinaciones de casos de uso, los enfoques no estructurados suelen resultar ineficaces para encontrar y mitigar las amenazas. En su lugar, se necesita un enfoque sistemático para encontrar las amenazas potenciales para el sistema, pero también para concebir mitigaciones y priorizarlas para asegurarse de que los limitados recursos de la organización tengan el máximo impacto en la mejora de la postura de seguridad general del sistema. 

 El modelado de amenazas está diseñado para proporcionar este enfoque sistemático, con el objetivo de encontrar y abordar los problemas en las primeras fases del proceso de diseño, cuando las mitigaciones tienen un costo y un esfuerzo relativamente bajos en comparación con las fases posteriores del ciclo de vida. Este enfoque se alinea con el principio del sector relativo al [*desplazamiento a la izquierda* de la seguridad](https://owasp.org/www-project-devsecops-guideline/latest/00a-Overview). En última instancia, el modelado de amenazas se integra en el proceso de administración de riesgos de una organización y ayuda a tomar decisiones sobre qué controles aplicar mediante un enfoque basado en las amenazas. 

 **Cuándo se debe llevar a cabo el modelado de amenazas?** 

 Empiece a modelar las amenazas lo antes posible en el ciclo de vida de la carga de trabajo, ya que así tendrá más flexibilidad para actuar en relación con las amenazas que identifique. Al igual que ocurre con los errores de software, cuanto antes identifique las amenazas, más rentable le resultará abordarlas. Un modelo de amenazas es un documento vivo y debe evolucionar a medida que cambien las cargas de trabajo. Revisite los modelos de amenazas a lo largo del tiempo, especialmente cuando se produzca un cambio importante, un cambio en el panorama de las amenazas o cuando adopte una nueva característica o servicio. 

### Pasos para la implementación
<a name="implementation-steps"></a>

 **Cómo podemos llevar a cabo el modelado de amenazas?** 

 Hay muchas formas diferentes de llevar a cabo el modelado de amenazas. Al igual que ocurre con los lenguajes de programación, cada una tiene sus ventajas y sus inconvenientes, por lo que debe elegir la que mejor le convenga. Un enfoque consiste en empezar con [Shostack’s 4 Question Frame for Threat Modeling](https://github.com/adamshostack/4QuestionFrame), que plantea preguntas abiertas para estructurar el ejercicio de modelado de amenazas: 

1.  **En qué estamos trabajando?** 

    La finalidad de esta pregunta es ayudarle a comprender y acordar el sistema que está creando y los detalles de ese sistema que son pertinentes para la seguridad. Crear un modelo o diagrama es la forma más popular de responder a esta pregunta, ya que le ayuda a visualizar lo que está creando, por ejemplo, mediante un [diagrama de flujo de datos](https://en.wikipedia.org/wiki/Data-flow_diagram). Anotar las suposiciones y los detalles importantes sobre el sistema también le ayuda a definir el alcance del trabajo. De esta manera, todas las personas que contribuyen al modelo de amenazas pueden centrarse en lo mismo, y evita dar largos rodeos hacia temas que están fuera del alcance (lo que incluye versiones desactualizadas del sistema). Por ejemplo, si crea una aplicación web, probablemente no merezca la pena que modele la secuencia de arranque de confianza del sistema operativo para los clientes del navegador, ya que no tiene capacidad para influir en esto con su diseño. 

1.  **Qué puede salir mal?** 

    Aquí es donde se identifican las amenazas que afectan al sistema. Las amenazas son acciones o acontecimientos accidentales o intencionados que tienen repercusiones no deseadas y podrían afectar a la seguridad del sistema. Si no tiene una idea clara de lo que podría salir mal, no podrá hacer nada al respecto. 

    No existe una lista formal de lo que puede salir mal. La creación de esta lista requiere una lluvia de ideas y la colaboración de todas las personas del equipo y las [personas pertinentes involucradas](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/#tips) en el ejercicio de modelado de amenazas. Para facilitar la reflexión, puede utilizar un modelo para identificar amenazas, como [STRIDE](https://en.wikipedia.org/wiki/STRIDE_(security)), que sugiere distintas categorías para evaluarlas: suplantación de identidad, manipulación, repudio, divulgación de información, denegación de servicio y elevación de privilegios. Además, para contribuir a la lluvia de ideas, tal vez quiera consultar las listas existentes y buscar inspiración; por ejemplo, en [OWASP Top 10](https://owasp.org/www-project-top-ten/), [HiTrust Threat Catalog](https://hitrustalliance.net/hitrust-threat-catalogue/) y el catálogo de amenazas propio de su organización. 

1.  **Qué vamos a hacer al respecto?** 

    Igual que en la pregunta anterior, no existe una lista formal de todas las mitigaciones posibles. En este paso, tenemos las amenazas, los actores y las áreas de mejora identificados en el paso anterior. 

    Los asuntos relacionados con la seguridad y la conformidad son una [responsabilidad compartida entre el cliente y AWS](https://aws.amazon.com/compliance/shared-responsibility-model/). Es importante entender que, cuando se pregunta “¿Qué vamos a hacer al respecto?”, también se está preguntando “¿Quién es responsable de hacer algo al respecto?”. Comprender el reparto de responsabilidades entre el cliente y AWS le ayuda a delimitar el modelado de amenazas a las mitigaciones que están bajo su control, que suelen ser una combinación de opciones de configuración de los servicios de AWS y las mitigaciones específicas de su propio sistema. 

    En cuanto a la parte de AWS de la responsabilidad compartida, descubrirá que los [servicios de AWS forman parte del ámbito de aplicación de muchos programas de cumplimiento](https://aws.amazon.com/compliance/services-in-scope/). Estos programas le ayudan a conocer los sólidos controles que hay en AWS para mantener la seguridad y la conformidad de la nube. Los informes de auditoría de estos programas están disponibles para que los clientes de AWS los descarguen de [AWS Artifact](https://aws.amazon.com/artifact/). 

    Independientemente de los servicios de AWS que utilice, el cliente siempre tiene una parte de la responsabilidad, y las mitigaciones que se corresponden con estas responsabilidades deben incluirse en el modelo de amenazas. En cuanto a las mitigaciones de los controles de seguridad de los propios servicios de AWS, debe considerar la posibilidad de implementar controles de seguridad en todos los dominios, como los de administración de identidades y accesos (autenticación y autorización), protección de datos (en reposo y en tránsito), seguridad de la infraestructura, registro y supervisión. La documentación de cada servicio de AWS incluye un [capítulo dedicado a la seguridad](https://docs.aws.amazon.com/security/) que proporciona orientación sobre los controles de seguridad que se deben considerar como medidas de mitigación. Y lo que es más importante, considere el código que está escribiendo y sus dependencias, y piense en los controles que podría establecer para hacer frente a esas amenazas. Estos controles pueden ser, por ejemplo, la [validación de entradas](https://cheatsheetseries.owasp.org/cheatsheets/Input_Validation_Cheat_Sheet.html), la [gestión de sesiones](https://owasp.org/www-project-mobile-top-10/2014-risks/m9-improper-session-handling) y la [gestión de límites](https://owasp.org/www-community/vulnerabilities/Buffer_Overflow). Muchas veces, la mayoría de las vulnerabilidades se introducen en el código personalizado, así que céntrese en esta área. 

1.  **Hicimos un buen trabajo?** 

    El objetivo es que su equipo y su organización mejoren con el tiempo tanto la calidad de los modelos de amenazas como la velocidad a la que los llevan a cabo. Estas mejoras se deben a una combinación de práctica, aprendizaje, enseñanza y revisión. Para profundizar y ponerse manos a la obra, le recomendamos que usted y su equipo completen el [curso de formación](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop) o el [taller sobre modelado de amenazas para constructores](https://catalog.workshops.aws/threatmodel/en-US). Además, si busca orientación sobre cómo integrar el modelado de amenazas en el ciclo de vida del desarrollo de aplicaciones de su organización, consulte la publicación [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) en el blog de seguridad de AWS. 

 **Threat Composer** 

 Como ayuda y orientación a la hora de modelar las amenazas, considere la posibilidad de utilizar la herramienta [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer), cuyo objetivo es reducir el tiempo que se tarda en generar valor a la hora de crear modelos de amenazas. La herramienta le ayuda a hacer lo siguiente: 
+  Escribir instrucciones de amenazas útiles alineadas con la [gramática de amenazas](https://catalog.workshops.aws/threatmodel/en-US/what-can-go-wrong/threat-grammar) que funcionen en un flujo de trabajo natural y no lineal 
+  Generar un modelo de amenazas legible por humanos 
+  Generar un modelo de amenazas legible por máquina que le permita tratar los modelos de amenazas como código 
+  Ayudarle a identificar rápidamente las áreas de mejora de la calidad y la cobertura mediante el panel de información 

 Para obtener más información, visite Threat Composer y cambie al **espacio de trabajo de ejemplo** definido por el sistema. 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [SEC01-BP03 Identificación y validación de los objetivos de control](sec_securely_operate_control_objectives.md) 
+  [SEC01-BP04 Actualización constante de las amenazas y recomendaciones de seguridad](sec_securely_operate_updated_threats.md) 
+  [SEC01-BP05 Reducción del alcance de la administración de la seguridad](sec_securely_operate_reduce_management_scope.md) 
+  [SEC01-BP08 Evaluación e implementación de nuevos servicios y características de seguridad de forma periódica](sec_securely_operate_implement_services_features.md) 

 **Documentos relacionados:** 
+  [How to approach threat modeling](https://aws.amazon.com/blogs/security/how-to-approach-threat-modeling/) (blog de seguridad de AWS) 
+ [NIST: Guide to Data-Centric System Threat modeling](https://csrc.nist.gov/publications/detail/sp/800-154/draft)

 **Videos relacionados:** 
+ [AWS Summit ANZ 2021 - How to approach threat modelling](https://www.youtube.com/watch?v=GuhIefIGeuA)
+ [AWS Summit ANZ 2022 - Scaling security – Optimise for fast and secure delivery ](https://www.youtube.com/watch?v=DjNPihdWHeA)

 **Formación relacionada:** 
+ [ Threat modeling the right way for builders – AWS Skill Builder virtual self-paced training ](https://explore.skillbuilder.aws/learn/course/external/view/elearning/13274/threat-modeling-the-right-way-for-builders-workshop)
+ [ Threat modeling the right way for builders – AWS Workshop ](https://catalog.workshops.aws/threatmodel)

 **Herramientas relacionadas:** 
+  [Threat Composer](https://github.com/awslabs/threat-composer#threat-composer) 

# SEC01-BP08 Evaluación e implementación de nuevos servicios y características de seguridad de forma periódica
<a name="sec_securely_operate_implement_services_features"></a>

 Evalúe e implemente servicios y características de seguridad de AWS y socios de AWS que le ayuden a desarrollar la postura de seguridad de su carga de trabajo.  

 **Resultado deseado:** cuenta con una práctica estándar que le informa sobre las nuevas características y servicios lanzados por AWS y socios de AWS. Evalúe en qué medida estas nuevas capacidades influyen en el diseño de los controles actuales y nuevos para sus entornos y cargas de trabajo. 

 **Patrones comunes de uso no recomendados:** 
+  No se suscribe a blogs de AWS y fuentes RSS para enterarse rápidamente de las nuevas características y servicios pertinentes. 
+  Confía en las noticias y actualizaciones sobre los servicios y características de seguridad de fuentes de segunda mano 
+  No fomenta entre los usuarios de AWS de su organización a mantenerse al día de las últimas actualizaciones 

 **Beneficios de establecer esta práctica recomendada:** si está al tanto de los nuevos servicios y características de seguridad, puede tomar decisiones informadas sobre la implementación de controles en cargas de trabajo y entornos de nube. Estos orígenes ayudan a concienciar sobre la evolución del panorama de seguridad y sobre cómo se pueden utilizar los servicios de AWS para protegerse contra las amenazas nuevas y emergentes.   

 **Nivel de riesgo expuesto si no se establece esta práctica recomendada:** bajo 

## Guía para la implementación
<a name="implementation-guidance"></a>

 AWS informa a los clientes sobre los nuevos servicios y características de seguridad a través de varios canales: 
+  [AWS Novedades de](https://aws.amazon.com/new) 
+  [AWS Blog de noticias de](https://aws.amazon.com/blogs/aws/) 
+  [AWS Blog de seguridad de](https://aws.amazon.com/blogs/security/) 
+  [AWS Boletines de seguridad de](https://aws.amazon.com/security/security-bulletins/) 
+  [AWS Descripción general de la documentación de](https://aws.amazon.com/documentation/) 

 Puede suscribirse a un tema de [actualizaciones diarias de características de AWS](https://aws.amazon.com/blogs/aws/subscribe-to-aws-daily-feature-updates-via-amazon-sns/) mediante Amazon Simple Notification Service (Amazon SNS) para obtener un resumen diario completo de las actualizaciones. Algunos servicios de seguridad, como [Amazon GuardDuty](https://docs.aws.amazon.com/guardduty/latest/ug/guardduty_sns.html) y [AWS Security Hub CSPM](https://docs.aws.amazon.com/securityhub/latest/userguide/securityhub-announcements.html), ofrecen sus propios temas de SNS para mantenerse al día sobre los nuevos estándares, resultados y otras actualizaciones de esos servicios en particular. 

 Los nuevos servicios y características también se anuncian y describen en detalle durante las [conferencias, eventos y seminarios web](https://aws.amazon.com/events/) que se llevan a cabo en todo el mundo cada año. Cabe destacar la conferencia anual de seguridad [AWS re:Inforce](https://reinforce.awsevents.com/) y la conferencia de carácter más general, [AWS re:Invent](https://reinvent.awsevents.com/). Los canales de noticias de AWS mencionados anteriormente comparten estos anuncios de conferencias sobre seguridad y otros servicios, y pueden verse las sesiones temáticas informativas en línea en el [canal de eventos de AWS](https://www.youtube.com/c/AWSEventsChannel) en YouTube. 

 También puede preguntar a su [equipo de Cuenta de AWS](https://aws.amazon.com/startups/learn/meet-your-aws-account-team) sobre las últimas actualizaciones y recomendaciones de los servicios de seguridad. Puede contactar con su equipo a través del [formulario de soporte de ventas](https://aws.amazon.com/contact-us/sales-support/) si no dispone de su información de contacto directo. Del mismo modo, si se suscribió a [AWS Enterprise Support](https://aws.amazon.com/premiumsupport/plans/enterprise/), recibirá actualizaciones semanales de su administrador técnico de cuentas (TAM) y podrá programar una reunión de revisión periódica con dicho administrador. 

### Pasos para la implementación
<a name="implementation-steps"></a>

1.  Suscríbase a los distintos blogs y boletines con su lector de RSS favorito o al tema de SNS sobre actualizaciones de características diarias. 

1.  Evalúe a qué eventos de AWS asistir para conocer de primera mano las nuevas características y servicios. 

1.  Programe reuniones con su equipo de Cuenta de AWS para resolver cualquier duda sobre la actualización de los servicios y características de seguridad. 

1.  Plantéese la posibilidad de suscribirse a Enterprise Support para acceder a consultas periódicas con un gerente técnico de cuentas (TAM). 

## Recursos
<a name="resources"></a>

 **Prácticas recomendadas relacionadas:** 
+  [PERF01-BP01 Descubrimiento y comprensión de los servicios y las características disponibles en la nube](https://docs.aws.amazon.com/wellarchitected/latest/framework/perf_architecture_understand_cloud_services_and_features.html) 
+  [COST01-BP07 Seguimiento de la información sobre las nuevas versiones de los servicios](https://docs.aws.amazon.com/wellarchitected/latest/framework/cost_cloud_financial_management_scheduled.html)