Primeros pasos: Implementación de la seguridad en todo el entorno empresarialGet started: Implement security across the enterprise environment

La seguridad ayuda a generar garantías de confidencialidad, integridad y disponibilidad para una empresa.Security helps create assurances of confidentiality, integrity, and availability for a business. Las iniciativas de seguridad se enfocan de forma crítica en la protección contra el posible impacto en las operaciones que ocasionarían las acciones malintencionadas e involuntarias, tanto internas como externas.Security efforts have a critical focus on protecting against the potential impact to operations caused by both internal and external malicious and unintentional acts.

En esta guía de introducción se describen los pasos principales que mitigarán o evitarán el riesgo empresarial frente a ataques de ciberseguridad.This getting started guide outlines the key steps that will mitigate or avoid the business risk from cybersecurity attacks. Puede ayudarle a establecer rápidamente prácticas de seguridad esenciales en la nube, así como a integrar la seguridad en el proceso de adopción de la nube.It can help you rapidly establish essential security practices in the cloud and integrate security into your cloud adoption process.

Los pasos de esta guía están dirigidos a todos los roles que participan en las garantías de seguridad para los entornos de nube y las zonas de aterrizaje.The steps in this guide are intended for all roles that support security assurances for cloud environments and landing zones. Entre las tareas se incluyen prioridades de mitigación de riesgos inmediatos, instrucciones sobre la creación de una estrategia de seguridad moderna, la puesta en marcha de la estrategia y su ejecución.Tasks include immediate risk mitigation priorities, guidance on building a modern security strategy, operationalizing the approach, and executing on that strategy.

En esta guía se incluyen los elementos de Microsoft Cloud Adoption Framework para Azure:This guide includes elements from across the Microsoft Cloud Adoption Framework for Azure:

Introducción a la seguridad empresarial

Si sigue los pasos de esta guía, podrá integrar la seguridad en los puntos críticos del proceso.Adhering to the steps in this guide will help you integrate security at critical points in the process. El objetivo es evitar obstáculos en la adopción de la nube y reducir las interrupciones innecesarias en las operaciones o el negocio.The goal is to avoid obstacles in cloud adoption and reduce unnecessary business or operational disruption.

Microsoft ha generado funcionalidades y recursos para ayudar a acelerar la implementación de esta guía de seguridad en Microsoft Azure.Microsoft has built capabilities and resources to help accelerate your implementation of this security guidance on Microsoft Azure. Se hará referencia a dichos recursos en esta guía.You'll see these resources referenced throughout this guide. Están diseñados para ayudarle a establecer, supervisar y aplicar la seguridad, y se actualizan y revisan con frecuencia.They're designed to help you establish, monitor, and enforce security, and they're frequently updated and reviewed.

En el siguiente diagrama se muestra el enfoque holístico para usar la guía de seguridad y las herramientas de plataforma para establecer la visibilidad y el control de la seguridad de los recursos en la nube en Azure.The following diagram shows a holistic approach for using security guidance and platform tooling to establish security visibility and control over your cloud assets in Azure. Se recomienda esta estrategia.We recommend this approach.

Diagrama de seguridad

Siga estos pasos para planear y ejecutar la estrategia para proteger los recursos en la nube y usar la nube para modernizar las operaciones de seguridad.Use these steps to plan and execute your strategy for securing your cloud assets and using the cloud to modernize security operations.

Paso 1: Establecimiento de procedimientos de seguridad esencialesStep 1: Establish essential security practices

La seguridad en la nube comienza con la aplicación de los procedimientos de seguridad más importantes para las personas, los procesos y los elementos tecnológicos del sistema.Security in the cloud starts with applying the most important security practices to the people, process, and technology elements of your system. Además, algunas decisiones arquitectónicas son fundamentales y muy difíciles de cambiar más adelante, por lo que deben aplicarse con cuidado.Additionally, some architectural decisions are foundational and are very difficult to change later so should be carefully applied.

Tanto si ya trabaja en la nube como si planea la adopción futura, se recomienda seguir estos 11 procedimientos de seguridad esenciales (además de cumplir con los requisitos de cumplimiento normativo explícitos).Whether you're already operating in the cloud or you're planning for future adoption, we recommend that you follow these 11 essential security practices (in addition to meeting any explicit regulatory compliance requirements).

Personas:People:

  1. Formación del equipo sobre el recorrido de seguridad de la nubeEducate teams about the cloud security journey
  2. Formación de equipos en tecnología de seguridad de la nubeEducate teams on cloud security technology

Proceso:Process:

  1. Asignación de responsabilidades para las decisiones de seguridad en la nubeAssign accountability for cloud security decisions
  2. Actualización de los procesos de respuesta a incidentes para la nubeUpdate incident response processes for cloud
  3. Establecimiento de la administración de la posición de seguridad en la nubeEstablish security posture management

Tecnología:Technology:

  1. Exigencia de autenticación sin contraseña o multifactorRequire passwordless or multi-factor authentication
  2. Integración del firewall nativo y seguridad de redIntegrate native firewall and network security
  3. Integración de la detección de amenazas nativaIntegrate native threat detection

Decisiones sobre la arquitectura fundamental:Foundational architecture decisions:

  1. Unificación en un único directorio e identidadStandardize on a single directory and identity
  2. Uso del control de acceso basado en identidades (en lugar de claves)Use identity-based access control (instead of keys)
  3. Establecimiento de una estrategia de seguridad unificadaEstablish a single unified security strategy

Nota

Cada organización debe definir sus propias normas mínimas,Each organization should define its own minimum standards. dado que la postura ante el riesgo y la tolerancia subsiguiente a ese riesgo pueden variar considerablemente en función del sector, la cultura y otros factores.Risk posture and subsequent tolerance to that risk can vary widely based on industry, culture, and other factors. Por ejemplo, es posible que un banco no tolere ningún daño potencial a su reputación, ni siquiera un ataque menor en un sistema de prueba.For example, a bank might not tolerate any potential damage to its reputation from even a minor attack on a test system. Algunas organizaciones aceptarían el mismo riesgo si significara la aceleración de la transformación digital en tres o seis meses.Some organizations would gladly accept that same risk if it accelerated their digital transformation by three to six months.

Paso 2: Modernización de la estrategia de seguridadStep 2: Modernize the security strategy

La seguridad efectiva en la nube requiere una estrategia que refleje el entorno de amenazas actual y la naturaleza de la plataforma en la nube que hospeda los recursos empresariales.Effective security in the cloud requires a strategy that reflects the current threat environment and the nature of the cloud platform that's hosting the enterprise assets. Una estrategia clara mejora los esfuerzos de todos los equipos para proporcionar un entorno de nube empresarial seguro y sostenible.A clear strategy improves the effort of all teams to provide a secure and sustainable enterprise cloud environment. La estrategia de seguridad debe permitir alcanzar resultados empresariales definidos, reducir el riesgo hasta un nivel aceptable y permitir que los empleados sean productivos.The security strategy must enable defined business outcomes, reduce risk to an acceptable level, and enable employees to be productive.

Una estrategia de seguridad en la nube aporta instrucciones a todos los equipos que trabajan en tecnologías, procesos y preparación de las personas para esta adopción.A cloud security strategy provides guidance to all teams working on the technology, processes, and people readiness for this adoption. La estrategia debe informar la arquitectura de la nube y las funcionalidades técnicas, guiar la arquitectura y las funcionalidades de seguridad, e influir en el entrenamiento y la educación de los equipos.The strategy should inform the cloud architecture and technical capabilities, guide the security architecture and capabilities, and influence the training and education of teams.

Resultados esperados:Deliverables:

El paso de la estrategia debe dar lugar a un documento que se pueda comunicar fácilmente a muchas partes interesadas de la organización.The strategy step should result in a document that can easily be communicated to many stakeholders within the organization. Entre estas podrían incluirse los ejecutivos del equipo de liderazgo de la organización.The stakeholders can potentially include executives on the organization's leadership team.

Se recomienda capturar la estrategia en una presentación con el fin de facilitar el análisis y la actualización.We recommended capturing the strategy in a presentation to facilitate easy discussion and updating. Esta se puede apoyar en un documento, en función de la cultura y las preferencias.This presentation can be supported with a document, depending on the culture and preferences.

  • Presentación de la estrategia: Puede tener una sola presentación de la estrategia, o bien puede optar por crear también resúmenes para los encargados del liderazgo.Strategy presentation: You might have a single strategy presentation, or you might choose to also create summary versions for leadership audiences.

    • Presentación completa: Debe incluir el conjunto completo de elementos de la estrategia de seguridad en la presentación principal o en las diapositivas de referencia opcionales.Full presentation: This should include the full set of elements for the security strategy in the main presentation or in optional reference slides.
    • Resúmenes ejecutivos: Versiones que se van a usar con ejecutivos sénior y miembros del consejo, que podría contener solo elementos críticos pertinentes para su rol, como el apetito por el riesgo, las prioridades principales o los riesgos aceptados.Executive summaries: Versions to use with senior executives and board members might contain only critical elements relevant to their role, such as risk appetite, top priorities, or accepted risks.
  • También puede registrar las motivaciones, los resultados y las justificaciones comerciales en la plantilla de estrategia y plan.You can also record motivations, outcomes, and business justifications in the strategy and plan template.

Procedimientos recomendados para la creación de la estrategia de seguridad:Best practices for building security strategy:

Los programas adecuados incorporan estos elementos en el proceso de su estrategia de seguridad:Successful programs incorporate these elements into their security strategy process:

  • Alineación estrecha con la estrategia empresarial: El contrato de seguridad busca proteger el valor empresarial.Align closely to business strategy: Security's charter is to protect business value. Es fundamental alinear todos los esfuerzos de seguridad con ese propósito y minimizar el conflicto interno.It's critical to align all security efforts to that purpose and minimize internal conflict.

    • Genere un conocimiento compartido sobre requisitos empresariales, TI y seguridad.Build a shared understanding of business, IT, and security requirements.
    • Integre la seguridad pronto en la adopción de la nube para evitar las crisis de última hora ocasionadas por riesgos evitables.Integrate security early into cloud adoption to avoid last-minute crises from avoidable risks.
    • Use un enfoque ágil para establecer inmediatamente los requisitos mínimos de seguridad y mejorar continuamente las garantías de seguridad con el tiempo.Use an agile approach to immediately establish minimum security requirements and continuously improve security assurances over time.
    • Promueva el cambio de cultura de seguridad a través de acciones de liderazgo proactivas el intencionadas.Encourage security culture change through intentional proactive leadership actions.

    Para obtener más información, consulte Transformaciones, actitudes y expectativas.For more information, see Transformations, mindsets, and expectations.

  • Modernización de la estrategia de seguridad: La estrategia de seguridad debe incluir consideraciones para todos los aspectos del entorno de tecnología moderno, el panorama de amenazas actual y los recursos de la comunidad de seguridad.Modernize security strategy: The security strategy should include considerations for all aspects of modern technology environment, current threat landscape, and security community resources.

    • Adapte al modelo de responsabilidad compartida de la nube.Adapt to the shared responsibility model of the cloud.
    • Incluya todos los tipos de implementación de nube y multinube.Include all cloud types and multicloud deployments.
    • Prefiera los controles de nube nativa para evitar una fricción innecesaria y dañina.Prefer native cloud controls to avoid unnecessary and harmful friction.
    • Integre la comunidad de seguridad para seguirle el ritmo al progreso de los atacantes.Integrate the security community to keep up with the pace of attacker evolution.

Recursos relacionados para el contexto adicional:Related resources for additional context:


Equipo encargadoAccountable team Equipos responsables y auxiliaresResponsible and supporting teams
  • Equipo de liderazgo de seguridad (director de seguridad de la información (CISO) o equivalente)Security leadership team (chief information security officer (CISO) or equivalent)
  • Equipo de estrategia de la nubeCloud strategy team
  • Equipo de seguridad de la nubeCloud security team
  • Equipo de adopción de la nubeCloud adoption team
  • Equipo de centro de excelencia de la nube o TI centralizadoCloud center of excellence or central IT team
  • Aprobación de la estrategia:Strategy approval:

    Los ejecutivos y los líderes empresariales responsables de los resultados o riesgos de las líneas de negocio dentro de la organización deben aprobar esta estrategia.Executives and business leaders with accountability for outcomes or risks of business lines within the organization should approve this strategy. Este grupo puede incluir a la junta directiva, en función de la organización.This group might include the board of directors, depending on the organization.

    Paso 3: Desarrollo de un plan de seguridadStep 3: Develop a security plan

    La planeación pone en acción la estrategia de seguridad mediante la definición de resultados, hitos, escalas de tiempo y propietarios de las tareas.Planning puts the security strategy into action by defining outcomes, milestones, timelines, and task owners. Este plan también describe los roles y responsabilidades de los equipos.This plan also outlines the roles and responsibilities of the teams.

    El planeamiento de la seguridad y el planeamiento de la adopción de la nube no deben realizarse aisladamente.Security planning and cloud adoption planning should not be done in isolation. Es fundamental invitar al equipo de seguridad de la nube a los ciclos de planeamiento desde un principio con el fin de evitar la interrupción del trabajo o el aumento del riesgo debido a que los problemas de seguridad se detecten demasiado tarde.It's critical to invite the cloud security team into the planning cycles early, to avoid work stoppage or increased risk from security issues being discovered too late. El planeamiento de la seguridad funciona mejor con un conocimiento profundo y conciencia sobre el patrimonio digital y la cartera de TI existente, lo que es posible al estar totalmente integrados en el proceso de planeamiento de la nube.Security planning works best with in-depth knowledge and awareness of the digital estate and existing IT portfolio that comes from being fully integrated into the cloud planning process.

    Resultados esperados:Deliverables:

    • Plan de seguridad: Un plan de seguridad debe formar parte de la documentación principal de la planeación para la nube.Security plan: A security plan should be part of the main planning documentation for the cloud. Puede tratarse de un documento que use la estrategia y la plantilla de plan, un juego de diapositivas detalladas o un archivo de proyecto.It might be a document that uses the strategy and plan template, a detailed slide deck, or a project file. O bien puede ser una combinación de estos formatos, en función del tamaño, la cultura y los procedimientos estándar de la organización.Or it might be a combination of these formats, depending on the organization's size, culture, and standard practices.

      El plan de seguridad debe incluir todos los elementos siguientes:The security plan should include all of these elements:

      • Plan de funciones organizativas, para que los equipos sepan cómo cambiarán los roles y responsabilidades de seguridad actuales con la migración a la nube.Organizational functions plan, so teams know how current security roles and responsibilities will change with the move to the cloud.

      • Plan de aptitudes de seguridad: Para apoyar a los miembros del equipo cuando naveguen por los cambios significativos en la tecnología, los roles y las responsabilidades.Security skills plan to support team members as they navigate the significant changes in technology, roles, and responsibilities.

      • Arquitectura de seguridad y hoja de ruta de funcionalidades técnicas para guiar a los equipos técnicos.Technical security architecture and capabilities roadmap to guide technical teams.

        Microsoft ofrece arquitecturas y funcionalidades tecnológicas de referencia que le ayudarán a medida que cree su arquitectura y el mapa de ruta, entre otras:Microsoft provides reference architectures and technology capabilities to help you as you build your architecture and roadmap, including:

      • Plan de aprendizaje y conciencia sobre seguridad, para que todos los equipos tengan conocimientos básicos de seguridad esenciales.Security awareness and education plan, so all teams have basic critical security knowledge.

      • Marcado de confidencialidad de los recursos para designar recursos confidenciales mediante una taxonomía alineada con el impacto en la empresa.Asset sensitivity marking to designate sensitive assets by using a taxonomy aligned to business impact. Las partes interesadas del negocio, los equipos de seguridad y otras partes interesadas crean conjuntamente la taxonomía.The taxonomy is built jointly by business stakeholders, security teams, and other interested parties.

      • Cambios de seguridad en el plan de nube: Actualice otras secciones del plan de adopción de la nube para reflejar los cambios desencadenados por el plan de seguridad.Security changes to the cloud plan: Update other sections of the cloud adoption plan to reflect changes triggered by the security plan.

    Procedimientos recomendados para el planeamiento de la seguridad:Best practices for security planning:

    Es probable que el plan de seguridad sea más satisfactorio si su planeamiento adopta el enfoque siguiente:Your security plan is likely to be more successful if your planning takes the approach of:

    • Supuesto de un entorno híbrido: Esto incluye aplicaciones de software como servicio (SaaS) y entornos locales.Assume a hybrid environment: That includes software as a service (SaaS) applications and on-premises environments. También incluye varios proveedores de infraestructura en la nube como servicio (IaaS) y plataforma en la nube como servicio (PaaS), si procede.It also includes multiple cloud infrastructure as a service (IaaS) and platform as a service (PaaS) providers, if applicable.

    • Adopción de la seguridad ágil: Establezca primero los requisitos mínimos de seguridad y mueva todos los elementos no críticos a una lista de prioridades de pasos siguientes.Adopt agile security: Establish minimum security requirements first and move all noncritical items to a prioritized list of next steps. No debe ser un plan tradicional y detallado de 3 a 5 años.This should not be a traditional, detailed plan of 3-5 years. La nube y el entorno de las amenazas cambian demasiado rápido como para que este tipo de plan resulte útil.The cloud and threat environment change too fast to make that type of plan useful. El plan debe centrarse en el desarrollo de los pasos iniciales y del estado final:Your plan should focus on developing the beginning steps and end state:

      • Logros rápidos para el futuro inmediato que proporcione un gran impacto antes de que comiencen las iniciativas a largo plazo.Quick wins for the immediate future that will deliver a high impact before longer-term initiatives begin. Los períodos de tiempo pueden ir de 3 a 12 meses, según la cultura de la organización, las prácticas estándar y otros factores.The time frame can be 3-12 months, depending on organizational culture, standard practices, and other factors.
      • Una visión clara del estado final deseado para guiar el proceso de planeamiento de cada equipo (que puede tardar varios años en lograrse).Clear vision of the desired end state to guide each team's planning process (which might take multiple years to achieve).
    • Intercambio a grandes rasgos del plan: Aumente la conciencia de las partes interesadas, sus comentarios y su aceptación.Share the plan broadly: Increase awareness of, feedback from, and buy-in by stakeholders.

    • Cumplimiento de los resultados estratégicos: Asegúrese de que el plan se alinee y cumpla los resultados estratégicos descritos en la estrategia de seguridad.Meet the strategic outcomes: Ensure that your plan aligns to and accomplishes the strategic outcomes described in the security strategy.

    • Establezca la propiedad, responsabilidad y plazos: Asegúrese de que los propietarios de cada tarea estén identificados y se comprometan a completar esa tarea en un período de tiempo específico.Set ownership, accountability, and deadlines: Ensure that the owners for each task are identified and are committed to completing that task in a specific time frame.

    • Conexión con el lado humano de la seguridad: Involucre a la gente durante este período de transformación y hacia las nuevas expectativas; para ello:Connect with the human side of security: Engage people during this period of transformation and new expectations by:

      • Apoye activamente la transformación de los miembros del equipo una con comunicación clara y preparación sobre lo siguiente:Actively supporting team member transformation with clear communication and coaching on:

        • Qué habilidades tienen que aprender.What skills they need to learn.
        • Por qué tienen que aprenderlas (y las ventajas de hacerlo).Why they need to learn the skills (and the benefits of doing so).
        • Cómo obtendrán este conocimiento (y proporcionar recursos para ayudarles a aprender).How to get this knowledge (and provide resources to help them learn).

        Puede documentar el plan mediante la estrategia y la plantilla de plan.You can document the plan by using the strategy and plan template. Puede usar el entrenamiento de seguridad de Microsoft en línea para ayudar a educar a los miembros de los equipos.And you can use online Microsoft security training to help with education of your team members.

      • Hacer atractivo el aprendizaje sobre seguridad para ayudar a las personas a conectarse de forma auténtica con su parte de la protección de la organización.Making security awareness engaging to help people genuinely connect with their part of keeping the organization safe.

    • Revisión de las guías y aprendizajes de Microsoft: Microsoft ha publicado información y perspectivas para ayudar a las organizaciones a planificar su transformación a la nube, así como una estrategia de seguridad moderna.Review Microsoft learnings and guidance: Microsoft has published insights and perspectives to help your organization plan its transformation to the cloud and a modern security strategy. El material incluye aprendizaje grabado y documentación, así como procedimientos y estándares recomendados de seguridad.The material includes recorded training, documentation, and security best practices and recommended standards.

      Para obtener una guía técnica que le ayude a crear el plan y la arquitectura, consulte la documentación de seguridad de Microsoft.For technical guidance to help build your plan and architecture, see the Microsoft security documentation.


    Equipo encargadoAccountable team Equipos responsables y auxiliaresResponsible and supporting teams
  • Equipo de seguridad de la nubeCloud security team
  • Equipo de estrategia de la nubeCloud strategy team
  • Equipo de gobernanza de la nubeCloud governance team
  • Cualquier equipo de riesgo de su organizaciónAny risk teams in your organization
  • Equipo de centro de excelencia de la nube o TI centralizadoCloud center of excellence or central IT team
  • Aprobación del plan de seguridad:Security plan approval:

    El equipo de liderazgo de seguridad (CISO o equivalente) debe aprobar el plan.The security leadership team (CISO or equivalent) should approve the plan.

    Paso 4: Protección de las nuevas cargas de trabajoStep 4: Secure new workloads

    Es mucho más fácil empezar en un estado seguro que incluir la seguridad en su entorno más adelante.It's a lot easier to start in a secure state than to retrofit security later into your environment. Se recomienda encarecidamente comenzar con una configuración segura para asegurarse de que las cargas de trabajo se migren, desarrollen y prueben en un entorno seguro.We strongly recommend starting with a secure configuration to ensure that workloads are migrated to, and developed and tested in, a secure environment.

    Durante la implementación de la zona de aterrizaje, muchas decisiones pueden afectar a los perfiles de seguridad y riesgo.During landing zone implementation, many decisions can affect security and risk profiles. El equipo de seguridad de la nube debe revisar la configuración de la zona de aterrizaje para asegurarse de que cumple los estándares y requisitos de seguridad de las bases de referencia de seguridad de su organización.The cloud security team should review the landing zone configuration to ensure that it meets the security standards and requirements in your organization's security baselines.

    Resultados esperados:Deliverables:

    • Asegúrese de que las nuevas zonas de aterrizaje cumplan los requisitos de seguridad y cumplimiento de la organización.Ensure that new landing zones meet the organization's compliance and security requirements.

    Guía para la consecución de los resultados esperados:Guidance to support deliverable completion:

    • Combinación de los requisitos existentes y las recomendaciones de la nube: Comience por la guía recomendada y, después, adáptela a sus propios requisitos de seguridad.Blend existing requirements and cloud recommendations: Start with recommended guidance and then adapt this to your unique security requirements. Hemos visto dificultades en los intentos de aplicar directivas y estándares locales existentes, ya que a menudo hacen referencia a los enfoques de seguridad o tecnología obsoletos.We have seen challenges with trying to enforce existing on-premises policies and standards, because these often refer to outdated technology or security approaches.

      Microsoft ha publicado una guía para ayudarle a crear las bases de referencia de seguridad:Microsoft has published guidance to help you build your security baselines:

    • Límites de protección: Entre las medidas de seguridad se debe incluir la auditoría y cumplimiento de directivas automatizados.Provide guardrails: Safeguards should include automated policy auditing and enforcement. En estos nuevos entornos, los equipos deben esforzarse por auditar y aplicar las bases de referencia de seguridad de la organización.For these new environments, teams should strive to both audit and enforce the organization's security baselines. Estas iniciativas pueden ayudar a minimizar las sorpresas de seguridad durante el desarrollo de las cargas de trabajo, así como la integración continua y la implementación continua (CI/CD) de las cargas de trabajo.These efforts can help minimize security surprises during the development of workloads, as well as continuous integration and continuous deployment (CI/CD) of workloads.

      Microsoft proporciona varias funcionalidades nativas de Azure para permitir esto:Microsoft provides several native capabilities in Azure to enable this:

      • Puntuación de seguridad: Use una evaluación puntuada de la posición de seguridad de Azure para realizar un seguimiento de las iniciativas y proyectos de seguridad de su organización.Secure score: Use a scored assessment of your Azure security posture to track security efforts and projects in your organization.
      • Azure Blueprints. Los arquitectos de nube y los grupos de TI centralizado pueden definir un conjunto repetible de recursos de Azure que implemente y cumpla los estándares, patrones y requisitos de la organización.Azure Blueprints: Cloud architects and centralized IT groups can define a repeatable set of Azure resources that implements and adheres to an organization's standards, patterns, and requirements.
      • Azure Policy: Esta es la base de las funcionalidades de visibilidad y control que usan los otros servicios.Azure Policy: This is the foundation of the visibility and control capabilities that the other services use. Azure Policy está integrado en Azure Resource Manager, por lo que puede auditar los cambios y aplicar las directivas en cualquier recurso de Azure antes, durante o después de su creación.Azure Policy is integrated into Azure Resource Manager, so you can audit changes and enforce policies across any resource in Azure before, during, or after its creation.
      • Mejora de las operaciones en la zona de aterrizaje: Aproveche los procedimientos recomendados para mejorar la seguridad dentro de una zona de aterrizaje.Improve landing zone operations: Use best practices for improving security within a landing zone.

    Equipo encargadoAccountable team Equipos responsables y auxiliaresResponsible and supporting teams
  • Equipo de seguridad de la nubeCloud security team
  • Equipo de adopción de la nubeCloud adoption team
  • Equipo de plataforma de la nubeCloud platform team
  • Equipo de estrategia de la nubeCloud strategy team
  • Equipo de gobernanza de la nubeCloud governance team
  • Equipo de centro de excelencia de la nube o TI centralizadoCloud center of excellence or central IT team
  • Paso 5: Protección de las cargas de trabajo en la nube existentesStep 5: Secure existing cloud workloads

    Muchas organizaciones ya han implementado recursos en entornos de nube empresarial sin aplicar los procedimientos recomendados de seguridad, lo que genera un mayor riesgo empresarial.Many organizations have already deployed assets to enterprise cloud environments without applying the security best practices, creating increased business risk.

    Después de asegurarse de que las nuevas aplicaciones y zonas de aterrizaje sigan los procedimientos recomendados de seguridad, debe centrarse en llevar los mismos estándares a los entornos existentes.After you ensure that new applications and landing zones follow security best practices, you should focus on bringing existing environments up to the same standards.

    Resultados esperados:Deliverables:

    • Asegurarse de que todos los entornos de nube y zonas de aterrizaje cumplan los requisitos de seguridad y cumplimiento de la organización.Ensure that all existing cloud environments and landing zones meet the organization's compliance and security requirements.
    • Probar el grado de preparación operativa de las implementaciones de producción mediante las directivas para la base de referencia de seguridad.Test operational readiness of production deployments by using policies for security baselines.
    • Validar el cumplimiento de la guía de diseño y los requisitos de seguridad para la base de referencia de seguridad.Validate adherence to design guidance and security requirements for security baselines.

    Guía para la consecución de los resultados esperados:Guidance to support deliverable completion:

    • Utilice las mismas bases de referencia de seguridad que ha creado en el paso 4 como estado ideal.Use the same security baselines that you built in Step 4 as your ideal state. Quizá deba ajustar algunos valores de la configuración de directiva para que realizar solo la auditoría, en lugar de aplicar los requisitos.You might have to adjust some policy settings to only audit instead of enforcing them.
    • Equilibre el riesgo operativo y de seguridad.Balance operational and security risk. Ya que estos entornos pueden hospedar sistemas de producción que habilitan procesos empresariales críticos, puede que necesite implementar mejoras de seguridad de manera incremental para evitar el riesgo de padecer un tiempo de inactividad operativo.Because these environments might host production systems that enable critical business processes, you might need to implement security improvements incrementally to avoid risking operational downtime.
    • Clasifique por orden de prioridad la detección y corrección del riesgo de seguridad según su importancia empresarial.Prioritize the discovery and remediation of security risk by business criticality. Comience con las cargas de trabajo que tienen un gran impacto en la empresa si están en peligro, así como las que tienen una alta exposición a riesgos.Start with workloads that have a high business impact if compromised and workloads that have a high exposure to risk.

    Para obtener más información, consulte Identificar y clasificar aplicaciones críticas para la empresa.For more information, see Identify and classify business-critical applications.


    Equipo encargadoAccountable team Equipos responsables y de apoyoResponsible and supporting teams
  • Equipo de adopción de la nubeCloud adoption team
  • Equipo de adopción de la nubeCloud adoption team
  • Equipo de estrategia de la nubeCloud strategy team
  • Equipo de seguridad de la nubeCloud security team
  • Equipo de gobernanza de la nubeCloud governance team
  • Equipo de centro de excelencia de la nube o TI centralizadoCloud center of excellence or central IT team
  • Paso 6: Control para administrar y mejorar la postura de seguridadStep 6: Govern to manage and improve security posture

    Al igual que todas las disciplinas modernas, la seguridad es un proceso iterativo que debe centrarse en la mejora continua.Like all modern disciplines, security is an iterative process that should focus on continuous improvement. La postura de seguridad también puede decaer si las organizaciones no mantienen su atención en ella a lo largo del tiempo.Security posture can also decay if organizations don't sustain focus on it over time.

    La aplicación uniforme de los requisitos de seguridad proviene de disciplinas de gobernanza y soluciones automatizadas.Consistent application of security requirements comes from sound governance disciplines and automated solutions. Después de que el equipo de seguridad en la nube defina las bases de referencia de seguridad, estos requisitos deberán auditarse para asegurarse de que se apliquen de forma coherente a todos los entornos de nube (y se apliquen cuando corresponda).After the cloud security team defines the security baselines, those requirements should be audited to ensure they're applied consistently to all cloud environments (and enforced where applicable).

    Resultados esperados:Deliverables:

    Guía para la consecución de los resultados esperados:Guidance to support deliverable completion:


    Equipo encargadoAccountable team Equipos responsables y de apoyoResponsible and supporting teams
  • Equipo de gobernanza de la nubeCloud governance team
  • Equipo de estrategia de la nubeCloud strategy team
  • Equipo de seguridad de la nubeCloud security team
  • Equipo de centro de excelencia de la nube o TI centralizadoCloud center of excellence or central IT team
  • Pasos siguientesNext steps

    Los pasos de esta guía le ayudaron a implementar la estrategia, los controles, los procesos, las aptitudes y la cultura necesarios para administrar de forma coherente los riesgos de seguridad en toda la empresa.The steps in this guide have helped you implement the strategy, controls, processes, skills, and culture needed to consistently manage security risks across the enterprise.

    A medida que avance en el modo de operaciones de seguridad en la nube, tenga en cuenta los siguientes pasos:As you continue into the operations mode of cloud security, consider these next steps: