Llista de comprovació de recomanacions per a la seguretat
Aquesta llista de comprovació presenta un conjunt de recomanacions de seguretat per ajudar-vos a garantir que la vostra càrrega de treball sigui segura. Si no reviseu la llista de verificació i sospeseu les compensacions associades, podeu exposar el vostre disseny a riscos potencials. Avalueu a fons tots els aspectes descrits a la llista de verificació per millorar la vostra confiança en la seguretat de la vostra càrrega de treball.
Llista de comprovació
| Codi | Recomanació | |
|---|---|---|
| ☐ | SE:01 | Establiu una línia de base de seguretat alineada amb els requisits de compliment, els estàndards del sector i les recomanacions de la plataforma. Mesureu regularment l'arquitectura i les operacions de la càrrega de treball en funció de la línia de base per mantenir o millorar la vostra postura de seguretat al llarg del temps. |
| ☐ | SE:02 SE:02 |
Mantingueu un cicle de vida de desenvolupament segur mitjançant una cadena de subministrament de programari reforçada, majoritàriament automatitzada i auditable. Incorporeu un disseny segur mitjançant el modelatge d'amenaces per protegir-vos contra implementacions que anul·len la seguretat. |
| ☐ | SE:03 | Classifiqueu i apliqueu de manera coherent etiquetes de tipus de sensibilitat i informació a totes les dades i sistemes de càrrega de treball implicats en el processament de dades. Utilitzeu la classificació per influir en el disseny, la implementació i la priorització de la seguretat de la càrrega de treball. |
| ☐ | SE:04 | Creeu segmentació i perímetres intencionats en el disseny de la vostra arquitectura i en la petjada de la càrrega de treball a la plataforma. L'estratègia de segmentació ha d'incloure xarxes, rols i responsabilitats, identitats de càrrega de treball i organització de recursos. |
| ☐ | SE:05 | Implementeu una gestió d'identitat i accés (IAM) estricta, condicional i auditable a tots els usuaris de la càrrega de treball, membres de l'equip i components del sistema. Limitar l'accés exclusivament segons sigui necessari. Utilitzeu estàndards moderns del sector per a totes les implementacions d'autenticació i autorització. Restringir i auditar rigorosament l'accés que no es basa en la identitat. |
| ☐ | SE:06 | Xifreu les dades mitjançant mètodes moderns i estàndard del sector per protegir la confidencialitat i la integritat. Alineeu l'abast de xifratge amb les classificacions de dades i prioritzeu els mètodes de xifratge natius de la plataforma. |
| ☐ | SE:07 | Protegiu els secrets de l'aplicació reforçant el seu emmagatzematge i restringint l'accés i la manipulació i auditant aquestes accions. Executeu un procés de rotació fiable i regular que pugui improvisar rotacions per a emergències. |
| ☐ | SE:08 | Implementeu una estratègia de monitorització holística que es basi en mecanismes moderns de detecció d'amenaces que es puguin integrar amb la plataforma. Els mecanismes han d'alertar de manera fiable per al triatge i enviar senyals als processos SecOps existents. |
| ☐ | SE:09 | Establir un sistema de proves complet que combini enfocaments per prevenir problemes de seguretat, validar implementacions de prevenció d'amenaces i provar mecanismes de detecció d'amenaces. |
| ☐ | SE:10 | Definiu i proveu procediments de resposta a incidents efectius que cobreixin un espectre d'incidents, des de problemes localitzats fins a recuperació de desastres. Definiu clarament quin equip o individu executa un procediment. |