Definición de una estrategia de soberanía
En este artículo se describe cómo planear su estrategia de soberanía al usar servicios en la nube. Muchas regiones geopolíticas tienen regulaciones para controlar tipos específicos de datos, como datos confidenciales de privacidad y datos gubernamentales. Las regulaciones suelen aplicar requisitos de soberanía relacionados con la residencia de datos, el control sobre los datos y, a veces, la independencia operativa (denominada autarquía).
Cuando tu organización necesita cumplir estas regulaciones, debes definir una estrategia para cumplir los requisitos de soberanía. Si tu organización cambia de servicios locales a servicios en la nube, debes ajustar la estrategia de soberanía en consecuencia.
Modernización de la estrategia de soberanía
Para el centro de datos local, eres responsable de la mayoría de los aspectos que normalmente están asociados a la soberanía, entre los que se incluyen:
- Centros de datos, donde se almacenan y procesan los datos.
- Acceso a los centros de datos y a la infraestructura física.
- Hardware y software, incluida la cadena de suministro de hardware y software.
- Procesos de garantía que validan el hardware y el software.
- Infraestructura y procesos que garantizan la continuidad empresarial si hay un desastre o un evento geopolítico.
- Configuraciones y procesos que determinan quién tiene acceso a qué datos y sistemas.
- Herramientas y procesos que protegen los datos y sistemas contra amenazas externas e internas.
Al adoptar servicios en la nube, la responsabilidad de estos aspectos cambia a una responsabilidad compartida. El equipo de cumplimiento cambia la estrategia que usan para determinar si se cumplen los requisitos de soberanía. El equipo de cumplimiento tiene en cuenta lo siguiente:
El cumplimiento de los servicios en la nube. ¿Cómo cumplen los servicios del proveedor de nube los requisitos de soberanía y cumplimiento?
El cumplimiento de los sistemas y procesos que tu organización es responsable. ¿Qué herramientas están disponibles para ayudarte a cumplir los requisitos de soberanía y cumplimiento, y cómo se usan estas herramientas?
Es posible que el equipo de cumplimiento tenga que trabajar con un regulador para obtener permiso para usar métodos alternativos que logren los mismos objetivos. En algunos casos, es posible que sea necesario cambiar un reglamento agregando más opciones o ajustando una directiva para usar una determinada solución para obtener un resultado previsto. Cambiar la regulación puede ser un proceso largo. Sin embargo, puede ser posible obtener exenciones si puedes demostrar que has logrado la intención de un reglamento.
Por ejemplo, un reglamento podría restringir a las organizaciones el uso de determinados servicios en la nube porque los requisitos de aislamiento solo se pueden cumplir con el aislamiento de hardware que normalmente no está disponible en la nube. Pero el resultado previsto también se puede obtener con aislamiento virtual. Como parte de tu estrategia, debes determinar cómo trabajar con reguladores y auditores cuando surjan estos posibles bloqueadores.
Para obtener más información sobre cómo satisfacer sus necesidades de cumplimiento y soberanía, consulta Microsoft Cloud for Sovereignty.
Cumplimiento de servicios en la nube
El equipo de cumplimiento usa varios orígenes y métodos para comprobar el cumplimiento del servicio en la nube, entre los que se incluyen:
Documentación del proveedor sobre cómo funcionan tus servicios y cómo usarlos, por ejemplo, la documentación del producto Federal Risk and Authorization Management Program (FedRAMP) y los planes de seguridad del sistema.
Certificaciones de auditor independientes que certifican el cumplimiento de marcos de cumplimiento globales, regionales y del sector. Para obtener más información, consulta Ofertas de cumplimiento para Microsoft 365, Azure y otros servicios de Microsoft.
Informes de auditoría que crean auditores independientes para proporcionar información sobre cómo los servicios en la nube cumplen los requisitos de los marcos de cumplimiento globales, regionales y del sector. Algunos informes de auditoría están disponibles en el Portal de confianza de servicios.
Auditorías realizadas por o en nombre del equipo de cumplimiento a través de ofertas de auditoría de proveedor, como el Programa de seguridad gubernamental (disponible solo para seleccionar clientes).
Registros de transparencia que proporcionan detalles sobre cuándo los ingenieros de Microsoft acceden a los recursos.
La combinación de orígenes y métodos que usa el equipo de cumplimiento depende del nivel de información que necesitas, la confianza que tienes en las distintas opciones y tus recursos y presupuesto. Una certificación de auditor de terceros elimina la necesidad de que tu equipo realice una auditoría y cueste menos, pero requiere confianza en el proceso de auditoría y auditoría.
Cumplimiento de los sistemas y procesos
Los procesos y sistemas de cumplimiento de tu organización pueden beneficiarse de las funcionalidades agregadas de los servicios en la nube. Puedes usar estas funcionalidades para:
Aplicar o informar sobre las directivas técnicas. Por ejemplo, puedes bloquear la implementación de servicios o configuraciones o informar sobre infracciones que no cumplen los requisitos técnicos de soberanía y cumplimiento.
Usar definiciones de directivas pregeneradas que estén alineadas con marcos de cumplimiento específicos.
Registrar y supervisar auditorías.
Usar herramientas de seguridad. Para obtener más información, vea Definición de una estrategia de seguridad.
Realizar funcionalidades de garantía técnica y supervisión, como la informática confidencial de Azure.
Considerar detenidamente estas funcionalidades para el entorno de la organización y las cargas de trabajo individuales. Para cada funcionalidad, considera la cantidad de esfuerzo necesaria, la aplicabilidad y la función. Por ejemplo, la aplicación de directivas es un método relativamente sencillo que admite el cumplimiento, pero puede restringir qué servicios puedes usar y cómo se pueden usar. En comparación, la garantía técnica requiere un esfuerzo considerable y es más restrictiva porque solo está disponible para algunos servicios. También requiere una cantidad significativa de conocimiento.
Adoptar responsabilidad compartida
Al adoptar servicios en la nube, adoptas un modelo de responsabilidad compartida. Determinar qué responsabilidades cambian al proveedor de nube y cuáles permanecen contigo. Comprender cómo afectan esos cambios a los requisitos de soberanía de las regulaciones. Para obtener más información, consulta los recursos de Cumplimiento de servicios en la nube. Para obtener una vista de alto nivel, ten en cuenta los siguientes recursos:
La seguridad de infraestructura de Azure describe cómo Microsoft proporciona protección para la infraestructura física.
La integridad y la seguridad de la plataforma Azure describen cómo Microsoft proporciona protección contra amenazas a la plataforma y a los procesos de garantía técnica.
La residencia de datos en Azure describe las características de residencia de datos. Para los clientes de la Unión Europea (EU), consulta EU Data Boundary de Microsoft.
El proveedor de nube proporciona parcialmente continuidad empresarial a través de la resistencia de la plataforma al garantizar la continuidad de los sistemas críticos que operan en la nube. Los servicios que usa una carga de trabajo proporcionan opciones de continuidad que puedes usar para compilar las cargas de trabajo. También puedes usar otros servicios, como Azure Backup o Azure Site Recovery. Para más información, consulta la documentación de confiabilidad de Azure.
El proveedor de nube es responsable de proteger el acceso a la plataforma en la nube de amenazas internas y externas. Los clientes son responsables de configurar sus sistemas para proteger sus datos a través de la administración de identidades y acceso, el cifrado y otras medidas de seguridad. Para obtener más información, vea Definición de una estrategia de seguridad.
Uso de clasificaciones para diferenciar datos
Diferentes tipos de datos y cargas de trabajo pueden tener requisitos de soberanía diferentes, en función de factores como la confidencialidad de los datos y si contiene datos confidenciales de privacidad. Es importante comprender qué clasificaciones de datos se aplican a su organización y qué datos y sistemas están sujetos a qué clasificaciones. Algunos datos y aplicaciones están sujetos a varias regulaciones, lo que puede crear la necesidad de requisitos combinados. Por ejemplo, podría haber una regulación relacionada con la confidencialidad de los datos y la importancia de un sistema. Las clasificaciones resultantes pueden ser alta confidencialidad y baja importancia crítica o confidencialidad media y alta importancia.
Cuando se cumplen los requisitos de soberanía, puede afectar a otros factores, como el costo, la resistencia, la escalabilidad, la seguridad y la riqueza del servicio. Para tu estrategia de soberanía, es importante aplicar los controles adecuados a una clasificación de datos. Un enfoque único para todos conduce a un entorno que favorece los requisitos de cumplimiento más altos, lo que probablemente es el más rentable y menos beneficioso.
Pasos siguientes
Cloud for Sovereignty proporciona información sobre las funcionalidades soberanas en la plataforma Azure y describe cómo abordar los requisitos de soberanía.
La seguridad y la soberanía no son lo mismo, pero no se puede ser soberano si no se está seguro. Por lo tanto, debes definir una estrategia de seguridad que se integre con tu estrategia de soberanía.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de