Protección de la infraestructura de nube de Microsoft

Transcripción

1 Protección de la infraestructura de nube de Microsoft Este documento presenta al lector el equipo Online Services Security and Compliance, una parte de la división Global Foundation Services, que administra la seguridad de la infraestructura de nube de Microsoft. Los lectores conocerán lo que significan las aplicaciones en la nube para Microsoft en la actualidad, y cómo la compañía proporciona una infraestructura de aplicaciones en la nube de confianza. Publicación: mayo de

2 Contenido Resumen ejecutivo... 3 Retos de la seguridad de las aplicaciones en la nube... 4 Cómo se enfrenta Microsoft a estos retos... 5 Qué es el entorno de aplicaciones en la nube de Microsoft?... 6 Equipo Online Services Security and Compliance... 6 Trustworthy Computing en Microsoft... 7 Privacidad... 8 Seguridad... 9 Programa de seguridad de la información... 9 Procesos de administración de riesgos Administración de la continuidad empresarial Administración de incidentes de seguridad Cumplimiento normativo global contra actos delictivos Cumplimiento operativo Uso de un enfoque de defensa en profundidad Seguridad física Seguridad de la red Seguridad de los datos Administración de identidades y acceso Seguridad de las aplicaciones Auditoría e información de la seguridad del host Conclusión Recursos adicionales

3 Resumen ejecutivo En una reciente investigación sobre las nuevas definiciones de nube, aplicaciones en la nube y entorno de nube, se ha intentado identificar lo que los clientes esperan de los proveedores de servicios en la nube y clasificar lo que estos proveedores dicen que ofrecen. La idea de que adquirir servicios de un entorno de nube puede permitir a los responsables de la toma de decisiones tecnológicas ahorrar dinero y hacer posible que las compañías se centren en su negocio principal es una propuesta tentadora en la situación económica actual. Muchos analistas consideran las nuevas posibilidades de precios y suministros de servicios online como un elemento perjudicial para las condiciones del mercado. Estos estudios de mercado y el consiguiente diálogo entre los clientes potenciales y los proveedores de servicios, muestran que han surgido algunas posibles barreras para una rápida adopción de los servicios en la nube. Entre éstas, encabezan la lista las preocupaciones sobre la seguridad, la privacidad, la fiabilidad y el control operativo. Microsoft reconoce que los responsables de la toma de decisiones tecnológicas tienen muchas dudas acerca de estos problemas, además de la necesidad de saber cómo se pueden solucionar en el entorno de aplicaciones en la nube de Microsoft, y las implicaciones que tendrán en la gestión de riesgos y en las operaciones. En este documento se muestra cómo el uso coordinado y estratégico de las personas, procesos, tecnologías y capacidades tiene como resultado una mejora continua de la seguridad en el entorno de nube de Microsoft. El equipo Online Services Security and Compliance (OSSC), perteneciente a la división Global Foundation Services (GFS), se basa en los mismos procesos y principios que Microsoft ha desarrollado durante años de experiencia en la administración de los riesgos de la seguridad en los entornos tradicionales de desarrollo y operaciones. 3

4 Retos de la seguridad de las aplicaciones en la nube El sector de tecnología de la información se enfrenta a los retos que acompañan a las oportunidades de las aplicaciones en la nube. Durante más de 15 años, Microsoft ha dado respuesta a los siguientes retos del suministro de servicios online: Los nuevos modelos de negocios en la nube crean una interdependencia creciente entre las entidades de los sectores público y privado y las personas a las que prestan servicio: la interdependencia entre estas organizaciones y sus clientes aumentará con el uso de la nube. Con estas nuevas dependencias, surgen expectativas mutuas de que los servicios de plataforma y las aplicaciones hospedadas sean seguros y estén disponibles. Microsoft proporciona una infraestructura fiable, una base sobre la que las entidades de los sectores público y privado, así como sus socios, pueden crear una experiencia de confianza para sus usuarios. Microsoft trabaja activamente con estos grupos y la comunidad de desarrollo para fomentar la adopción de procesos de administración de riesgos centrados en la seguridad. La aceleración de la adopción de servicios en la nube, así como la continua evolución de las tecnologías y los modelos de negocio, crean un entorno de hosting dinámico que supone un reto para la seguridad: seguir el ritmo del crecimiento y anticiparse a las futuras necesidades es fundamental para mantener un programa de seguridad eficaz. La última oleada de cambios ya ha comenzado, con un rápido movimiento hacia la virtualización y la creciente adopción de la estrategia Software-plus-Services de Microsoft, que combina la eficacia y las capacidades de los equipos informáticos, los dispositivos móviles, los servicios online y el software empresarial. La llegada de las plataformas en la nube permite el desarrollo de aplicaciones personalizadas por parte de terceros y hospedadas en la nube de Microsoft. A través del programa de seguridad de la información de los servicios online que se describe de forma más detallada en este documento, Microsoft mantiene estrechas asociaciones internas con los equipos de seguridad, productos y prestación de servicios para ofrecer un entorno en la nube de confianza mientras se producen estos cambios. Los intentos de infiltración o desestabilización de las ofertas de servicios online se sofistican cada vez más, a medida que aumenta el comercio y el negocio en este escenario: mientras que los usuarios malintencionados siguen llamando la atención a través de varias técnicas, como la ciberokupación y los ataques de tipo "Man in the middle", han surgido intentos más sofisticados con el fin de obtener identidades o bloquear el acceso a datos empresariales confidenciales, junto con un mercado clandestino más organizado para la información robada. Microsoft trabaja estrechamente con las administraciones judiciales, sus socios y colegas del sector, así como con grupos de investigación, para conocer y dar una respuesta a este panorama cambiante de las amenazas. Además, el ciclo de vida de desarrollo de la seguridad de Microsoft, que se describe más adelante en este documento, acomete la seguridad y la privacidad antes y durante el proceso de desarrollo. Se debe responder a complejos requisitos de cumplimiento de normativas a medida que los servicios nuevos y existentes se suministran globalmente: el cumplimiento de normativas, ya sean legales o del sector (denominadas simplemente "normativas" en el resto de este documento) es una área muy compleja, ya que cada país puede aprobar y aprueba sus propias leyes para regir el suministro y el uso de los entornos en línea. Microsoft debe ser capaz de cumplir una gran cantidad de obligaciones normativas, ya que tiene centros de datos en varios países y ofrece servicios online a una base de clientes mundial. Además, algunos sectores imponen sus propios requisitos. Microsoft ha implementado un marco de cumplimiento normativo (que se describe más adelante en este documento) mediante el cual administra con eficacia sus distintas obligaciones de cumplimiento sin que ello suponga una carga innecesaria para el negocio. 4

5 Cómo se enfrenta Microsoft a estos retos Desde el lanzamiento de MSN en 1994, Microsoft ha estado creando y ejecutando servicios online. La división GFS administra la infraestructura y la plataforma en la nube para los Servicios Online de Microsoft, incluida la garantía de disponibilidad para cientos de millones de clientes en todo el mundo, todos los días durante las 24 horas. Más de 200 servicios online y portales web de la compañía se hospedan en esta infraestructura de nube, incluidos los servicios dirigidos a los consumidores familiares como Windows Live Hotmail y Live Search, así como los servicios dirigidos a los negocios de los Servicios Online de Microsoft, como Microsoft Dynamics CRM Online y Microsoft Business Productivity Online Standard Suite. Tanto si la información personal del consumidor se almacena en su propio equipo o en un emplazamiento en línea, o si los datos fundamentales de una organización se almacenan localmente o en un servidor hospedado para enviarlos a través de Internet, para Microsoft todos estos entornos deben proporcionar una experiencia de Trustworthy Computing. Como compañía, Microsoft se encuentra en una posición privilegiada para ofrecer tanto orientación como soluciones tecnológicas que proporcionen una experiencia en línea más segura. Para ayudar a los clientes a evitar pérdidas financieras y otras consecuencias de los ataques en línea oportunistas y dirigidos a objetivos concretos, y como parte de su compromiso inquebrantable con la iniciativa Trustworthy Computing, Microsoft garantiza que las personas, los procesos y las tecnologías que emplea la compañía proporcionan experiencias, productos y servicios más seguros y capaces de mejorar la privacidad. Microsoft proporciona una nube de confianza a través de su enfoque en tres áreas: Uso de un programa de seguridad de la información basado en la evaluación de riesgos, que analiza y prioriza las amenazas operativas y de seguridad para el negocio. Mantenimiento y actualización de un conjunto de controles de seguridad detallados capaces de mitigar los riesgos. Uso de un marco de cumplimiento normativo que garantiza que los controles están diseñados correctamente y se utilizan con eficacia. En este documento se describe cómo Microsoft protege los datos del cliente y las operaciones del negocio a través de un programa de seguridad de la información integral y una metodología avanzada para la administración de directivas y el cumplimiento normativo, una evaluación interna y externa frecuente de las prácticas y las capacidades, y controles de seguridad sólidos en todos los niveles de servicio. Estos procesos y mecanismos son la forma en la que Microsoft cumple los estándares del sector y asegura el cumplimiento de todas las leyes, directivas, estatutos y normas aplicables, al mismo tiempo que suministra servicios online a una base de clientes mundial. Aunque en este documento se mencionen las políticas de privacidad, el objetivo no es analizarlas en profundidad ni ser una guía de las operaciones de privacidad. Puede encontrar información sobre cómo responde Microsoft a estas necesidades en la página de privacidad de Microsoft Trustworthy Computing. 5

6 Qué es el entorno de aplicaciones en la nube de Microsoft? El entorno de aplicaciones en la nube de Microsoft está compuesto por la infraestructura física y lógica, así como las aplicaciones hospedadas y los servicios de plataforma. GFS proporciona la infraestructura física y lógica de la nube de Microsoft, así como numerosos servicios de la plataforma. La infraestructura física incluye las instalaciones de los centros de datos, así como el hardware y los componentes que sirven de apoyo a los servicios y las redes. En Microsoft, la infraestructura lógica consta de instancias de sistema operativo, redes enrutadas y almacenamiento de datos sin estructurar, tanto si se ejecutan en objetos físicos como virtuales. Entre los servicios de plataforma, se incluyen el cálculo del tiempo de ejecución (como Internet Information Services,.NET Framework, Microsoft SQL Server ), almacenes de identidades y directorios (como Active Directory y Windows Live ID), servicios de nombres (DNS), así como otras funciones avanzadas utilizadas por los Servicios Online. Los servicios de plataforma en la nube de Microsoft, como los servicios de infraestructura, pueden ser virtuales o reales. Las aplicaciones en línea que se ejecutan en la nube de Microsoft incluyen tanto productos sencillos como complejos diseñados para diferentes clientes. Estos servicios online, así como los requisitos de seguridad y privacidad correspondientes, se pueden agrupar en términos generales como ofertas de: Servicios para consumidores y pequeñas empresas: entre los ejemplos, se encuentran Windows Live Messenger, Windows Live Hotmail, Live Search, Xbox LIVE y Microsoft Office Live. Servicios empresariales: como Microsoft Dynamics CRM Online y Microsoft Business Productivity Online Standard Suite, incluidos Exchange Online, SharePoint Online y Office Live Meeting. Servicios hospedados de terceros: se incluyen aplicaciones y soluciones basadas en web desarrolladas y operadas por terceros, que utilizan los servicios de plataforma proporcionados a través del entorno de aplicaciones en la nube de Microsoft. Equipo Online Services Security and Compliance El equipo OSSC, perteneciente a la división GFS, es el responsable del programa de seguridad de la información de la infraestructura de nube de Microsoft, incluidas las directivas y programas que se utilizan para administrar los riesgos de la seguridad en línea. La misión del equipo OSSC es habilitar servicios online de confianza que ofrezcan una ventaja competitiva a Microsoft y a sus clientes. Al ubicar esta función en el nivel de la infraestructura de nube, todos los servicios en la nube de Microsoft pueden aprovechar las ventajas de las economías de escala y la menor complejidad a través del uso de soluciones de seguridad compartidas. Este enfoque estándar también permite que cada uno de los equipos de servicio de Microsoft se dedique a las necesidades de seguridad propias de sus clientes. El equipo OSSC se hace cargo de proporcionar una experiencia de confianza en la nube de Microsoft a través del 6

7 programa de seguridad de la información de Microsoft, que utiliza un modelo operativo basado en los riesgos y un enfoque de defensa en profundidad para los controles. Esto incluye revisiones regulares de la gestión de riesgos y el desarrollo y mantenimiento de un marco de control de seguridad, así como un esfuerzo continuado para garantizar el cumplimiento normativo en actividades tales como el desarrollo del centro de datos y la respuesta a las solicitudes de las administraciones judiciales de todo el mundo. Este equipo aplica también las prácticas recomendadas a lo largo de todo el ciclo de vida de los Servicios Online y de cada elemento de la infraestructura, incluyendo una gran variedad de revisiones internas y externas. La estrecha relación de trabajo con otros equipos de Microsoft tiene como resultado un enfoque integral de las aplicaciones de seguridad de la nube de Microsoft. Al operar una infraestructura de nube mundial para multitud de empresas, surge la necesidad de cumplir las obligaciones del cumplimiento normativo y responder al escrutinio de los auditores externos. Los requisitos que se auditan provienen de mandatos de la administración o del sector, directivas internas y prácticas recomendadas de la industria. El programa OSSC garantiza que las expectativas de cumplimiento normativo se evalúen e incorporen continuamente. Como resultado del programa de seguridad de la información, Microsoft ha obtenido las principales certificaciones, como la de la Organización Internacional de Normalización y la Sociedad Internacional de Electroquímica 27001:2005 (ISO/IEC 27001:2005) y atestaciones Tipo I y Tipo II de la Declaración sobre nomas de auditoría (SAS) 70, además de superar con más eficacia las auditorías regulares de terceros independientes. Trustworthy Computing en Microsoft La principal motivación para crear un programa de seguridad eficaz es disponer de una cultura que sea consciente de la seguridad y la valore en consecuencia. Microsoft reconoce que esta cultura debe ser dirigida y apoyada por los directivos de la compañía. El equipo de liderazgo de Microsoft lleva mucho tiempo comprometido con la realización de inversiones y el uso de incentivos adecuados para impulsar un comportamiento seguro. En 2002, la compañía creó la iniciativa Trustworthy Computing con Bill Gates, con el compromiso de que Microsoft cambiara de forma fundamental su misión y su estrategia en diversas áreas principales. En la actualidad, Trustworthy Computing es un valor corporativo fundamental de Microsoft, que sirve de guía a casi todo lo que hace la compañía. La base de esta iniciativa son estos cuatro pilares: privacidad, seguridad, fiabilidad y prácticas empresariales. Para obtener más información acerca de esta iniciativa, consulte la página de Microsoft Trustworthy Computing. Microsoft es consciente de que el éxito en un negocio que cambia con tanta rapidez como el de los servicios online depende de la seguridad y la privacidad de los datos de los clientes, así como de la disponibilidad y la solidez de los servicios que se ofrecen. Microsoft diseña y prueba con esmero aplicaciones e infraestructuras para los estándares reconocidos internacionalmente, con el fin de demostrar estas capacidades y el cumplimiento de las leyes y las directivas relacionadas con la seguridad interna y la privacidad. Como resultado, los clientes de Microsoft se benefician de unas pruebas y una supervisión más pormenorizadas, un suministro automático de revisiones, una economía de escala que permite ahorrar, y unas mejoras continuas de la seguridad. 7

8 Privacidad Microsoft se esfuerza por proteger la privacidad y la seguridad de sus clientes, incluidos el cumplimiento de todas las leyes de privacidad aplicables y el seguimiento de las estrictas prácticas que se detallan en las declaraciones de privacidad de Microsoft. Con el fin de crear un entorno de confianza para los clientes, Microsoft desarrolla software, servicios y procesos teniendo en cuenta su privacidad. Los equipos de Microsoft se preocupan por cumplir las leyes de privacidad globales, por lo que las prácticas de privacidad de la compañía se derivan, en parte, de las leyes de privacidad de todo el mundo. Así, Microsoft sigue el ejemplo de estas leyes de privacidad y aplica estos estándares de forma global. Microsoft está comprometido con la protección de la seguridad de la información personal. Los equipos responsables del suministro de servicios online utilizan diversas tecnologías y procedimientos de seguridad para proteger la información personal frente al acceso, el uso o la divulgación no autorizados. Los equipos de desarrollo de software de Microsoft aplican los principios PD3+C, definidos en el ciclo de vida de desarrollo de la seguridad (SDL), en todas las prácticas operativas y de desarrollo de la compañía: Privacidad por diseño: Microsoft utiliza este principio de varias formas durante el desarrollo, el lanzamiento y el mantenimiento de las aplicaciones, con el fin de garantizar que los datos recopilados de los clientes se destinen a una finalidad determinada y que se informe al cliente puntualmente para que pueda tomar decisiones informadas. Si los datos que se van a recopilar están clasificados como altamente confidenciales, se pueden tomar medidas de seguridad adicionales, como el cifrado mientras están en tránsito o almacenados, o en ambos casos. Privacidad predeterminada: Microsoft pide permiso a los clientes antes de recopilar o transferir datos confidenciales. Una vez que recibe la autorización, estos datos se protegen por ejemplo mediante listas de control de acceso (ACL) combinadas con mecanismos de autenticación de identidades. Privacidad en la implementación: Microsoft revela mecanismos de privacidad a las organizaciones clientes de forma apropiada para permitirles establecer directivas de privacidad y seguridad para sus usuarios. Comunicaciones: Microsoft se relaciona activamente con el público a través de la publicación de directivas de privacidad, artículos técnicos y otros documentos relativos a la privacidad. Para obtener más información acerca del compromiso de Microsoft con la privacidad, consulte la página de privacidad de Microsoft Trustworthy Computing. 8

9 Seguridad Microsoft sigue adaptando la infraestructura de nube de la compañía para aprovechar las ventajas de las nuevas tecnologías, como la virtualización. Estos avances tienen como resultado una separación de los activos de información de una infraestructura física común para muchos tipos de objetos de cliente. Si esto se combina con el hecho de que el proceso de desarrollo de software para las aplicaciones en línea hospedadas suele ser más ágil con lanzamientos más frecuentes, el resultado es que la administración de los riesgos de seguridad de la información se tiene que adaptar para ofrecer un experiencia de Trustworthy Computing. En las secciones siguientes de este documento se ofrece una visión en profundidad acerca de cómo el equipo OSSC de Microsoft aplica los elementos fundamentales de la seguridad y los esfuerzos que realiza la compañía para administrar los riesgos en la infraestructura de nube de Microsoft. También se describe el significado del enfoque de defensa en profundidad para la seguridad de los servicios online y cómo el entorno de aplicaciones en la nube ofrece nuevos enfoques a las medidas de seguridad. Programa de seguridad de la información El programa de seguridad de la información en línea de Microsoft define cómo opera OSSC. El British Standards Institute (BSI) Management Systems America ha certificado de forma independiente que este programa cumple el estándar ISO/IEC 27001:2005. Para ver los certificados de ISO/IEC 27001:2005, consulte la página Certificate/Client Directory Search Results. El programa de seguridad organiza los requisitos de seguridad entre los dominios de nivel superior administrativo, técnico y físico. Los criterios de estos dominios representan la base desde la que se administra cada riesgo. Comenzando por las protecciones y los controles identificados en los dominios y en sus subcategorías, el programa de seguridad de la información sigue la pauta del estándar ISO/IEC27001:2005 de Planear, hacer, verificar, actuar. 9

10 El OSSC define los cuatro pasos de la estructura tradicional (Planear, Hacer, Verificar, Actuar) de un programa ISO de seguridad de la información, como se indica a continuación: Planear a. Toma de decisiones basada en riesgos: mediante la asignación de prioridades a las actividades principales y la asignación de recursos, OSSC crea un plan de acción de seguridad basado en la evaluación de los riesgos. Los objetivos individuales y de la organización contenidos en este plan responden a actualizaciones de directivas, estándares operativos y controles de seguridad en GFS y en muchos grupos de productos. b. Requisitos de documentos: OSSC establece expectativas claras que definen el grado necesario para obtener atestaciones y certificaciones de terceros a través de un marco de control documentado. Este marco proporciona requisitos de un modo claro, coherente y conciso. Hacer a. Implementar los controles adecuados: puesta en marcha de controles basados en el plan de acción de seguridad por los equipos de operaciones, productos y prestación de servicios. b. Operar los controles: OSSC implementa y opera muchos controles directamente como, por ejemplo, aquellos que se utilizan para garantizar el cumplimiento normativo global contra actos delictivos, con el fin de administrar las amenazas a la infraestructura y asegurar físicamente los centros de datos. El resto de medidas se mantienen y se ponen en vigor mediante los equipos de operaciones, productos y prestación de servicios. Verificar a. Medir y mejorar: OSSC evalúa la actividad de control de forma continua. Se pueden agregar controles adicionales o existentes modificados para garantizar el cumplimiento de los objetivos que se describen en la directiva de seguridad de la información y el marco de control. Actuar a. Validar la eficacia del programa: tanto los equipos internos como los auditores externos revisan de forma periódica el programa de seguridad de la información como parte de sus esfuerzos continuados para validar la eficacia del programa. b. Ajustar para mantener la relevancia: OSSC evalúa el programa de seguridad de la información y su marco de control con los requisitos y los estándares legislativos, normativos, del negocio y del sector con el fin de identificar áreas de mejora y validar si se están cumpliendo los objetivos. Como resultado, la tecnología y los planes de negocio de Microsoft se han actualizado para responder al impacto de los cambios operativos. Ningún programa de seguridad está completo si no se satisface la necesidad de aprendizaje del personal. Microsoft crea y suministra cursos sobre seguridad para asegurarse de que todos los grupos implicados en la creación, la implementación, el manejo y el soporte técnico de los servicios online hospedados en la infraestructura de nube conozcan sus responsabilidades relacionadas con las directivas de seguridad de la información para los Servicios Online de Microsoft. En este programa de aprendizaje se enseñan los principales principios orientativos que se deben aplicar cuando se considera cada nivel del enfoque de defensa en profundidad de Microsoft para proteger los servicios online. Además, Microsoft anima a los clientes empresariales y a los desarrolladores de software de terceros a aplicar estos mismos principios a la hora de desarrollar aplicaciones y prestar servicios a través del uso de la infraestructura de nube de Microsoft. 10

11 Procesos de administración de riesgos El análisis y la resolución de las vulnerabilidades de la seguridad en los sistemas en línea interdependientes son más complejos y pueden requerir más tiempo que aquellos que se encuentran en los sistemas de TI tradicionales. La administración de riesgos y las revisiones correspondientes se deben adaptar a este entorno dinámico. Microsoft utiliza procesos maduros basados en una larga experiencia en la prestación de servicios en la Web para administrar estos nuevos riesgos. El personal de OSSC trabaja conjuntamente con equipos de operaciones y propietarios de negocios en muchos grupos de productos y prestación de servicios de Microsoft para administrar estos riesgos. El programa de seguridad de la información establece los procesos estándar y los requisitos de documentación necesarios para llevar a cabo la toma de decisiones continua basada en los riesgos. A través del programa de administración de los riesgos de la seguridad (SRMP), se llevan a cabo evaluaciones de riesgos en varios niveles y se informa de la asignación de prioridades en diversas áreas, como los planes de lanzamiento de productos, el mantenimiento de directivas y la asignación de recursos. Todos los años se lleva a cabo una evaluación integral de las amenazas para la infraestructura de nube de Microsoft que conduce a revisiones adicionales a lo largo del año. Este trabajo continuado está centrado en aquellas amenazas que podrían ser más perjudiciales. A través de este proceso, Microsoft asigna prioridades y dirige el desarrollo de los controles de seguridad y las actividades relacionadas. La metodología SRMP evalúa la eficacia del control frente a las amenazas mediante: 11 Identificación de amenazas y vulnerabilidades para el entorno Cálculo de los riesgos Información de los riesgos del entorno de nube de Microsoft Respuesta a los riesgos basada en la evaluación del impacto y el caso empresarial asociado Pruebas de la eficacia de las soluciones y riesgo residual Administración continuada de los riesgos Administración de la continuidad empresarial Muchas organizaciones que consideran la posibilidad de utilizar aplicaciones en la nube formulan preguntas sobre la disponibilidad y la resistencia del servicio. El hosting de aplicaciones y el almacenamiento de datos en un entorno de nube ofrecen nuevas opciones de disponibilidad y resistencia, así como opciones de copia de seguridad de los datos y de recuperación. El programa de continuidad empresarial de Microsoft utiliza las prácticas recomendadas del sector para crear y adaptar capacidades de esta área con el fin de responder a nuevas aplicaciones a medida que se encuentren disponibles en el entorno de nube de Microsoft. Microsoft utiliza un proceso continuo de administración para asegurarse de que se dan los pasos necesarios para identificar el impacto de las posibles pérdidas y mantener estrategias y planes de recuperación viables, así como para garantizar la continuidad de los productos y los servicios. Conocer todos los recursos (personas, equipos y sistemas) necesarios para ejecutar una tarea o llevar a cabo un proceso es fundamental a la hora de crear un plan apropiado para cuando se produzca un desastre. La falta de revisión, mantenimiento y pruebas del plan es uno de los mayores riesgos asociados con la posibilidad de que se produzca una pérdida catastrófica y, por ello, el programa hace algo más que simplemente registrar los procedimientos de recuperación. Microsoft utiliza el ciclo de vida de desarrollo del plan de administración empresarial para crear y mantener planes de recuperación ante desastres en seis fases, como se muestra en la ilustración siguiente:

12 Microsoft se ocupa del servicio y la recuperación de datos después de haber realizado un análisis de dependencias a través de la identificación de dos objetivos relacionados con la recuperación de los activos: Objetivo de tiempo de recuperación (RTO): cantidad de tiempo máxima que se puede admitir la pérdida de un proceso, función o recurso crítico antes de que tenga un impacto negativo grave en la empresa. Objetivo de punto de recuperación (RPO): cantidad de datos máxima que se puede mantener durante un evento, que se considera generalmente en términos relacionados con el tiempo transcurrido entre la última copia de seguridad de los datos y el momento en que se produjo la interrupción. Dado que la identificación y la clasificación de los activos es un proceso continuo que forma parte de la administración de riesgos de la infraestructura de aplicaciones en la nube de Microsoft, el plan de recuperación ante desastres implica que estos objetivos se puedan aplicar con más rapidez a la hora de evaluar si se deben implementar o no estrategias de recuperación durante un desastre. Microsoft valida estas estrategias a través de la realización de ejercicios que incluyen ensayos, pruebas, aprendizaje y mantenimiento. 12

13 Administración de incidentes de seguridad Los controles de la seguridad y los procesos de administración de riesgos de los que dispone Microsoft para proteger la infraestructura de nube reducen el riesgo de que se produzcan incidentes de seguridad, aunque sería muy ingenuo creer que no se producirán ataques malintencionados en el futuro. El equipo de administración de incidentes de seguridad (SIM) de OSSC responde a estos problemas cuando se producen y funciona las 24 horas del día, todos los días del año. La misión de este equipo consiste en evaluar y mitigar con rapidez y precisión los incidentes de seguridad que repercutan en los Servicios Online de Microsoft y, al mismo tiempo, ofrecer información relevante a la alta dirección y a otras partes implicadas de Microsoft. El proceso de respuesta a incidentes del equipo SIM consta de seis fases: Preparación: el personal de SIM se somete a un aprendizaje continuo con el fin de estar preparado para responder cuando se produzca un incidente de seguridad. Identificación: buscar la causa de un incidente, tanto intencionado como accidental, suele implicar el seguimiento del problema a través de varios niveles del entorno de aplicaciones en la nube de Microsoft. El equipo SIM colabora con los miembros de otros equipos internos de Microsoft para diagnosticar el origen de un incidente de seguridad determinado. Contención: una vez que se ha encontrado la causa del incidente, el equipo SIM trabaja con todos los equipos necesarios para contenerlo. La forma de llevar a cabo la contención depende del impacto del incidente en la empresa. Mitigación: el equipo SIM se coordina con los equipos suministro de productos y servicios apropiados para reducir el riesgo de recurrencia del incidente. Recuperación: si es necesario, el equipo SIM sigue trabajando con otros grupos para colaborar en el proceso de recuperación del servicio. Lecciones aprendidas: después de resolver el incidente de seguridad, el equipo SIM convoca una reunión conjunta con todo el personal implicado para evaluar lo que ha ocurrido y registrar lo aprendido durante el proceso de respuesta a incidentes. El equipo SIM es capaz de detectar problemas con prontitud y de mitigar la interrupción de los servicios gracias a alianzas entre equipos. Por ejemplo, SIM está estrechamente alineado con los equipos de operaciones, incluido el Centro de respuestas de seguridad de Microsoft (para obtener más información, consulte la página Microsoft Security Response Center). Esta relación permite al equipo SIM obtener con rapidez una visión integral de un incidente a medida que ocurre. El servicio de respuesta del equipo SIM también consulta con los propietarios de los activos para determinar la gravedad del incidente en función de varios factores, como las interrupciones posibles o adicionales del servicio y el riesgo de daños para la reputación. Cumplimiento normativo global contra actos delictivos El programa de cumplimiento normativo global contra actos delictivos de OSSC participa en la definición de directivas y el aprendizaje del proceso de respuesta de Microsoft. GCC también responde a las solicitudes legales válidas de información. GCC dispone de agentes legales disponibles en muchos países capaces de validar y, si es necesario, traducir la solicitud. Uno de los motivos por los que muchas autoridades internacionales consideran el GCC como un programa 13

14 de respuesta óptimo es que proporciona un portal para administraciones judiciales que ofrece orientación en varios idiomas al personal de las mismas sobre la forma de enviar una solicitud legal a Microsoft. GCC ofrece aprendizaje a los profesionales de las administraciones judiciales. Además ofrece aprendizaje al personal de todos los niveles de Microsoft acerca de la responsabilidad de la retención de datos y la privacidad. El aprendizaje interno y el trabajo con las directivas sigue evolucionando a medida que Microsoft agrega centros de datos en ubicaciones internacionales, lo que amplía el ámbito de los requisitos de la normativa internacional. GCC desempeña un papel fundamental en el conocimiento y la implementación de procesos que tienen en cuenta diversas leyes internacionales y en su aplicación a los consumidores y los clientes empresariales que confían en los servicios online de Microsoft. Cumplimiento operativo El entorno de los Servicios Online de Microsoft debe cumplir numerosos requisitos de seguridad de la administración y específicos del sector, además de las propias especificaciones del negocio de Microsoft. A medida que los negocios en línea de Microsoft sigan creciendo y cambiando, y se incorporen nuevos servicios online a la nube de Microsoft, se esperan requisitos adicionales, entre los que se podrían incluir estándares de seguridad de los datos específicos de un área o un país. El equipo de cumplimiento operativo trabaja con los equipos de suministro de operaciones, productos y servicios, así como con auditores internos y externos, para asegurase de que Microsoft cumpla los estándares apropiados y las obligaciones normativas. En la lista siguiente se presenta información general de algunas de las evaluaciones y auditorías a las que se somete regularmente el entorno de nube de Microsoft: Estándar de seguridad de los datos para el sector de las tarjetas de pago: requiere una revisión y validación anual de los controles de seguridad relacionados con las transacciones de las tarjetas de crédito. Media Ratings Council: está relacionado con la integridad de la generación y el procesamiento de datos del sistema de publicidad. Sarbanes-Oxley: se auditan anualmente sistemas seleccionados para validar el cumplimiento de los procesos principales relacionados con la integridad de los informes financieros. Ley sobre responsabilidad y portabilidad de seguros de salud: especifica directrices sobre privacidad, seguridad y recuperación ante desastres del almacenamiento electrónico de registros sobre la salud. Auditorías internas y evaluaciones de la privacidad: las evaluaciones tienen lugar a lo largo de un año determinado. Cumplir todas estas obligaciones de auditoría se convirtió en un importante reto para Microsoft. Después de estudiar los requisitos, Microsoft determinó que muchas de las auditorías y las evaluaciones requerían la evaluación de los mismos controles y procesos operativos. Al reconocer la oportunidad de eliminar esfuerzos redundantes, simplificar los procesos y administrar las expectativas de cumplimiento normativo de forma proactiva y de un modo más integral, OSSC desarrolló un marco de cumplimiento integral. Este marco y los procesos asociados están basados en una metodología de cinco pasos que se describe en la ilustración siguiente: 14

15 Identificar e integrar los requisitos: se definen el ámbito y los controles aplicables. Se recopilan y se revisan los procedimientos operativos estándar (SOP) y los documentos del proceso. Evaluar y solucionar carencias: se identifican y se solucionan las carencias de los controles del proceso o tecnológicos. Probar la eficacia y evaluar el riesgo: se mide la eficacia de los controles y se informa sobre ella. Obtener certificaciones y atestaciones: tiene lugar la colaboración con las autoridades y los auditores de terceros. Mejorar y optimizar: si se encuentra un incumplimiento, la causa raíz se documenta y se evalúa. Se realiza un seguimiento de estos resultados hasta que se soluciona por completo. Esta fase también incluye la optimización de los controles de los dominios de seguridad con el fin de aumentar la eficacia a la hora de superar futuras revisiones de auditoría y certificación. Uno de los éxitos de la implementación de este programa es que la infraestructura de nube de Microsoft ha obtenido las atestaciones SAS 70 Tipo I y Tipo II y la certificación ISO/IEC 27001:2005. Este logro demuestra el compromiso de Microsoft con el suministro de una infraestructura de aplicaciones en la nube, debido a lo siguiente: El certificado ISO/IEC 27001:2005 valida que Microsoft ha implementado los controles de seguridad de la información reconocidos internacionalmente que se definen en este estándar y las atestaciones SAS 70 demuestran la voluntad de Microsoft para mostrar sus programas de seguridad internos al escrutinio externo. 15

16 Uso de un enfoque de defensa en profundidad Disponer de un enfoque de defensa en profundidad es un elemento fundamental del modo que tiene Microsoft de ofrecer una infraestructura de nube de confianza. La aplicación de controles en varios niveles implica el empleo de mecanismos de protección, el desarrollo de estrategias de mitigación y la capacidad de responder a los ataques cuando se producen. El uso de varias medidas de seguridad de diferente intensidad (dependiendo de la sensibilidad del activo protegido) tiene como resultado una mayor capacidad para evitar errores de seguridad o reducir el impacto de un incidente de seguridad. La llegada de las aplicaciones en la nube no cambia este principio (que la intensidad de los controles depende de la sensibilidad del activo) ni la importancia de la administración de los riesgos de la seguridad. El hecho de que en un entorno de aplicaciones en la nube se puedan virtualizar más activos tiene como consecuencia cambios en el análisis del riesgo y en el modo de aplicar controles de seguridad a los niveles de defensa en profundidad tradicionales (físico, red, datos, acceso a identidades, autorización y autenticación del acceso, así como hosting). Los servicios online, incluidos los servicios de infraestructura y plataforma proporcionados por GFS, aprovechan las ventajas de la virtualización. Como resultado, los clientes que usan servicios hospedados en la nube de Microsoft pueden tener activos que no se puedan asociar fácilmente con un presencia física. Los datos se pueden almacenar virtualmente y distribuirse entre varias ubicaciones. Este hecho básico implica que la identificación de controles de seguridad y la determinación del modo de usarlos para implementar un enfoque en niveles con el fin de proteger los activos deben evolucionar. De todos modos, se deben tomar medidas de seguridad físicas y para la red. No obstante, el punto central de la administración de riesgos se acerca más al nivel del objeto y a los elementos que se utilizan en el entorno de nube: por ejemplo, los contenedores de datos estáticos o dinámicos, los objetos de máquina virtual y los entornos en tiempo de ejecución en el que se producen los cálculos. Los diferentes controles implementados hacen uso de métodos de seguridad y dispositivos físicos y de red tradicionales para asegurarse de que la entidad, se trate de una persona que desea obtener acceso a un edificio de centro de datos o de un proceso de cálculo que solicite acceso a datos del cliente almacenados dinámicamente en el entorno de nube de Microsoft, esté autenticada y autorizada para el acceso que solicita. También existen medidas para asegurase de que los servidores y las instancias del sistema operativo que se ejecutan en la infraestructura de nube de Microsoft son suficientemente resistentes frente a los ataques. En esta sección se ofrece información general sobre algunos de los procesos y controles que usa Microsoft para responder a la seguridad de los centros de datos, el hardware y las comunicaciones de red, y los host de servicios. Seguridad física El uso de sistemas técnicos para automatizar la autorización para obtener acceso y la autenticación para determinadas protecciones ha cambiado a medida que ha avanzado la tecnología de seguridad. El cambio del uso de aplicaciones empresariales implementadas en hardware y software ubicado físicamente en la empresa, a la utilización del software como servicio y Software-plus-Services es otro avance. Estos cambios necesitan ajustes adicionales en el modo en que las organizaciones se aseguran de que sus activos están protegidos. OSSC administra la seguridad física de todos los centros de datos de Microsoft, algo que resulta fundamental para mantener las instalaciones en funcionamiento, así como para proteger los datos del cliente. En todas las instalaciones se utilizan procedimientos establecidos y precisos en el diseño y las operaciones de seguridad. Microsoft garantiza el establecimiento de perímetros externos e internos, con un mayor control en cada nivel del perímetro. El sistema de seguridad aplica el uso combinado de soluciones tecnológicas, como cámaras, biometría, lectores de 16

17 tarjetas y alarmas con medidas de seguridad tradicionales como bloqueos y claves. Los controles operativos se incorporan para facilitar la supervisión automática y la notificación temprana en caso de que se produzca un error o un problema de seguridad, y permiten el control de gastos a través de la entrega de documentación que se puede auditar del programa de seguridad física del centro de datos. En la lista siguiente se ofrecen más ejemplos del modo de aplicar controles a la seguridad física de Microsoft: Restricción de acceso al personal del centro de datos: Microsoft proporciona requisitos de seguridad con los que se revisan los empleados y los contratistas del centro de datos. Además de las disposiciones contractuales del personal del emplazamiento, se aplica un nivel de seguridad adicional en el centro de datos para el personal que trabaja en la instalación. El acceso se restringe mediante la aplicación de una política de privilegios mínimos, de manera que sólo el personal fundamente está autorizado a administrar las aplicaciones y los servicios del cliente. Respuesta a los requisitos de los datos con gran impacto en la empresa: Microsoft ha desarrollado requisitos mínimos más estrictos para los activos clasificados como altamente confidenciales que para aquellos con confidencialidad baja o moderada en los centros de datos que se utilizan para proporcionar servicios online. Los protocolos de seguridad estándar relacionados con la identificación, los tokens de acceso y el registro y la vigilancia de la entrada del emplazamiento establecen con claridad el tipo de autenticación que se necesita. En el caso del acceso a activos altamente confidenciales, se necesita una autenticación de varios factores. Centralización de la administración de acceso a los activos físicos: a medida que Microsoft aumenta el número de centros de datos utilizados para ofrecer servicios online, se ha desarrollado una herramienta para administrar el control de acceso a los activos físicos que, además, proporciona registros que se pueden auditar a través de la centralización de flujo de trabajo para solicitud, aprobación y concesión de acceso a los centros de datos. Esta herramienta opera mediante el uso del principio de proporcionar el mínimo acceso necesario, e incorpora un flujo de trabajo para obtener aprobaciones de varias fuentes de autorización. Se puede configurar en función de las condiciones del emplazamiento y permite un acceso más eficaz a los detalles del historial con el fin de elaborar informes y cumplir las auditorías. Seguridad de la red Microsoft aplica varios niveles de seguridad en función de los dispositivos del centro de datos y las conexiones de red. Por los ejemplo, se utilizan controles de seguridad en los planos de control y administración. Se ha implementado hardware especializado, como equilibradores de carga, firewalls y dispositivos de prevención de intrusiones con el fin de administrar ataques de denegación de servicio basada en volumen (DoS). Los equipos de administración de la red aplican listas de control de acceso (ACL) por niveles a las redes de área local virtuales (VLAN) segmentadas y las aplicaciones, si es necesario. A través del hardware de red, Microsoft utiliza funciones de puerta de enlace de aplicaciones para realizar una profunda inspección de los paquetes y llevar a cabo acciones como, por ejemplo, enviar alertas basadas en (o bloquear) tráfico de red sospechoso. Existe una infraestructura de DNS interna y externa redundante globalmente para el entorno de nube de Microsoft. La redundancia proporciona tolerancia a errores y se obtiene a través de clústeres de servidores de DNS. Otros controles mitigan la denegación de servicio distribuida (DDoS) y envenenamiento de caché o ataques contaminantes. Por ejemplo, las ACL de los servidores de DNS y las zonas de DNS restringen el acceso de escritura en los registros de DNS al personal autorizado. En todos los servidores de DNS se utilizan nuevas funciones de seguridad, como la aleatorización de identificadores de consulta, del último software de DNS seguro. Los clústeres de DNS se supervisan continuamente para detectar software no autorizado y la configuración de la zona de DNS cambia para detectar otros eventos de servicio perjudiciales. 17

18 DNS forma parte de Internet a nivel global y requiere la participación de muchas organizaciones para proporcionar este servicio. Microsoft participa en muchas de ellas, como DNS Operations Analysis and Research Consortium (DNS-OARC), formada por expertos en DNS de todo el mundo. Seguridad de los datos Microsoft clasifica los activos para determinar la intensidad de los controles de seguridad que aplica. Estas categorías tienen en cuenta el potencial relativo de daños financieros y de la reputación que supondría el activo implicado en un incidente de seguridad. Una vez realizada la clasificación, se utiliza un enfoque de defensa en profundidad para determinar las protecciones que son necesarias. Por ejemplo, los activos de datos incluidos en la categoría de impacto moderado están sujetos a cifrado cuando se encuentran en medios extraíbles o participan en transferencias en red externas. Los datos con alto impacto, además de estos requisitos, están sujetos a cifrado para almacenamiento, así como para transferencias internas en el sistema y en red. Todos los productos de Microsoft deben cumplir los estándares de cifrado de SDL, que incluyen los algoritmos de cifrado aceptables e inaceptables. Por ejemplo, se necesitan claves superiores a 128 bits para cifrado simétrico. Cuando se utilizan algoritmos asimétricos, se necesitan claves de bits o superiores. Administración de identidades y acceso Microsoft utiliza un modelo de "según sea necesario" y "privilegios mínimos" para administrar el acceso a los activos. Si es posible, se utilizan controles de acceso basados en roles para asignar acceso lógico a funciones del trabajo o áreas de responsabilidad específicas, en lugar de hacerlo a un individuo. Estas directrices dictan que el acceso que no haya sido concedido explícitamente por el propietario del activo de acuerdo con un requisito empresarial identificado se deniega de forma predeterminada. Los individuos que estén autorizados a obtener acceso a un activo deberán usar las medidas apropiadas para obtener acceso. Los activos altamente confidenciales requieren autenticación multifactor, que incluye medidas como contraseña, tokens de hardware, tarjetas inteligentes o biometría. La conciliación de cuentas de usuario con las autorizaciones de uso se produce de forma continua para garantizar que el uso de un activo sea apropiado y necesario para realizar una actividad concreta. Las cuentas que ya no necesiten obtener acceso a un activo determinado se deshabilitan. Seguridad de las aplicaciones La seguridad de las aplicaciones es un elemento fundamental del enfoque de Microsoft a la protección de su entorno de aplicaciones en la nube. Las rigurosas prácticas de seguridad que emplean los equipos de desarrollo en Microsoft se formalizaron en un proceso denominado Ciclo de vida de desarrollo de la seguridad (SDL) en El proceso del SDL es independiente de la metodología de desarrollo y está completamente integrado en el ciclo de vida de desarrollo de la aplicación, desde el diseño hasta la respuesta. No se trata de una sustitución de las metodologías de desarrollo de software, como la cascada o Agile. En varias fases del proceso de SDL se enfatizan la educación y la formación, y además se especifica que se apliquen actividades y procesos concretos, cuando sea apropiado, a cada fase del desarrollo de software. La alta dirección de Microsoft sigue apoyando la norma de que SDL se aplique durante el proceso de desarrollo de productos de Microsoft, incluida la prestación de servicios online. OSSC desempeña un papel fundamental en la determinación de que SDL se aplique ahora y en el futuro a la creación de aplicaciones que se vayan a hospedar en la infraestructura de nube de Microsoft. 18

19 El proceso de SDL se describe en la siguiente ilustración: Comenzando por la fase de requisitos, el proceso SDL incluye varias actividades específicas cuando se considera con el desarrollo de aplicaciones que se van a hospedar en la nube de Microsoft: Requisitos: el objetivo principal de esta fase es identificar los principales objetivos de seguridad y, por otro lado, maximizar la seguridad del software y minimizar las interrupciones en el uso, la planeación y las programaciones del cliente. Esta actividad puede incluir un análisis operativo cuando se trata de aplicaciones hospedadas que se centren en definir cómo el servicio utilizará las conexiones de red y el transporte de mensajes. Diseño: los pasos críticos de seguridad de esta fase incluyen la documentación de la superficie de ataque potencial y la realización de modelado de amenazas. Al igual que en la fase de requisitos, se pueden identificar criterios del entorno cuando este proceso se lleve a cabo para una aplicación hospedada. Implementación: en esta fase se realizan la codificación y las pruebas. Evitar la creación de código con vulnerabilidades de seguridad y llevar a cabo los pasos para eliminar estos problemas, si existen, son las prácticas principales durante la implementación. Verificación: la fase beta tiene lugar cuando las nuevas aplicaciones se consideran funcionalmente completas. Durante esta fase, se presta mucha atención a determinar los riesgos de seguridad que están presentes cuando la aplicación se implementa en un escenario real y los pasos que se deben llevar a cabo para eliminar o mitigar los riesgos de la seguridad. Lanzamiento: durante esta fase se produce la revisión de seguridad final (FSR). Si es necesario, también se lleva a cabo una revisión de la seguridad operativa (OSR) antes de que la aplicación pueda lanzarse al entorno de nube de Microsoft. Respuesta: en el entorno de nube de Microsoft, el equipo de SIM asume el liderazgo para responder a los incidentes de seguridad y trabaja estrechamente con los equipos de suministro de productos y servicios, así como con los miembros del Centro de respuestas de seguridad de Microsoft para clasificar, investigar y solucionar los incidentes que se comuniquen. Para obtener más información acerca de SDL, consulte la página del ciclo de vida del desarrollo de seguridad de Microsoft (SDL). OSSC administra el proceso FSR, una revisión obligatoria de SDL, para los servicios online de Microsoft con el fin de 19

20 garantizar que se han cumplido los requisitos de seguridad apropiados antes de que se implementen nuevas aplicaciones en la infraestructura de nube de Microsoft. FSR es una revisión del cumplimiento de SDL de un equipo a lo largo del proceso de desarrollo. Durante este proceso, OSSC administra las tareas siguientes: Coordinación del equipo de productos: el equipo de desarrollo del producto debe cumplimentar cuestionarios y otros documentos. OSSC utiliza esta información para asegurarse de que se ha aplicado SDL correctamente durante el desarrollo. Revisión de los modelos de amenazas: Microsoft considera fundamentales los modelos de amenazas para desarrollar software seguro. OSSC analiza los modelos de amenazas realizados por los equipos de productos para comprobar si están completos y actualizados. La validación de que se han implementados los controles de mitigación para responder a todos los riesgos identificados también tiene lugar en esta revisión. Revisión de los errores de seguridad: se revisan todos los errores identificados durante el diseño, el desarrollo y las pruebas para asegurarse de que se solucionan los errores que puedan repercutir en la seguridad o la privacidad de los datos del cliente. Validación del uso de las herramientas: los equipos de desarrollo y pruebas de Microsoft utilizan herramientas de seguridad de software y patrones y prácticas de código documentados como parte del proceso de desarrollo. Esto puede mejorar en gran medida la seguridad del software, a través de la eliminación de vulnerabilidades comunes. OSSC se asegura de que los equipos de productos hayan hecho un uso correcto y apropiado de las herramientas, el código documentado, y los patrones y las prácticas disponibles para ellos. Además de administrar el proceso FSR, OSSC también se encarga de un proceso denominado revisión de la seguridad operativa (OSR). Este proceso consta de la revisión de las comunicaciones de red, la plataforma, la configuración del sistema, así como de la supervisión de las capacidades en relación con los estándares y las directrices de seguridad establecidos. El proceso OSR garantiza que los controles de seguridad apropiados formen parte de los planes operativos antes de que se conceda permiso para la implementación en la infraestructura de nube. Auditoría e información de la seguridad del host El incremento del tamaño y la complejidad del entorno se deben administrar con el fin de prestar servicios de confianza, bien administrados y con las revisiones necesarias. El análisis diario de los activos de la infraestructura proporciona una vista actual de las vulnerabilidades del sistema de host y permite a OSSC trabajar conjuntamente con los grupos de suministro de productos y servicios para administrar los riesgos asociados sin causar interrupciones innecesarias en el funcionamiento de los servicios online de Microsoft. Las pruebas de penetración realizadas por entidades internas y externas ofrecen información importante sobre la eficacia de los controles de seguridad en la infraestructura de nube de Microsoft. Los resultados de estas revisiones y la evaluación continua de los controles resultantes se utilizan posteriormente en los análisis, la supervisión y la solución de riesgos. La implementación automática de imágenes reforzadas del sistema operativo, junto con el uso activo de controles de las directivas del host, como la directiva de grupo, permiten a Microsoft controlar la adición de servidores a la infraestructura de nube de Microsoft. Una vez que se han implementado, los procesos de revisión operativa y el programa de administración de revisiones de Microsoft ofrecen una mitigación continua de los riesgos de seguridad a los sistemas host. 20