Me gustaría recibir información sobre MPAA en la nube

La asociación Motion Picture Association of America (MPAA) ha establecido un conjunto de prácticas recomendadas para almacenar, procesar y ofrecer de forma segura contenido protegido multimedia y de otro tipo: http://www.fightfilmtheft.org/facility-security-program.html/. Las empresas multimedia utilizan estas prácticas recomendadas como mecanismo para valorar el riesgo y la seguridad de su contenido e infraestructura.

Mientras que MPAA no ofrece una "certificación", los clientes del sector multimedia pueden utilizar las orientaciones sobre MPAA de AWS, que ilustran el cumplimiento de AWS de las mejores prácticas de MPAA para respaldar la evaluación de riesgos e inspección de su contenido de tipo MPAA en AWS".

Para obtener información adicional sobre soluciones de medios digitales, visite:

https://aws.amazon.com/digital-media/


AWS ha proporcionado un medio flexible para extender el centro de datos hasta la nube por medio de la oferta de la nube privada virtual (VPC). Podemos utilizar las políticas y procedimientos y el hardware existentes para crear un entorno informático seguro, simplificado y escalable cuya administración requiere muy pocos recursos.

Theresa Miller Vicepresidenta ejecutiva de tecnología de la información en LIONSGATE

Práctica recomendada
Garantizar la supervisión de los propietarios y la dirección ejecutiva de la función de la seguridad de la información requiriendo inspecciones periódicas del programa de seguridad de la información y de los resultados de evaluación de riesgos.
 
Implementación de AWS      
El entorno de control en Amazon parte del estrato más alto de la empresa. Los altos cargos desempeñan funciones importantes a la hora de definir los valores principales y el tono de la compañía. AWS ha creado un marco y políticas de seguridad de la información basados en el marco de los objetivos de control para información y tecnologías relacionadas (COBIT) y ha integrado con eficacia el marco de certificación ISO 27001 basado en los controles ISO 27002, los principios de servicios de confianza del Instituto Estadounidense de Auditores Públicos de Cuentas (AICPA), el estándar PCI DSS v3.1 y la publicación 800-53, rev. 3, del Instituto Nacional de Estándares y Tecnología (NIST) titulada Recommended Security Controls for Federal Information Systems. Los empleados de AWS completan cursos de formación periódicos basados en sus funciones que incluyen la formación sobre seguridad de AWS. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir las políticas establecidas.      
       
Práctica recomendada
     
Desarrollar un proceso formal de evaluación de riesgos de seguridad centrado en los flujos de trabajo del contenido y los recursos sensibles a fin de identificar y priorizar riesgos de robo de contenido y filtración que resulten relevantes para las instalaciones.      
       
Implementación de AWS      
AWS ha implementado una política de evaluación de riesgos documentada y formal que se examina y actualiza al menos una vez al año. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.

De acuerdo con esta política, el equipo de AWS Compliance lleva a cabo una evaluación de riesgos anual que abarca todas las regiones y empresas de AWS, y que los altos directivos de AWS examinan. Esta evaluación se suma a la certificación, la declaración y los informes de auditores independientes. El propósito de la evaluación de riesgos consiste en identificar las amenazas y vulnerabilidades de AWS para asignarles una clasificación de riesgo y documentar formalmente la evaluación, así como crear un plan de resolución de riesgos para hacer frente a cualquier problema. Los altos directivos de AWS examinan los resultados de la evaluación una vez al año y cuando se produce un cambio significativo que requiere que se efectúe una evaluación de riesgo con anterioridad a la evaluación anual.

Los clientes preservan la titularidad de los datos (contenido) y, por tanto, son responsables de evaluar y administrar los riesgos asociados con los flujos de trabajo de los datos a fin de satisfacer las necesidades en materia de conformidad.

Auditores externos independientes examinan el marco de gestión de riesgos de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 yFedRAMPsm.
     
       
Práctica recomendada
Identificar los puntos de contacto claves en materia de seguridad y definir formalmente las funciones y responsabilidades en términos de protección de contenido y recursos.
 
Implementación de AWS      
AWS ha constituido una organización de seguridad de la información administrada por el equipo AWS Security y de cuya dirección se encarga el oficial principal de seguridad de la información (CISO) de AWS. AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).

Los sistemas de AWS disponen de una gran variedad de recursos para poder supervisar las principales métricas operativas y de seguridad. Las alarmas se configuran para notificar automáticamente al personal de operaciones y gestión cuándo las métricas clave superan los umbrales de advertencias anticipadas. Cuando se supera un umbral, se pone en marcha el proceso de respuesta ante incidentes de AWS.  El equipo de respuesta ante incidentes de Amazon utiliza procedimientos de diagnóstico propios del sector para administrar las soluciones durante los eventos que repercuten en el negocio. El personal ofrece un servicio de 24 horas al día durante los 365 días de año para poder detectar incidentes y administrar el impacto hasta su resolución.

Auditores externos independientes examinan las funciones y responsabilidades de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Establecer políticas y procedimientos en relación con la seguridad de los recursos y del contenido; las políticas deben abordar al menos los siguientes temas:
• Políticas de Recursos Humanos
• Uso aceptable (por ejemplo, redes sociales, Internet, teléfono, etc.)
• Clasificación de recursos
• Políticas de gestión de recursos
• Dispositivos de grabación digital (por ejemplo, smartphones, cámaras digitales y cámaras de vídeo)
• Política de excepciones (por ejemplo, proceso para documentar las desviaciones de las políticas)
• Control de contraseñas (por ejemplo, longitud mínima de la contraseña o protectores de pantalla)
• Prohibición de quitar recursos del cliente de las instalaciones
• Gestión de cambios del sistema
• Política de denunciantes de irregularidades
• Política de sanciones (p. ej., política disciplinaria)
     
       
Implementación de AWS      
AWS ha creado un marco y políticas de seguridad de la información basados en el marco de los objetivos de control para información y tecnologías relacionadas (COBIT) y ha integrado con eficacia el marco de certificación ISO 27001 basado en los controles ISO 27002, los principios de servicios de confianza del Instituto Estadounidense de Auditores Públicos de Cuentas (AICPA), el estándar PCI DSS v3.0 y la publicación 800-53, rev. 3, del Instituto Nacional de Estándares y Tecnología (NIST) titulada Recommended Security Controls for Federal Information Systems.

AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).

Auditores externos independientes examinan las políticas, los procedimientos y los programas de formación pertinentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
Práctica recomendada      
Establecer un plan formal de respuesta a incidencias en el que se describan las acciones que cabe ejecutar cuando se detecta y registra una incidencia de seguridad.      
Implementación de AWS

AWS ha implementado una política y programa de respuesta ante incidentes documentados y formales. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.

Ante un incidente, AWS utiliza un enfoque de tres fases:
1. Fase de activación y notificación: Para AWS, los incidentes comienzan con la detección de un evento. Puede derivarse de varias fuentes, incluidas:
a. Métricas y alarmas: AWS mantiene una capacidad de alerta situacional excepcional. La mayoría de los problemas se detectan rápidamente gracias a la supervisión las 24 horas de los 365 días del año y las alertas de las métricas en tiempo real y los paneles de servicio. La mayoría de los incidentes se detectan así. AWS utiliza alarmas tempranas que identifican de forma proactiva los problemas que podrían repercutir en los clientes.
b. Ticket introducido por un empleado de AWS.
c. Llamadas a la línea de soporte técnico, disponible las 24 horas de los 365 días del año.

Si el evento cumple los criterios de un incidente, el ingeniero de soporte disponible comenzará a utilizar en sistema de herramientas de administración de eventos de AWS para involucrar a los solucionadores del programa pertinentes (p. ej. equipo de seguridad). Los solucionadores efectuarán un análisis del incidente para determinar si se deberían involucrar a más solucionadores y para determinar la posible causa raíz.

2. Fase de recuperación: los solucionadores pertinentes intentarán adoptar una solución para resolver el incidente. Una vez efectuada la resolución de problemas, la reparación y la inspección de los componentes afectados, el líder asignará los siguientes pasos de acuerdo con la documentación y las acciones de seguimiento y concluirá la llamada.

3. Fase de reconstitución: una vez que hayan concluido las actividades de reparación, el líder declarará que ha finalizado la fase de recuperación. Se asignará un post mortem y un análisis de la causa raíz al equipo pertinente. Los directores superiores pertinentes examinarán los resultados del post mortem y las acciones relacionadas, como cambios en el diseño, etc., se registrarán en un documento conocido como Corrección de errores (COE) y se supervisarán hasta su finalización.

Además de los mecanismos de comunicación internos detallados anteriormente, AWS también ha implementado varios métodos de comunicación externos para respaldar a sus clientes y su comunidad. El equipo de atención al cliente dispone de mecanismos para recibir notificaciones sobre problemas operativos que afecten a la experiencia de los clientes. El equipo de atención al cliente realiza el mantenimiento del "Panel de estado del servicio" para que se encuentre disponible a fin de advertir al cliente de cualquier problema que pueda tener un gran impacto.


Auditores externos independientes examinan el programa de administración de incidentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.

La documentación del flujo de trabajo del contenido (datos) es responsabilidad de los clientes de AWS, ya que ellos conservan la propiedad y el control de los sistemas operativos, el software, las aplicaciones y los datos de sus huéspedes.

Práctica recomendada      

Realizar comprobaciones de antecedentes de todo el personal de la empresa y de trabajadores externos.

     
       
Implementación de AWS      
AWS comprueba los antecedentes penales de conformidad con la legislación aplicable, como parte de las prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a las instalaciones de AWS.

Auditores externos independientes examinan el programa de comprobación de antecedentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Exigir a todo el personal de la empresa y trabajadores externos que firmen un acuerdo de confidencialidad (por ejemplo, de no divulgación) al ser contratados y, a partir de ahí, con carácter anual, en el que se incluyan disposiciones acerca de la gestión y la protección del contenido.      
       
Implementación de AWS      
El consejo jurídico de Amazon administra y revisa periódicamente el acuerdo de no divulgación de Amazon (NDA) para reflejar las necesidades empresariales de AWS.

Auditores externos independientes examinan el uso de AWS de acuerdos de confidencialidad (NDA) durante las auditorías sobre conformidad con ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Registrar y revisar el acceso electrónico a zonas restringidas para sucesos sospechosos.      
       
Implementación de AWS      

El acceso físico está controlado en el perímetro y en los puntos de acceso del edificio por personal de seguridad profesional mediante videovigilancia, sistema de detección de intrusiones y otros recursos electrónicos.
Todas las entradas a los centros de datos de AWS, incluida la entrada principal, el muelle de carga y cualquier techo solar o compuerta, están protegidas con dispositivos de detección de intrusos que hacen emitir alarmas y crean una alerta en el sistema de supervisión de la seguridad física centralizado de AWS si se fuerza o mantiene abierta una puerta.

Además de los mecanismos electrónicos, los centros de datos de AWS disponen de guardias de seguridad las 24 horas, los 7 días de la semana, ubicados en el edificio y sus alrededores. Un guardia de seguridad investiga todas las alarmas y documenta la causa raíz de todos los incidentes. Las alarmas se escalan automáticamente si no se produce una respuesta dentro del plazo establecido en el acuerdo de licencia de servicio.

Los puntos de acceso físico a las ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en la política de seguridad física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de las disposiciones legales o contractuales.

Auditores externos independientes examinan los mecanismos de seguridad física de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.

     
       
Práctica recomendada      

Aplicar un sistema de gestión de los recursos del contenido para ofrecer un seguimiento detallado de los recursos físicos (es decir, los que sean del cliente y los que se hayan creado recientemente).

     
       
Implementación de AWS      
Los clientes de AWS son responsables de administrar, implementar y operar los recursos de contenido. Es responsabilidad de los clientes realizar el seguimiento del inventario de los recursos físicos.

En los entornos del centro de datos de AWS, todos los componentes de los sistemas de información nuevos, que incluyen, entre otros, servidores, bastidores, dispositivos de red, discos duros, componentes de hardware del sistema y materiales de construcción enviados a y recibidos por los centros de datos, requieren la autorización previa y notificación del director del centro de datos. Los objetos se entregan en el muelle de carga de cada centro de datos de AWS, donde se inspeccionan por si han sufrido daños o se ha alterado el paquete. Entonces, un empleado a tiempo completo de AWS firma la entrega. Cuando llega el envío, los artículos se escanean y se registran en el sistema de administración de recursos de AWS y el sistema de seguimiento del inventario de dispositivos.

Una vez recibidos los artículos, se colocan en el almacén de equipo del centro de datos hasta su instalación en el centro de datos. Para acceder al almacén, se necesita una tarjeta llave y un número PIN. Antes de salir del centro de datos, los artículos se escanean, se registran y se limpian. Solo así disponen de autorización para abandonar el centro de datos.         

Auditores externos independientes examinan los procesos y procedimientos de administración de recursos de AWS durante las auditorías sobre conformidad con PCI DSS, ISO 27001 y FedRAMPsm.
     
       
Práctica recomendada      
Prohibir el acceso de Internet a sistemas (ordenadores y servidores) que procesan o almacenan contenido digital.      
       
Implementación de AWS      
Los dispositivos de protección de límites que utilizan conjuntos de reglas, listas de control de acceso (ACL) y configuraciones determinan el flujo de la información entre partes de la red. Estos dispositivos se configuran de manera que denieguen todo el tráfico y que se requiera que un conjunto de firewalls permita la conectividad. Consulte DS-2.0 para más información sobre la administración de los firewalls de red de AWS.

Los recursos de AWS no incorporan una capacidad inherente de correo electrónico y el puerto 25 no se utiliza. Un cliente (p. ej., un estudio, unas instalaciones de procesamiento, etc.) puede utilizar un sistema para alojar las capacidades de correo electrónico. Sin embargo, en ese caso es responsabilidad del cliente utilizar los niveles adecuados de protección contra spam y malware en los puntos de entrada y salida del correo y actualizar las definiciones de spam y malware cuando se publiquen nuevas versiones.

Los recursos de Amazon (p. ej., ordenadores portátiles) se configuran con software antivirus que incluye filtros del correo electrónico y la detección de malware.

Auditores externos independientes examinan la administración del firewall de red y el programa antivirus de Amazon como parte de los esfuerzos constantes por mantener la conformidad con SOC, PCI DSS, ISO 27001 y FedRAMPsm.
     
       
blank
blank
MPAA y la nube de AWS
MPAA en AWS
Conformidad con MPAA

 

Contáctese con nosotros