Programa de evaluadores registrados de seguridad de la información (IRAP)

Información general

IRAP

El Programa de evaluadores registrados de seguridad de la información (IRAP, Information Security Registered Assessors Program) permite a los clientes del Gobierno australiano asegurarse de disponer de los controles adecuados y determinar el modelo de responsabilidad pertinente para cumplir con los requisitos del Manual de seguridad de la información (ISM, Information Security Manual) del gobierno australiano elaborado por el Centro de Ciberseguridad Australiano (ACSC, Australian Cyber Security Centre).

Proteger los datos del Gobierno australiano frente al acceso, uso no autorizado y divulgación es fundamental a la hora de aprovisionar y utilizar servicios en la nube. AWS es consciente de que los clientes confían en la entrega segura de la infraestructura de AWS y la importancia de disponer de características que les permitan crear entornos seguros. AWS permite a los clientes cumplir estos objetivos al dar prioridad a la seguridad en la provisión de sus servicios mediante la creación de un entorno de control sólido y la existencia de una gran variedad de servicios y características de seguridad disponibles. Estos servicios proporcionan controles exhaustivos en el entorno de TI del cliente, simplifican la administración de los servicios de seguridad y aportan mejores resultados de seguridad para el Gobierno australiano.

Los servicios en la nube de AWS han sido evaluados y cumplen con los requisitos del ISM. Un evaluador del IRAP independiente examinó los controles de AWS que incluyen a las personas, los procesos y la tecnología, para garantizar el cumplimiento de los requisitos del ISM. Esta evaluación brinda la seguridad de que, en cuanto a los productos con los que cuenta AWS, los controles aplicables que requieren las cargas de trabajo del Gobierno australiano en el nivel PROTEGIDO están implementados.

  • ¿Cómo afectan los ceses del CSCP y la CCSL?

    El lunes 2 de marzo de 2020, la Dirección de Señales de Australia (ASD, Australian Signals Directora) y la Agencia de Transformación Digital (DTA) anunciaron los resultados de la evaluación del Programa de certificación de servicios en la nube (CSCP, Cloud Services Certification Program) y del Programa de evaluadores registrados de seguridad de la información (IRAP, Information Security Registered Assessors Program). La evaluación dio lugar a las siguientes recomendaciones:

    • Cerrar el CSCP y crear nuevas directrices de seguridad en la nube de manera conjunta con la industria
    • Aumentar y potenciar el IRAP
    • Establecer foros de consulta con la industria y el gobierno sobre ciberseguridad
    • Actualizar los incentivos contenidos en las instrucciones de adquisición y administración y orientación para reflejar el cese del CSCP

    A día 2 de marzo de 2020, la ASD ha dejado de ser la entidad de certificación y ha cesado toda actividad de certificación, incluidas las actividades de recertificación. Todas las cartas de recertificación y certificaciones de ASD serán nulas a partir del 27 de julio 2020 y el Manual de seguridad de la información (ISM) ha sido actualizado para eliminar el requisito que implicaba seleccionar servicios en la nube de la Lista de servicios en la nube certificados (CCSL, Certified Cloud Services List).

    De acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano, las agencias de la Commonwealth pueden autoevaluar servicios en la nube mediante las prácticas utilizadas para evaluar sistemas ICT.

    Situación actual:

    El 27 de julio de 2020, el Centro de ciberseguridad australiano (ACSC, Australian Cyber Security Centre) y la Agencia de Transformación Digital (DTA, Digital Transformation Agency) publicaron la nueva Guía sobre seguridad en la nube en conjunto con la industria para respaldar la adopción segura de servicios en la nube por parte del gobierno y del sector. AWS sigue realizando evaluaciones del IRAP para mantener la vigencia de la evaluación y para incorporar nuevos servicios. Las entidades de la Commonwealth siguen siendo responsables de sus propias actividades de gestión del riesgo y supervisión. De acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano, las entidades de la Commonwealth pueden autoevaluar servicios en la nube mediante las prácticas utilizadas para evaluar sistemas ICT. La ASD seguirá potenciando la Guía sobre seguridad en la nube existente mediante el desarrollo de directrices elaboradas en conjunto con la industria. Estas directrices ayudarán a las entidades de la Commonwealth y a las empresas australianas a mejorar su ciberseguridad y resiliencia.

    Hasta la fecha, la ASD ha desarrollado diferentes guías para que las organizaciones lleven a cabo las evaluaciones de seguridad pertinentes de servicios en la nube. Se recomienda que cualquier evaluación aborde de forma clara los controles de seguridad del ISM y la guía sobre seguridad en la nube de la ASD, incluidos los siguientes controles:

    La DTA continúa alentando a las agencias de la Commonwealth a que utilicen la Estrategia de seguridad en la nube del Gobierno australiano para respaldar la adopción de los servicios en la nube.

  • ¿Qué documentos IRAP tengo disponibles?

    A fin de respaldar a los clientes del Gobierno australiano, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión sobre los aspectos de seguridad y conformidad al utilizar AWS. AWS proporciona los siguientes materiales que están disponibles para todos los usuarios:

    Puede acceder al paquete PROTEGIDO POR IRAP a través de AWS Artifact, un portal de autoservicio de acceso bajo demanda a informes de conformidad de AWS. También puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact. Esta información brinda la capacidad para planear, diseñar y autoevaluar sistemas creados en AWS de acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano. Este paquete pone a disposición de los clientes del sector público todo lo que necesitaban para evaluar AWS en el nivel PROTEGIDO y ayuda a las agencias individuales a simplificar el proceso de adoptar servicios de AWS. La documentación del paquete incluye:

    • La carta de conformidad;
    • el resumen de implementación de controles;
    • Informe de Fase 2 del IRAP;
    • Arquitectura de referencia; y
    • la guía para el consumidor.

    También se encuentran disponibles otros informes que evalúan y ponen a prueba los controles implementados en la infraestructura de AWS, mediante NDA (según sea necesario):

    • Informe de Controles en organizaciones de servicio 1 (SOC1) tipo II;
    • Informe de Controles en organizaciones de servicio 2 (SOC2) tipo II;
    • Certificación ISO 27001 y Declaración de aplicabilidad; y
    • Declaración de conformidad de PCI y resumen de responsabilidades de PCI.

    Se encuentra disponible un Quick Start para los usuarios que desean crear cargas de trabajo basadas en la nube que utilizan controles de AWS que cumplen con los requisitos de ISM para el manejo de los datos confidenciales del Gobierno clasificados como PROTEGIDOS. Implementa automáticamente la Arquitectura de referencia PROTEGIDA POR IRAP en la nube de AWS en aproximadamente una hora. La Arquitectura de referencia demuestra cómo se unen múltiples servicios de AWS para apoyar a las aplicaciones web de múltiples capas con los respectivos servicios de administración y seguridad conforme a los requisitos de PROTECCIÓN ISM. Si bien esta solución implementa muchos de los controles que se describen en la Arquitectura de referencia PROTEGIDA POR IRAP, este Quick Start no incluye todos los controles recomendados. Recuerde seguir las instrucciones del paquete PROTEGIDO POR IRAP, disponible en AWS Artifact, antes de utilizar esta solución para almacenar datos PROTEGIDOS.

    Para más información acerca de los informes adicionales, consulte los programas de conformidad de AWS.

  • ¿Por qué se necesito un evaluador con acreditación del IRAP?

    Los evaluadores con acreditación del IRAP son profesionales australianos acreditados por la Dirección de señales australiana (ASD, Australian Signals Directorate) de acuerdo con el Programa de evaluadores registrados de seguridad de la información (IRAP), ya que disponen de la cualificación necesaria para llevar a cabo evaluaciones de sistemas de tecnologías de la información y la comunicación (ICT, information and communication technology) en torno al marco de control de la ASD, el Manual de seguridad de la información (ISM, Information Security Manual).

    Los evaluadores del IRAP cuentan con la experiencia y cualificaciones en ICT, evaluación de seguridad y gestión de riesgos necesarias, y un profundo conocimiento sobre los requisitos de conformidad de seguridad de la información del Gobierno australiano.

  • ¿Qué es el ISM?

    El Manual de seguridad de la información (ISM, Information Security Manual) del Gobierno australiano establece un marco sobre ciberseguridad que las organizaciones pueden aplicar a sus sistemas de tecnologías de la información y la comunicación (ICT, information and communication technology) para protegerlos de amenazas cibernéticas. Complementa el marco de política de seguridad de protección (PSPF, Protective Security Policy Framework) redactado por el departamento del fiscal general del gobierno australiano. El ISM y PSPF establecen directrices y obligaciones sobre la implementación de los controles apropiados en un entorno de ICT para las agencias de la Commonwealth. Además, las agencias de la Commonwealth deben tener en cuenta la orientación relevante que ha sido publicado especialmente por o para ellas.

    En 2017, Digital Transformation Agency (DTA) trabajó junto con otros organismos gubernamentales y sectores para desarrollar la Estrategia de seguridad en la nube. El objetivo de la estrategia es ayudar a agencias gubernamentales a usar la tecnología de la nube.

    El ISM ha sido publicado por el Centro de ciberseguridad australiano (ACSC, Australian Cyber Security Centre), la principal organización del Gobierno australiano para la ciberseguridad nacional y parte de la Dirección de Señales de Australia (ASD, Australian Signals Directorate).

    Si desea obtener más información sobre la función del ACSC a la hora de fomentar y mejorar la ciberseguridad en Australia, consulte la página web sobre ciberseguridad en el sitio web de la ASD o en el sitio web del ACSC.

  • ¿Cumple AWS los requisitos del ISM?

    Sí, los servicios en la nube de AWS han sido evaluados por un asesor del IRAP independiente. Durante la evaluación, se examinaron los controles de seguridad de las personas, los procesos y la tecnología de Amazon. Esta evaluación brinda la seguridad de que, en cuanto a los productos con los que cuenta AWS, los controles aplicables que requieren las cargas de trabajo del Gobierno australiano en el nivel PROTEGIDO han sido implementados. Para obtener más información, puede dirigirse a AWS Artifact para acceder al paquete PROTEGIDO POR IRAP desde la evaluación más reciente.

  • ¿Dónde puedo encontrar más información sobre el programa IRAP?

    Para obtener más información, consulte la página web del Programa IRAP en el sitio web del ACSC.

  • ¿Qué servicios y regiones de AWS están cubiertos por la evaluación del IRAP?

    La evaluación del IRAP abarca todos los servicios de la región AWS de Sídney. En los servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la evaluación del IRAP.

  • ¿Puedo utilizar otros servicios de AWS que no están incluidos en la evaluación del IRAP?

    Sí, sujetas a la conformidad con las regulaciones aplicables, las políticas y directrices que gobiernan su uso de los servicios en la nube. Si un servicio que desea utilizar no figura en la lista de la página web de los servicios de AWS en el ámbito del programa de conformidad, puede evaluar sus cargas de trabajo para determinar su idoneidad con otros servicios de AWS.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »