Para un entorno Cloud (Nube), el paradigma de seguridad cambia por completo bajo el Modelo de Responsabilidad Compartida. La infraestructura física ya no está bajo tu control, por lo que los esfuerzos de SABSA y TOGAF se trasladan hacia la gobernanza de la identidad, la automatización de la seguridad (DevSecOps), la encriptación y la configuración de la infraestructura como código (IaC).
la Matriz de Trazabilidad en la Nube adaptada para la compañía de seguros tomando como referencia a todos los ejemplos de matriz, están alineada con PCI-DSS (v4.0) e ISO/IEC 27001:2022 (aplicado - 2022).
Matriz de Trazabilidad Cloud (PCI-DSS + ISO 27001)
| Objetivo del Negocio / Cumplimiento [3, 4, 5, 6, 7] | Capa SABSA | Fase TOGAF | Atributo de Negocio | Solución Técnica e Infraestructura Cloud | Control de Referencia |
|---|---|---|---|---|---|
| 1. Aislar los entornos de producción y pagos en la infraestructura de la nube. | Contextual | Fase B: Arquitectura de Negocio | Segmentación Lógica y Aislamiento | Uso de Cuentas/Suscripciones separadas. Microsegmentación mediante VPCs/VNETs, Grupos de Seguridad de Red (NSG) y firewalls virtuales en la nube. | PCI-DSS: Req. 1.2 ISO 27001: A.8.22 (Seguridad web/red) |
| 2. Proteger las llaves criptográficas que cifran los datos de pólizas y tarjetas en la nube. | Conceptual | Fase C: Arquitectura de Datos | Soberanía de Datos y Confidencialidad | Uso de Servicios de Gestión de Llaves en la nube (ej. AWS KMS, Azure Key Vault) con llaves gestionadas por el cliente (CMK) e integradas con módulos HSM respaldados por el proveedor. | PCI-DSS: Req. 3.5 y 3.6 ISO 27001: A.8.24 (Uso de criptografía) |
| 3. Controlar accesos efímeros y centralizados para los desarrolladores y operadores de la nube. | Lógica | Fase C: Arquitectura de Apps / Datos | Identidad Federada y Mínimo Privilegio | Integración del Proveedor de Identidad corporativo (IdP) con soluciones nativas de control de acceso basados en roles (RBAC) y accesos condicionales con MFA. | PCI-DSS: Req. 7.2 y 8.3 ISO 27001: A.5.15 a A.5.18 (Gestión de acceso) |
| 4. Monitorear configuraciones erróneas y detectar amenazas en tiempo real en los recursos cloud. | Física | Fase D: Arquitectura Tecnológica | Visibilidad Total y Auditable | Despliegue de herramientas CSPM (Cloud Security Posture Management) y centralización de logs nativos del proveedor (ej. CloudTrail, Activity Logs) hacia un SIEM cloud. | PCI-DSS: Req. 10.2 y 11.4 ISO 27001: A.8.15 (Registros) y A.8.16 (Monitoreo) |
| 5. Garantizar que la infraestructura se despliegue de forma segura y automatizada de extremo a extremo. | Componentes | Fase E/F: Soluciones / Migración | Inmutabilidad y Repetibilidad | Despliegue de Infraestructura como Código (IaC - ej. Terraform) analizada previamente en pipelines de CI/CD (DevSecOps) para bloquear configuraciones inseguras. | PCI-DSS: Req. 6.3 y 6.4 ISO 27001: A.8.25 a A.8.28 (Desarrollo seguro) |
Cambios estratégicos de la adopción Cloud:
- Foco en Datos e Identidad: En la nube, tu "nuevo perímetro" es la identidad. El atributo SABSA de Identidad Federada toma protagonismo para evitar accesos no autorizados a través de las APIs de administración del proveedor de nube.
- Seguridad como Código (Security as Code): El cumplimiento de normas como ISO 27001 se automatiza. En lugar de revisar un servidor local uno por uno, el CSPM (Fila 4) escanea miles de recursos en minutos de forma continua.
0 Comentarios