Ticker

6/recent/ticker-posts

Matriz de Trazabilidad de Arquitectura Segura Cloud-Nube (PCI-DSS + ISO 27001) según SABSA y TOGAF


Para un entorno Cloud (Nube), el paradigma de seguridad cambia por completo bajo el Modelo de Responsabilidad Compartida. La infraestructura física ya no está bajo tu control, por lo que los esfuerzos de SABSA y TOGAF se trasladan hacia la gobernanza de la identidad, la automatización de la seguridad (DevSecOps), la encriptación y la configuración de la infraestructura como código (IaC).

la Matriz de Trazabilidad en la Nube adaptada para la compañía de seguros tomando como referencia a todos los ejemplos de matriz, están alineada con PCI-DSS (v4.0) e ISO/IEC 27001:2022 (aplicado - 2022).

Matriz de Trazabilidad Cloud (PCI-DSS + ISO 27001)

Objetivo del Negocio / Cumplimiento [3, 4, 5, 6, 7] Capa SABSAFase TOGAFAtributo de NegocioSolución Técnica e Infraestructura CloudControl de Referencia
1. Aislar los entornos de producción y pagos en la infraestructura de la nube.ContextualFase B: Arquitectura de NegocioSegmentación Lógica y AislamientoUso de Cuentas/Suscripciones separadas. Microsegmentación mediante VPCs/VNETs, Grupos de Seguridad de Red (NSG) y firewalls virtuales en la nube.PCI-DSS: Req. 1.2
ISO 27001: A.8.22 (Seguridad web/red)
2. Proteger las llaves criptográficas que cifran los datos de pólizas y tarjetas en la nube.ConceptualFase C: Arquitectura de DatosSoberanía de Datos y ConfidencialidadUso de Servicios de Gestión de Llaves en la nube (ej. AWS KMS, Azure Key Vault) con llaves gestionadas por el cliente (CMK) e integradas con módulos HSM respaldados por el proveedor.PCI-DSS: Req. 3.5 y 3.6
ISO 27001: A.8.24 (Uso de criptografía)
3. Controlar accesos efímeros y centralizados para los desarrolladores y operadores de la nube.LógicaFase C: Arquitectura de Apps / DatosIdentidad Federada y Mínimo PrivilegioIntegración del Proveedor de Identidad corporativo (IdP) con soluciones nativas de control de acceso basados en roles (RBAC) y accesos condicionales con MFA.PCI-DSS: Req. 7.2 y 8.3
ISO 27001: A.5.15 a A.5.18 (Gestión de acceso)
4. Monitorear configuraciones erróneas y detectar amenazas en tiempo real en los recursos cloud.FísicaFase D: Arquitectura TecnológicaVisibilidad Total y AuditableDespliegue de herramientas CSPM (Cloud Security Posture Management) y centralización de logs nativos del proveedor (ej. CloudTrail, Activity Logs) hacia un SIEM cloud.PCI-DSS: Req. 10.2 y 11.4
ISO 27001: A.8.15 (Registros) y A.8.16 (Monitoreo)
5. Garantizar que la infraestructura se despliegue de forma segura y automatizada de extremo a extremo.ComponentesFase E/F: Soluciones / MigraciónInmutabilidad y RepetibilidadDespliegue de Infraestructura como Código (IaC - ej. Terraform) analizada previamente en pipelines de CI/CD (DevSecOps) para bloquear configuraciones inseguras.PCI-DSS: Req. 6.3 y 6.4
ISO 27001: A.8.25 a A.8.28 (Desarrollo seguro)

Cambios estratégicos de la adopción Cloud:

  • Foco en Datos e Identidad: En la nube, tu "nuevo perímetro" es la identidad. El atributo SABSA de Identidad Federada toma protagonismo para evitar accesos no autorizados a través de las APIs de administración del proveedor de nube.
  • Seguridad como Código (Security as Code): El cumplimiento de normas como ISO 27001 se automatiza. En lugar de revisar un servidor local uno por uno, el CSPM (Fila 4) escanea miles de recursos en minutos de forma continua.

Publicar un comentario

0 Comentarios