Modelo de Madurez en seguridad completo

Fase 1: Quick Wins - Gatear Fase 2: Fundacional - Caminar Fase 3: Eficiente - Correr Fase 4: Optimizado - Volar
Organizacional Asignar los contactos de Seguridad Seleccione la(s) región(es) Involucre a los equipos de seguridad en el desarrollo Identificar requerimientos regulatorios Identificar los datos más sensibles - joyas de la corona Plan de entrenamiento sobre seguridad en la nube Security Champions en Desarrollo Realizar un modelado de amenazas Conformación un Red Team (Punto de vista del atacante) Conformación un Blue Team (Respuesta ante incidentes) Conformar un equipo de Ingeniería del Caos (Resiliencia) Compartir la labor y responsabilidad de seguridad
Identidades y Accesos Autenticación Multi-Factor Evitar el uso de Root y auditarlo Análisis de accesos y roles con IAM Access Analyzer Repositorio Central de usuarios Estratégia de etiquetado Revisión de privilegios (Least Privilege) Políticas Organizacionales - SCPs Asegurar usuarios de apliciones con Cognito Control de accesos según el contexto Pipeline de generación de Políticas de IAM
Protección y prevención Limitar Security Groups AWS WAF con reglas gestionadas Amazon S3 Block Public Access Usar AWS Systems Manager Session Manager o Bastiones Cifrado de Datos - AWS KMS Sin Secretos en Código - AWS Secrets Manager Segmentación de redes (VPCs) - Redes Públicas/Privadas Gestión multicuenta con AWS Control Tower o Landing Zone solution Pipeline de generación de Imagenes Shield Advanced: Mitigación avanzada de DDoS Anti-Malware / EDR Cifrado en tránsito con AWS Certificate Manager WAF con reglas custom Control de tráfico saliente Cumplimiento con PCI-DSS (Si requiere) Estandarización de procesos con Service Catalog DevSecOps
Detección Detección de amenazas con Amazon GuardDuty y revisar sus hallazgos Auditoría de las llamadas a APIs con AWS CloudTrail Analizar la postura de seguridad de datos con Amazon Macie Remediar los hallazgos de seguridad en AWS Trusted Advisor Automatizar alineamiento con mejores prácticas con AWS Security Hub Alarma de Billing para detección de anomalías Monitoreo de las configuraciones con AWS Config Gestiona las vulnerabilidades en tu infraestructura y realiza pentesting Gestiona las vulnerabilidades en tus aplicaciones Descubrimiento de datos sensibles con Amazon Macie Uso de servicios Abstractos Integración con SIEM/SOAR Análisis de flujos de red (VPC Flow Logs) Simular fallas (Chaos Monkey) Amazon Fraud Detector Integración de feeds de inteligencia adicionales
Respuesta Actuar ante los hallazgos de Amazon GuardDuty Definir playbooks de respuesta ante incidentes - Ejercicios TableTop Investigar TODOS los hallazgos de Amazon GuardDuty incluso S3 Protection Automatizar Playbooks críticos y los que se ejecutan más frecuentemente Automatizar configuraciones con corrección de desvíos Automatizar la mayoría de los Playbooks Amazon Detective: Análisis de causa raíz
Recuperación Backups Redundancia en múltiples zonas de disponibilidad Uso de infraestructura como código (CloudFormation, CDK) Automación del Disaster Recovery multi-región con CloudEndure