セキュリティ

AWS Audit Manager

Servicio que automatiza la recopilación de evidencias para auditorías de cumplimiento, evaluando continuamente el estado de conformidad con frameworks como SOC 2, PCI DSS y HIPAA

Unos 5 min de lectura

Descripción general

AWS Audit Manager es un servicio que automatiza la recopilación y evaluación de evidencias para auditorías de cumplimiento en entornos AWS. Ofrece frameworks preconfigurados de estándares de la industria como SOC 2, PCI DSS, HIPAA, GDPR y NIST 800-53, recopilando automáticamente evidencias de reglas AWS Config, registros CloudTrail y hallazgos de Security Hub. También soporta la carga de evidencias manuales, permitiendo construir flujos de trabajo de auditoría que integran verificación técnica automatizada y tareas de confirmación humana.

Estructura de frameworks y controles

El núcleo de Audit Manager es una estructura de 3 capas: framework, conjunto de controles y controles. El framework representa el estándar de auditoría completo (por ejemplo: SOC 2 Type II), que contiene conjuntos de controles (por ejemplo: control de acceso lógico), y dentro de estos se definen controles individuales (por ejemplo: verificación de habilitación de MFA). Se pueden usar los frameworks estándar proporcionados por AWS tal cual, pero en la práctica es frecuente crear frameworks personalizados que reflejen requisitos específicos de la organización. En los frameworks personalizados, se añaden controles basados en las políticas propias de la empresa a los controles estándar, combinando reglas personalizadas de AWS Config y elementos de verificación manual. A los controles se les asocian fuentes de datos, incorporando automáticamente como evidencia el estado de conformidad/no conformidad de AWS Config, registros de llamadas API de CloudTrail y hallazgos de Security Hub. Definir claramente la frecuencia de evaluación y el responsable de cada control en la fase de diseño del framework previene confusiones en la fase operativa.

Recopilación automática de evidencias y evidencias manuales

Audit Manager maneja 3 tipos de evidencias. El primero es de tipo verificación de cumplimiento, que obtiene automáticamente los resultados de evaluación de reglas AWS Config. El segundo es de tipo actividad de usuario, que extrae de CloudTrail llamadas API específicas (cambios de políticas IAM, cambios de configuración de buckets S3, etc.). El tercero es de tipo snapshot de configuración, que captura periódicamente el estado actual de configuración de los recursos. Para áreas que no pueden cubrirse solo con recopilación automática, se utilizan evidencias manuales. Por ejemplo, registros de asistencia a formación de seguridad, registros de control de acceso físico e informes de evaluación de proveedores se cargan como PDF o capturas de pantalla. Las evidencias se organizan en estructura de carpetas por evaluación y se vinculan por control, permitiendo a los auditores ver de un vistazo todas las evidencias para un control específico. La integración con Organizations permite recopilar evidencias de forma centralizada desde una cuenta de administrador delegado incluso en entornos multi-cuenta.

Generación de informes de evaluación y respuesta a auditorías

Al crear una evaluación (Assessment), se inicia la recopilación automática de evidencias basada en el framework especificado. El alcance de la evaluación se especifica como combinación de cuentas AWS y regiones, permitiendo limitar el objetivo de auditoría solo al entorno de producción. Las evidencias recopiladas se mapean automáticamente a cada control, y los responsables revisan y actualizan el estado. Una vez completada la revisión de todos los controles, se genera un informe de evaluación en PDF que se exporta a un bucket S3. Este informe incluye la lista de evidencias por control, un resumen de conformidad/no conformidad y comentarios de revisión manual, pudiendo usarse directamente como material de presentación a auditores externos. Como punto práctico, es efectivo ejecutar evaluaciones de forma continua y tomar snapshots trimestrales. En lugar de recopilar evidencias apresuradamente justo antes de la auditoría anual, construir un mecanismo donde las evidencias se acumulan diariamente reduce significativamente el esfuerzo de respuesta a auditorías.

共有するXB!

Términos relacionados

AWS ConfigAWS Security HubAWS CloudTrailAWS OrganizationsAmazon GuardDuty

Servicios relacionados

AWS ConfigAWS Security HubAWS CloudTrailAWS OrganizationsAmazon Inspector

Artículos relacionados

Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.El diseño de tags determina las operaciones - Curiosidades y reglas de nomenclatura prácticas de la estrategia de tags de recursos AWSExplicamos por qué los tags de recursos AWS no son simples etiquetas sino la base de la asignación de costos, control de acceso y automatización, las reglas de nomenclatura de claves de tags, cómo usar el límite de 50 tags y la gobernanza mediante políticas de tags.CloudTrail lo ve todo - Mecanismo de registro de llamadas API y práctica de investigación forenseExplicamos cómo CloudTrail registra las llamadas a la API de AWS, las diferencias entre eventos de administración y eventos de datos, el análisis SQL con CloudTrail Lake y las técnicas de investigación forense ante incidentes de seguridad.

Términos y artículos similares

Automatización de auditorías - Recopilación continua de evidencias de cumplimiento con AWS Audit ManagerExplica la recopilación automática de evidencias de auditoría con AWS Audit Manager. Presenta la evaluación automática basada en frameworks (SOC 2, PCI DSS, GDPR, etc.), gestión centralizada de evidencias y generación de informes de auditoría.AWS Audit ManagerUn servicio que automatiza la recopilación de evidencia y la evaluación para auditorías de cumplimientoMonitoreo continuo de cumplimiento con AWS Config - Evaluación de reglas y remediación automáticaExplicamos el registro de configuración de recursos con AWS Config, la evaluación de cumplimiento con reglas de Config y la configuración de acciones de remediación automática.Obtención de informes de cumplimiento con AWS Artifact - Respuesta a auditorías y gestión de contratosPresenta cómo obtener informes de auditoría SOC, PCI DSS e ISO bajo demanda, y aplicar BAA y GDPR DPA de forma masiva a toda la organización con Organizations.Diseño y operación de logs de auditoría - Registro completo de actividad API con CloudTrailExplica las técnicas de diseño de logs de auditoría con AWS CloudTrail, el registro de actividad API, el almacenamiento a largo plazo en S3 y la respuesta de cumplimiento mediante integración con Config.