Programa de evaluadores registrados de seguridad de la información (IRAP)

Información general

El Programa de evaluadores registrados de seguridad de la información (IRAP, Information Security Registered Assessors Program) permite a los clientes del Gobierno australiano asegurarse de disponer de los controles adecuados y determinar el modelo de responsabilidad pertinente para cumplir con los requisitos del Manual de seguridad de la información (ISM, Information Security Manual) del Gobierno australiano, elaborado por el Centro Australiano de Ciberseguridad (ACSC, Australian Cyber Security Centre).

Proteger los datos del Gobierno australiano frente al acceso, uso no autorizado y divulgación es fundamental a la hora de aprovisionar y utilizar servicios en la nube. AWS es consciente de que los clientes confían en la entrega segura de la infraestructura de AWS y en la importancia de disponer de características que les permitan crear entornos seguros. AWS permite a los clientes cumplir estos objetivos al dar prioridad a la seguridad en la provisión de sus servicios, mediante la creación de un entorno de control sólido y la existencia de una gran variedad de servicios y características de seguridad disponibles.

Puede encontrar en Servicios de AWS en el ámbito del programa de conformidad los servicios en la nube de AWS evaluados por el IRAP. Un evaluador del IRAP independiente examinó los controles de AWS que incluyen a las personas, los procesos y la tecnología, para garantizar el cumplimiento de los requisitos del ISM. Si desea obtener más información sobre el uso de estos servicios o sobre otros servicios, contáctese con nosotros.

  • El lunes 2 de marzo de 2020, la Dirección de Señales de Australia (ASD, Australian Signals Directorate) y la Agencia de Transformación Digital (DTA) anunciaron los resultados de la evaluación del Programa de certificación de servicios de nube (CSCP, Cloud Services Certification Program) y del Programa de evaluadores registrados de seguridad de la información (IRAP, Information Security Registered Assessors Program). La evaluación dio lugar a las siguientes recomendaciones:

    • Cerrar el CSCP y crear nuevas directrices de seguridad en la nube de manera conjunta con la industria
    • Aumentar y potenciar el IRAP
    • Establecer foros de consulta con la industria y el gobierno sobre ciberseguridad
    • Actualizar los incentivos contenidos en las instrucciones de adquisición y administración y orientación para reflejar el cese del CSCP

    A día 2 de marzo de 2020, la ASD ha dejado de ser la entidad de certificación y ha cesado toda actividad de certificación, incluidas las actividades de recertificación. Todas las cartas de recertificación y certificaciones de ASD serán nulas a partir del 27 de julio 2020 y el Manual de seguridad de la información (ISM) ha sido actualizado para eliminar el requisito que implicaba seleccionar servicios en la nube de la Lista de servicios en la nube certificados (CCSL, Certified Cloud Services List).

    De acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano, las agencias de la Commonwealth pueden autoevaluar servicios en la nube mediante las prácticas utilizadas para evaluar sistemas ICT.

    Situación actual:

    El 27 de julio de 2020, el Centro de Ciberseguridad Australiano (ACSC, Australian Cyber Security Centre) y la Agencia de Transformación Digital (DTA, Digital Transformation Agency) publicaron la nueva Guía sobre seguridad en la nube en conjunto con la industria para respaldar la adopción segura de servicios de nube por parte del gobierno y del sector. AWS sigue realizando evaluaciones del IRAP para mantener la vigencia de la evaluación y para incorporar nuevos servicios. Las entidades de la Commonwealth siguen siendo responsables de sus propias actividades de gestión del riesgo y supervisión. De acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano, las entidades de la Commonwealth pueden autoevaluar servicios en la nube mediante las prácticas utilizadas para evaluar sistemas ICT. La ASD seguirá potenciando la Guía sobre seguridad en la nube existente mediante el desarrollo de directrices elaboradas en conjunto con la industria. Estas directrices ayudarán a las entidades de la Commonwealth y a las empresas australianas a mejorar su ciberseguridad y resiliencia.

    Hasta la fecha, la ASD ha desarrollado diferentes guías para que las organizaciones lleven a cabo las evaluaciones de seguridad pertinentes de servicios en la nube. Se recomienda que cualquier evaluación aborde de forma clara los controles de seguridad del ISM y la guía sobre seguridad en la nube de la ASD, incluidos los siguientes controles:

    La DTA continúa alentando a las agencias de Commonwealth a que utilicen la Estrategia de seguridad en la nube del gobierno australiano para respaldar la adopción de los servicios de nube.

  • A fin de respaldar a los clientes del Gobierno australiano, ofrecemos un paquete de orientación y documentación sobre seguridad que mejorará su comprensión sobre los aspectos de seguridad y conformidad al utilizar AWS. AWS proporciona los siguientes materiales que están disponibles para todos los usuarios:

    Puede acceder al paquete PROTEGIDO POR IRAP a través de AWS Artifact, un portal de autoservicio de acceso bajo demanda a informes de conformidad de AWS. También puede iniciar sesión en AWS Artifact en la consola de administración de AWS u obtener más información en Introducción a AWS Artifact. Esta información brinda la capacidad para planificar, diseñar y autoevaluar sistemas creados en AWS de acuerdo con la Estrategia de seguridad en la nube del Gobierno australiano. Este paquete pone a disposición de los clientes del sector público todo lo que necesitaban para evaluar AWS en el nivel PROTEGIDO y ayuda a las agencias individuales a simplificar el proceso de adoptar servicios de AWS. La documentación del paquete incluye:

    • La carta de conformidad;
    • el resumen de implementación de controles;
    • Informe de Fase 2 del IRAP;
    • Arquitectura de referencia; y
    • la guía para el consumidor.

    También se encuentran disponibles otros informes que evalúan y ponen a prueba los controles implementados en la infraestructura de AWS, mediante NDA (según sea necesario):

    • Informe de Controles en organizaciones de servicio 1 (SOC1) tipo II;
    • Informe de Controles en organizaciones de servicio 2 (SOC2) tipo II;
    • Certificación ISO 27001 y Declaración de aplicabilidad; y
    • Declaración de conformidad de PCI y resumen de responsabilidades de PCI.

    Se encuentra disponible un Quick Start para los usuarios que desean crear cargas de trabajo basadas en la nube que utilizan controles de AWS que cumplen con los requisitos de ISM para el manejo de los datos confidenciales del Gobierno clasificados como PROTEGIDOS. Implementa automáticamente la Arquitectura de referencia PROTEGIDA POR IRAP en la nube de AWS en aproximadamente una hora. La Arquitectura de referencia demuestra cómo se unen múltiples servicios de AWS para apoyar a las aplicaciones web de múltiples capas con los respectivos servicios de administración y seguridad conforme a los requisitos de PROTECCIÓN ISM. Si bien esta solución implementa muchos de los controles que se describen en la Arquitectura de referencia PROTEGIDA POR IRAP, este Quick Start no incluye todos los controles recomendados. Recuerde seguir las instrucciones del paquete PROTEGIDO POR IRAP, disponible en AWS Artifact, antes de utilizar esta solución para almacenar datos PROTEGIDOS.

    Para más información sobre los informes adicionales, consulte los Programas de conformidad de AWS.

  • Los evaluadores del IRAP son profesionales de toda Australia que cuentan con la experiencia y certificación ASD necesarias en ICT, en evaluación de seguridad y gestión de riesgos y con un profundo conocimiento de los requisitos de conformidad de seguridad de la información del Gobierno australiano.

  • El Manual de seguridad de la información (ISM) del Gobierno australiano establece un marco sobre ciberseguridad que las organizaciones pueden aplicar a sus sistemas de tecnologías de la información y la comunicación (ICT) para obtener protección frente a las amenazas cibernéticas. Complementa el marco de política de seguridad de protección (PSPF) redactado por el departamento del fiscal general del gobierno australiano. El ISM y PSPF establecen directrices y obligaciones sobre la implementación de los controles apropiados en un entorno de ICT para las agencias de la Commonwealth. Además, las agencias de la Commonwealth deben tener en cuenta la orientación relevante que ha sido publicado especialmente por o para ellas.

    En 2017, la Agencia de Transformación Digital (DTA) trabajó junto con otros organismos gubernamentales y sectores para desarrollar la Estrategia de seguridad en la nube. El objetivo de la estrategia es ayudar a agencias gubernamentales a usar la tecnología de la nube.

    El ISM ha sido publicado por el Centro de ciberseguridad australiano (ACSC, Australian Cyber Security Centre), la principal organización del Gobierno australiano para la ciberseguridad nacional y parte de la Dirección de Señales de Australia (ASD, Australian Signals Directorate).

    Si desea obtener más información sobre la función del ACSC en torno a la promoción y mejora de la ciberseguridad en Australia, consulte la página web sobre ciberseguridad en el sitio web de la ASD o en el sitio web del ACSC.

  • Sí, los servicios en la nube de AWS han sido evaluados por un evaluador del IRAP independiente de acuerdo con los controles pertinentes del ISM. Durante la evaluación, se examinaron los controles de seguridad del personal, de los procesos y de la tecnología de Amazon. Esta evaluación brinda la seguridad de que, en cuanto a los productos con los que cuenta AWS, los controles aplicables que requieren las cargas de trabajo del Gobierno australiano en el nivel PROTEGIDO han sido implementados. Para obtener más información, puede dirigirse a AWS Artifact para acceder al paquete PROTEGIDO POR IRAP desde la evaluación más reciente.

  • Para obtener más información, consulte la página web del programa IRAP en el sitio web de ACSC.

  • La evaluación del IRAP abarca todos los servicios de las regiones AWS de Sídney y Melbourne. En la página web de servicios de AWS en el ámbito del programa de conformidad podrá encontrar los servicios de AWS cubiertos en el ámbito de la evaluación del IRAP.

  • Sí, sujetas a la conformidad con las regulaciones aplicables, las políticas y directrices que gobiernan su uso de los servicios en la nube. Si un servicio que desea utilizar no figura en la lista de la página web de los servicios de AWS en el ámbito del programa de conformidad, puede evaluar sus cargas de trabajo para determinar su idoneidad con otros servicios de AWS.

Recursos de IRAP

Quick Start para Arquitectura de referencia PROTEGIDA POR IRAP en la nube de AWS
Uso de AWS en el contexto de las consideraciones de la privacidad australiana
Paquete de conformidad Essential 8
Paquete de conformidad ISM
¿Tiene preguntas? Pónganse en contacto con un representante empresarial de AWS
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »