Me gustaría recibir información sobre MPAA y seguridad para estudios
MPAA

La asociación Motion Picture Association of America (MPAA) ha establecido un conjunto de prácticas recomendadas para almacenar, procesar y suministrar de forma segura contenido multimedia y de otro tipo protegido: http://www.mpaa.org/content-security-program/. Las empresas multimedia utilizan estas prácticas recomendadas como mecanismo para evaluar el nivel de riesgo y protección de su contenido e infraestructura.

Si bien la MPAA no ofrece una "certificación", los clientes del sector multimedia pueden utilizar las directrices para MPAA de AWS, que describen el cumplimiento de AWS de las prácticas recomendadas de MPAA, para respaldar la evaluación de riesgos e inspección de su contenido de tipo MPAA en AWS".

AWS también ofrece una evaluación de terceros de la plataforma AWS y una plantilla de seguridad para estudios para AWS. Solicite acceso a este documento con AWS Artifact.


AWS ha proporcionado un medio flexible para extender el centro de datos hasta la nube por medio de la oferta de la nube privada virtual (VPC). Podemos utilizar las políticas y procedimientos y el hardware existentes para crear un entorno informático seguro, simplificado y escalable cuya administración requiere muy pocos recursos.

Theresa Miller Vicepresidenta ejecutiva de tecnología de la información en LIONSGATE

Práctica recomendada
Garantizar la supervisión de los propietarios y la dirección ejecutiva de la función de la seguridad de la información requiriendo inspecciones periódicas del programa de seguridad de la información y de los resultados de evaluación de riesgos.
 
Implementación de AWS      
El entorno de control en Amazon parte del estrato más alto de la empresa. Los altos cargos desempeñan funciones importantes a la hora de definir los valores principales y el tono de la compañía. AWS definió políticas y un marco de seguridad de la información basados en el marco de control de organizaciones y sistemas (SOC). Se integraron de manera eficiente el marco de certificación ISO 27001 basado en los controles de ISO 27002, el PCI DSS v3.2 y la publicación 800-53 Rev. 3 (controles de seguridad recomendados para sistemas de información federales) del Instituto Nacional de Estándares y Tecnología (NIST). Los empleados de AWS completan cursos de formación periódicos basados en sus funciones que incluyen la formación sobre seguridad de AWS. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir las políticas establecidas.      
       
Práctica recomendada
     
Desarrollar un proceso formal de evaluación de riesgos de seguridad centrado en los flujos de trabajo del contenido y los recursos sensibles a fin de identificar y priorizar riesgos de robo de contenido y filtración que resulten relevantes para las instalaciones.      
       
Implementación de AWS      
AWS ha implementado una política de evaluación de riesgos documentada y formal que se examina y actualiza al menos una vez al año. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.

De acuerdo con esta política, el equipo de AWS Compliance lleva a cabo una evaluación de riesgos anual que abarca todas las regiones y empresas de AWS, y que los altos directivos de AWS examinan. Esta evaluación se suma a la certificación, la declaración y los informes de auditores independientes. El propósito de la evaluación de riesgos consiste en identificar las amenazas y vulnerabilidades de AWS para asignarles una clasificación de riesgo y documentar formalmente la evaluación, así como crear un plan de resolución de riesgos para hacer frente a cualquier problema. Los altos directivos de AWS examinan los resultados de la evaluación de riesgo periódicamente, incluido cuando se produce un cambio significativo que requiere que se efectúe una nueva evaluación de riesgo con anterioridad a la evaluación anual.

Los clientes preservan la titularidad de los datos (contenido) y, por tanto, son responsables de evaluar y administrar los riesgos asociados con los flujos de trabajo de los datos a fin de satisfacer las necesidades en materia de conformidad.

Auditores externos independientes examinan el marco de gestión de riesgos de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 yFedRAMP.
     
       
Práctica recomendada
Identificar los puntos de contacto claves en materia de seguridad y definir formalmente las funciones y responsabilidades en términos de protección de contenido y recursos.
 
Implementación de AWS      
AWS ha constituido una organización de seguridad de la información administrada por el equipo AWS Security y de cuya dirección se encarga el oficial principal de seguridad de la información (CISO) de AWS. AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).

Los sistemas de AWS disponen de una gran variedad de recursos para poder supervisar las principales métricas operativas y de seguridad. Las alarmas se configuran para notificar automáticamente al personal de operaciones y gestión cuándo las métricas clave superan los umbrales de advertencias anticipadas. Cuando se supera un umbral, se pone en marcha el proceso de respuesta ante incidentes de AWS.  El equipo de respuesta ante incidentes de Amazon utiliza procedimientos de diagnóstico propios del sector para administrar las soluciones durante los eventos que repercuten en el negocio. El personal ofrece un servicio de 24 horas al día durante los 365 días de año para poder detectar incidentes y administrar el impacto hasta su resolución.

Auditores externos independientes examinan las funciones y responsabilidades de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
     
       
Práctica recomendada      
Establecer políticas y procedimientos en relación con la seguridad de los recursos y del contenido; las políticas deben abordar al menos los siguientes temas:
• Políticas de Recursos Humanos
• Uso aceptable (por ejemplo, redes sociales, Internet, teléfono, etc.)
• Clasificación de recursos
• Políticas de gestión de recursos
• Dispositivos de grabación digital (por ejemplo, smartphones, cámaras digitales y cámaras de vídeo)
• Política de excepciones (por ejemplo, proceso para documentar las desviaciones de las políticas)
• Control de contraseñas (por ejemplo, longitud mínima de la contraseña o protectores de pantalla)
• Prohibición de quitar recursos del cliente de las instalaciones
• Gestión de cambios del sistema
• Política de denunciantes de irregularidades
• Política de sanciones (p. ej., política disciplinaria)
     
       
Implementación de AWS      
AWS definió políticas y un marco de seguridad de la información basados en el marco de control de organizaciones y sistemas (SOC). Se integraron de manera eficiente el marco de certificación ISO 27001 basado en los controles de ISO 27002, el PCI DSS v3.2 y la publicación 800-53 Rev. 3 (controles de seguridad recomendados para sistemas de información federales) del Instituto Nacional de Estándares y Tecnología (NIST).

AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).

Auditores externos independientes examinan las políticas, los procedimientos y los programas de formación pertinentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
Práctica recomendada      
Establecer un plan formal de respuesta a incidencias en el que se describan las acciones que cabe ejecutar cuando se detecta y registra una incidencia de seguridad.      
Implementación de AWS

AWS ha implementado una política y programa de respuesta ante incidentes documentados y formales. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.

Ante un incidente, AWS utiliza un enfoque de tres fases:
1. Fase de activación y notificación: Para AWS, los incidentes comienzan con la detección de un evento. Esto puede provenir de varias fuentes, como:
a. Métricas y alarmas: AWS mantiene una capacidad de alerta situacional excepcional. La mayoría de los problemas se detectan rápidamente gracias a la supervisión las 24 horas de los 365 días del año y las alertas de las métricas en tiempo real y los paneles de servicio. La mayoría de los incidentes se detectan así. AWS utiliza alarmas tempranas que identifican de forma proactiva los problemas que podrían repercutir en los clientes.
b. Ticket introducido por un empleado de AWS.
c. Llamadas a la línea de soporte técnico, disponible las 24 horas de los 365 días del año.

Si el evento cumple los criterios de un incidente, el ingeniero de soporte de turno correspondiente comenzará a utilizar las herramientas de administración de eventos de AWS para entrar en contacto y convocar a los responsables pertinentes del programa. Los solucionadores efectuarán un análisis del incidente para determinar si se deberían involucrar a más solucionadores y para determinar la posible causa raíz.

2. Fase de recuperación: los solucionadores pertinentes intentarán adoptar una solución para resolver el incidente. Una vez efectuada la resolución de problemas, la reparación y la inspección de los componentes afectados, el líder asignará los siguientes pasos de acuerdo con la documentación y las acciones de seguimiento y concluirá la llamada.

3. Fase de reconstitución: una vez que hayan concluido las actividades de reparación, el líder declarará que ha finalizado la fase de recuperación. Se asignará un post mortem y un análisis de la causa raíz al equipo pertinente. Los directores superiores pertinentes examinarán los resultados del post mortem y las acciones relacionadas, como cambios en el diseño, etc., se registrarán en un documento conocido como Corrección de errores (COE) y se supervisarán hasta su finalización.

Además de los mecanismos de comunicación internos detallados anteriormente, AWS también ha implementado varios métodos de comunicación externos para respaldar a sus clientes y su comunidad. El equipo de atención al cliente dispone de mecanismos para recibir notificaciones sobre problemas operativos que afecten a la experiencia de los clientes. El equipo de atención al cliente realiza el mantenimiento del "Panel de estado del servicio" para que se encuentre disponible a fin de advertir al cliente de cualquier problema que pueda tener un gran impacto.

Auditores externos independientes examinan el programa de administración de incidentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.

La documentación del flujo de trabajo del contenido (datos) es responsabilidad de los clientes de AWS, ya que ellos conservan la titularidad y el control de los sistemas operativos, el software, las aplicaciones y los datos de sus huéspedes.

Práctica recomendada

Realizar comprobaciones de antecedentes de todo el personal de la empresa y de trabajadores externos.

Implementación de AWS      
AWS comprueba los antecedentes penales de conformidad con la legislación aplicable, como parte de las prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a las instalaciones de AWS.

Auditores externos independientes examinan el programa de comprobación de antecedentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Exigir a todo el personal de la empresa y trabajadores externos que firmen un acuerdo de confidencialidad (por ejemplo, de no divulgación) al ser contratados y, a partir de ahí, con carácter anual, en el que se incluyan disposiciones acerca de la gestión y la protección del contenido.      
       
Implementación de AWS      
El consejo jurídico de Amazon administra y revisa periódicamente el acuerdo de no divulgación de Amazon (NDA) para reflejar las necesidades empresariales de AWS.

Auditores externos independientes examinan el uso de AWS de acuerdos de confidencialidad (NDA) durante las auditorías sobre conformidad con ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Registrar y revisar el acceso electrónico a zonas restringidas para sucesos sospechosos.      
       
Implementación de AWS

El acceso físico está controlado en el perímetro y en los puntos de acceso del edificio por personal de seguridad profesional mediante videovigilancia, sistema de detección de intrusiones y otros recursos electrónicos.
Todas las entradas a los centros de datos de AWS, incluida la entrada principal, el muelle de carga y cualquier techo solar o compuerta, están protegidas con dispositivos de detección de intrusos que hacen emitir alarmas y crean una alerta en el sistema de supervisión de la seguridad física centralizado de AWS si se fuerza o mantiene abierta una puerta.

Además de los mecanismos electrónicos, los centros de datos de AWS disponen de guardias de seguridad las 24 horas, los 7 días de la semana, ubicados en el edificio y sus alrededores. Un guardia de seguridad investiga todas las alarmas y documenta la causa raíz de todos los incidentes. Las alarmas se escalan automáticamente si no se produce una respuesta dentro del plazo establecido en el acuerdo de licencia de servicio.

Los puntos de acceso físico a las ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en la política de seguridad física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de las disposiciones legales o contractuales.

Auditores externos independientes examinan los mecanismos de seguridad física de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.

Práctica recomendada      

Aplicar un sistema de gestión de los recursos del contenido para ofrecer un seguimiento detallado de los recursos físicos (es decir, los que sean del cliente y los que se hayan creado recientemente).

     
       
Implementación de AWS      
Los clientes de AWS son responsables de administrar, implementar y operar los recursos de contenido. Es responsabilidad de los clientes realizar el seguimiento del inventario de los recursos físicos.

En los entornos del centro de datos de AWS, todos los componentes de los sistemas de información nuevos, que incluyen, entre otros, servidores, bastidores, dispositivos de red, discos duros, componentes de hardware del sistema y materiales de construcción enviados a y recibidos por los centros de datos, requieren la autorización previa y notificación del director del centro de datos. Los objetos se entregan en el muelle de carga de cada centro de datos de AWS, donde se inspeccionan por si han sufrido daños o se ha alterado el paquete. Entonces, un empleado a tiempo completo de AWS firma la entrega. Cuando llega el envío, los artículos se escanean y se registran en el sistema de administración de recursos de AWS y el sistema de seguimiento del inventario de dispositivos.

Una vez recibidos los artículos, se colocan en el almacén de equipo del centro de datos hasta su instalación en el centro de datos. Para acceder al almacén, se necesita una tarjeta llave y un número PIN. Antes de salir del centro de datos, los artículos se escanean, se registran y se limpian. Solo así disponen de autorización para abandonar el centro de datos.         

Auditores externos independientes examinan los procesos y procedimientos de administración de recursos de AWS durante las auditorías sobre conformidad con PCI DSS, ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Prohibir el acceso de Internet a sistemas (ordenadores y servidores) que procesan o almacenan contenido digital.      
       
Implementación de AWS      
Los dispositivos de protección de límites que utilizan conjuntos de reglas, listas de control de acceso (ACL) y configuraciones determinan el flujo de la información entre partes de la red. Estos dispositivos se configuran de manera que denieguen todo el tráfico y que se requiera que un conjunto de firewalls permita la conectividad. Consulte DS-2.0 para más información sobre la administración de los firewalls de red de AWS.

Los recursos de AWS no incorporan una capacidad inherente de correo electrónico y el puerto 25 no se utiliza. Un cliente (p. ej., un estudio, unas instalaciones de procesamiento, etc.) puede utilizar un sistema para alojar las capacidades de correo electrónico. Sin embargo, en ese caso es responsabilidad del cliente utilizar los niveles adecuados de protección contra spam y malware en los puntos de entrada y salida del correo y actualizar las definiciones de spam y malware cuando se publiquen nuevas versiones.

Los recursos de Amazon (p. ej., ordenadores portátiles) se configuran con software antivirus que incluye filtros del correo electrónico y la detección de malware.

Auditores externos independientes examinan la administración del firewall de red y el programa antivirus de Amazon como parte de los esfuerzos constantes por mantener la conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
       

Además del MPAA, la mayoría de los estudios de contenido (como Disney/Marvel) cuentan con su propio conjunto de requisitos de seguridad y exigen que los proveedores de servicios y los servicios de valor añadido auditen sus entornos on-premise y basados en la nube mediante auditores externos. Un buen ejemplo es la representación con ráfagas basada en la nube de contenido de animación/VFX para preestrenos.

AWS trabajó con un auditor externo para que evaluara las condiciones de la plataforma AWS para hospedar entornos de representación de animaciones/VFX. El auditor externo también redactó un documento plantilla de prácticas recomendadas de seguridad que incluye controles de seguridad de AWS basados en requisitos principales de estudios. El documento también puede utilizarse para crear un entorno de representación de animaciones/VFX aprobado en AWS.

Solicite acceso al documento de controles de seguridad de AWS para requisitos de seguridad de estudios con AWS Artifact.

 

Contacte con nosotros