Programa de evaluadores registrados de seguridad de la información (IRAP)

Información general

IRAP

El Programa de evaluadores registrados de seguridad de la información (IRAP, Information Security Registered Assessors Program) permite a los clientes del gobierno australiano asegurarse de disponer de los controles adecuados y determinar el modelo de responsabilidad adecuado para cumplir con los requisitos del Manual de seguridad de la información (ISM, Australian Signals Directorate) del gobierno australiano de la Dirección de señales australiana (ASD, Australian Signals Directorate).

Proteger los datos del gobierno australiano frente al acceso, abuso y divulgación es fundamental a la hora de aprovisionar y utilizar servicios en la nube. AWS es consciente de que los clientes confían en la entrega segura de la infraestructura de AWS y la importancia de disponer de características que permitan al cliente crear entornos seguros. AWS permite a los clientes cumplir estos objetivos al dar prioridad a la seguridad en la provisión de sus servicios mediante la creación de un entorno de control sólido y la existencia de una gran variedad de servicios y características de seguridad disponibles. Estos servicios proporcionan controles exhaustivos en el entorno de TI del cliente, simplifican la administración de los servicios de seguridad y aportan mejores resultados de seguridad para el gobierno australiano.

AWS cumple con IRAP. Un evaluador del IRAP independiente examinó los controles de AWS que incluyen a las personas, los procesos y la tecnología de AWS para comprobar que cumplen con las necesidades del ISM. Esta evaluación y la carta de conformidad constituyen las bases mediante las que una autoridad de certificación adquiere la confianza necesaria para certificar la infraestructura de AWS y proporcionar una recomendación a la autoridad de acreditación para el uso adecuado de la plataforma.

La acreditación de la agencia es el último paso de la evaluación del IRAP y certificación formal de la ASD, que hace las veces de autoridad de certificación del gobierno australiano. Esta certificación garantiza que AWS dispone de los controles aplicables que requiere el ISM y precede directamente a la acreditación de AWS para las cargas de trabajo del gobierno australiano.

  • ¿Qué documentos IRAP tengo disponibles?

    A fin de respaldar a los clientes del gobierno australiano, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión sobre los aspectos de seguridad y conformidad al utilizar AWS como proveedor certificado de servicios en la nube. AWS proporciona los siguientes documentos técnicos que están disponibles para todos los usuarios:

    Los clientes del gobierno australiano pueden usar nuestra certificación ASD y nuestra carta de conformidad de los evaluadores del IRAP independientes para acelerar sus objetivos de certificación y acreditación. Los siguientes documentos están disponibles para el público:

    Los documentos IRAP adicionales están disponibles para clientes mediante el uso de AWS Artifact, un portal autoservicio de acceso bajo demanda a los informes de conformidad de AWS. Puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a Artifact.

    • Resumen de implementación de controles
    • Informe del IRAP fase 2

    También se encuentran disponibles otros informes que evalúan y ponen a prueba los controles implementados en la infraestructura de AWS, mediante NDA (según sea necesario):

    • Informe de Controles en organizaciones de servicio 1 (SOC1) tipo II
    • Informe de Controles en organizaciones de servicio 2 (SOC2) tipo II
    • Certificado ISO 27001 y declaración de aplicabilidad
    • Declaración de conformidad de PCI y resumen de responsabilidades de PCI

    Para obtener más información acerca de los informes adicionales, consulte las preguntas frecuentes sobre conformidad de AWS.

  • ¿Por qué se necesito un evaluador con acreditación del IRAP?

    Los evaluadores con acreditación del IRAP son personas acreditadas por la Dirección de señales australiana (ASD, Australian Signals Directorate) de acuerdo con el Programa de evaluadores registrados de seguridad de la información (IRAP), ya que disponen de la cualificación necesaria para llevar a cabo evaluaciones en torno al marco de control de la ASD, el manual de seguridad de la información (ISM, Information Security Manual).

    Los evaluadores con acreditación del IRAP son las únicas personas acreditadas como calificadas para realizar una evaluación de un sistema de tecnología de la información y comunicación (ICT, Information and communication technology) con respecto al Manual de seguridad de la información (ISM) del gobierno australiano. Y el evaluador con acreditación del IRAP describe las áreas de conformidad y no conformidad, describe los riesgos residuales y las acciones correctivas y proporciona recomendaciones a la Autoridad de Certificación sobre la certificación.

  • ¿Qué es el ISM?

    El ISM es el Manual de seguridad de la información (ISM) del gobierno australiano, publicado por la Dirección de señales australiana (ASD), una organización del Ministerio de Defensa cuya misión consiste en proteger los sistemas y la información del gobierno australiano.

    El ISM es el estándar que rige la seguridad de los sistemas de tecnologías de la información y comunicación (ICT) del gobierno australiano. Complementa el marco de política de seguridad de protección (PSPF, Protective Security Policy Framework) redactado por el departamento del fiscal general del gobierno australiano. Juntos, el ISM y el PSPF brindan pautas para implementar controles adecuados para operar todas las clasificaciones de cargas de trabajo en un entorno de ICT.

    Es la conformidad con el ISM lo que se utiliza para evaluar la inclusión de los proveedores de servicios en la nube en la lista de servicios en la nube certificados de la ASD que incluye una lista de los servicios en la nube para los que la ASD ha ejercido como autoridad de certificación. La certificación es necesaria para las agencias con cargas de trabajo acreditadas para su ejecución en servicios en la nube aprovisionados a través del panel de servicios en la nube de nivel gubernamental que pertenece al Ministerio de Finanzas, como método principal de aprovisionamiento de servicios en la nube para el gobierno australiano.

    En octubre de 2014, el Ministerio de Finanzas y el Ministerio de Comunicaciones australianos publicaron conjuntamente la Política de informática en la nube del gobierno australiano 3.0, que estipulaba un enfoque que daba “prioridad a la nube” en la adopción de servicios en la nube de las agencias del gobierno federal.

    “De acuerdo con la política de la nube del gobierno australiano, las agencias deben adoptar la nube cuando ésta es apta para su propósito, proporciona protección adecuada de los datos y ofrece una buena relación calidad-precio.”

    Para obtener más información sobre la función de ASD en la protección de la seguridad de la información en Australia, consulte El rol de la seguridad de la información (InfoSec) en el sitio web de ASD.

    irap_graphics
  • ¿Cumple AWS los requisitos del ISM?

    Sí, AWS se ha sometido a una auditoría de un evaluador independiente del Programa de evaluadores registrados de seguridad de la información (IRAP). Durante la evaluación, se examinaron los controles de seguridad de las personas, los procesos y la tecnología de Amazon a fin de garantizar que cumplen las necesidades del ISM 2014 de la ASD. Para obtener más información, consulte la Carta de conformidad del ISM del IRAP en el sitio web de AWS.

  • ¿Dónde puedo encontrar más información sobre el programa IRAP?

    Para obtener más información, consulte la página del Programa IRAP en el sitio web de ASD.

  • ¿Qué servicios y regiones de AWS están cubiertos por la evaluación del IRAP?

    La evaluación del IRAP y la certificación de la ASD cubren la región de AWS Sídney. Sin embargo, AWS trata todas las regiones por igual en lo concerniente a controles, políticas y procesos utilizados para operar en ellas. Las agencias deberán evaluar sus cargas de trabajo y necesidades empresariales para determinar qué región de AWS utilizar.

    En los servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la evaluación del IRAP.

  • ¿Puedo utilizar otros servicios de AWS que no están incluidos en la evaluación del IRAP?

    Sí. Si un servicio que desea utilizar no figura en la lista de la página web de los Servicios de AWS en el ámbito del programa de conformidad, puede evaluar sus cargas de trabajo para determinar su idoneidad con otros servicios de AWS.

  • ¿La conformidad con el ISM incrementará el coste de los servicios de AWS?

    No, no hay un aumento en los costos del servicio como resultado de la conformidad de AWS con el ISM.

  • ¿AWS está en la lista de servicios certificados en la nube de ASD?

    Sí, la Dirección de señales australiana (ASD) ha completado una evaluación del IRAP de AWS y ha otorgado la certificación ASD para cargas de trabajo DLM no clasificadas. Para obtener más información, consulte la Lista de servicios certificados en la nube (CCSL) de ASD.

    Las agencias del gobierno australiano pueden reducir significativamente sus costos y riesgos confiando en la amplia experiencia de la ASD como la Autoridad de Certificación para determinar que el riesgo residual de los servicios se entiende bien y se evalúa de manera apropiada. De este modo, se mejora la seguridad para los departamentos del gobierno australiano y se reducen los costes relacionados con dichas evaluaciones.

  • ¿Se encuentra AWS en el panel de servicios en la nube para el gobierno del Ministerio de Finanzas?

    Sí, AWS ha sido miembro del panel desde el 31 de marzo de 2015. Las agencias obtienen una buena relación calidad-precio y un proceso de adquisición simplificado recurriendo a un proveedor de servicios en la nube previamente evaluado y un marco contractual común. La sencillez del proceso de aprovisionamiento permite a las agencias avanzar a la velocidad que exige su misión y proporcionar servicios a los ciudadanos australianos con eficacia.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »