En este documento del framework de arquitectura de Google Cloud, se describen las prácticas recomendadas para administrar los riesgos en una implementación en la nube. Realizar un análisis detallado de los riesgos que se aplican a tu organización te permite determinar los controles de seguridad que necesitas. Debes completar un análisis de riesgos antes de implementar las cargas de trabajo en Google Cloud y, luego, de manera periódica cuando las necesidades de tu empresa, los requisitos normativos y las amenazas relevantes para tu organización cambien.
Identifica los riesgos para tu organización
Antes de crear e implementar recursos en Google Cloud, completa una evaluación de riesgo para determinar qué funciones de seguridad necesitas a fin de cumplir con los requisitos de seguridad internos y los requisitos regulatorios externos. La evaluación de riesgos te proporciona un catálogo de riesgos que son relevantes para ti y te indica la capacidad de tu organización de detectar y contrarrestar las amenazas de seguridad.
Los riesgos en un entorno de nube difieren de los riesgos en un entorno local debido al acuerdo de responsabilidad compartida que estableces con tu proveedor de servicios en la nube. Por ejemplo, en un entorno local, debes mitigar las vulnerabilidades de la pila de hardware. En cambio, en un entorno de nube, el proveedor de servicios en la nube genera estos riesgos.
Además, los riesgos varían según la forma en que planeas usar Google Cloud. ¿Transfieres algunas de tus cargas de trabajo a Google Cloud o todas? ¿Usas Google Cloud solo para fines de recuperación ante desastres? ¿Estás configurando un entorno de nube híbrida?
Te recomendamos que uses un marco de trabajo de evaluación de riesgos estándar de la industria que se aplique a los entornos de nube y a tus requisitos normativos. Por ejemplo, Cloud Security Alliance (CSA) proporciona Cloud Controls Matrix (CCM). Además, existen modelos de amenazas, como el modelo de amenaza de aplicaciones de OWASP, que te proporcionan una lista de posibles brechas y que sugieren acciones para solucionar aquellas que se detecten. Puedes consultar nuestro directorio de socios para obtener una lista de expertos a fin de realizar evaluaciones de riesgos para Google Cloud.
Para catalogar los riesgos, considera usar el Administrador de riesgos, que forma parte del Programa de protección contra riesgos. (Actualmente, este programa se encuentra en vista previa). El administrador de riesgos analiza tus cargas de trabajo para ayudarte a comprender los riesgos de tu empresa. Sus informes detallados te proporcionan un modelo de referencia de seguridad. Además, puedes usar los informes de administrador de riesgos para comparar tus riesgos con los que se describen en la comparativa de Center for Internet Security (CIS).
Después de catalogar los riesgos, debes determinar cómo abordarlos, es decir, si deseas aceptarlos, evitarlos, transferirlos o mitigarlos. En la siguiente sección, se describen los controles de mitigación.
Reduce los riesgos
Puedes mitigar riesgos mediante controles técnicos, protecciones contractuales y verificaciones o certificaciones de terceros. En la siguiente tabla, se indica cómo puedes usar estas mitigaciones cuando adoptas nuevos servicios de nube pública.
| Mitigación | Descripción |
|---|---|
| Controles técnicos | Los controles técnicos hacen referencia a las funciones y tecnologías que usas para proteger tu entorno. Estos incluyen controles de seguridad integrados en la nube, como firewalls y registros. Los controles técnicos también pueden incluir el uso de herramientas de terceros para reforzar o respaldar tu estrategia de seguridad. Existen dos categorías de controles técnicos:
|
| Protecciones contractuales | Las protecciones contractuales hacen referencia a los compromisos legales realizados por nosotros en relación con los servicios de Google Cloud. Google se compromete a mantener y expandir la cartera de cumplimiento. En el documento Anexo de Procesamiento de Datos de Cloud (CDPA), se define nuestro compromiso de mantener las certificaciones ISO 27001, 27017 y 27018, y actualizar nuestros informes SOC 2 y SOC 3 cada 12 meses. En el documento de DPST, también se describen los controles de acceso que se aplican para limitar el acceso de los ingenieros de asistencia de Google a los entornos de los clientes y se describe nuestro riguroso proceso de registro y aprobación. Te recomendamos que revises los controles contractuales de Google Cloud con tus expertos legales y normativos y verifiques que cumplan con tus requisitos. Si necesitas más información, comunícate con tu representante técnico de cuenta. |
| Verificaciones o certificaciones de terceros | Las verificaciones o certificaciones de terceros hacen referencia a que un proveedor externo audite al proveedor de servicios en la nube para asegurarse de que cumpla con los requisitos de cumplimiento. Por ejemplo, un tercero auditó a Google para verificar el cumplimiento de la norma ISO 27017. Puedes ver las certificaciones y las cartas de certificación actuales de Google Cloud en el Centro de recursos de cumplimiento. |
¿Qué sigue?
Obtén más información sobre la administración de riesgos con los siguientes recursos:
- Administra tus recursos (siguiente documento de esta serie).
Administración de riesgos de la transformación digital en la nube (PDF)