© 2020, Amazon Web Services, Inc. o sus empresas afiliadas Selección de regiones ¿Cómo selecciona las regiones para la carga de trabajo? SUS 1 La elección de la región para su carga de trabajo afecta significativamente a sus KPI incluidos el rendimiento el coste y la huella de carbono Para mejorar eficazmente estos KPI debe elegir las regiones para sus cargas de trabajo basándose tanto en los requisitos empresariales como en los objetivos de sostenibilidad … Selección de regiones Alineación con la demanda ¿Cómo alinea los recursos en la nube con su demanda? SUS 2 La forma en que los usuarios y las aplicaciones consumen sus cargas de trabajo y otros recursos puede ayudarle a identificar las mejoras necesarias para alcanzar sus objetivos de sostenibilidad Escale la infraestructura para adaptarla continuamente a la demanda y compruebe que solo utiliza los recursos mínimos necesarios para prestar asistencia a sus usuarios Alinee los niveles de servicio con las necesidades de los clientes Posicione los recursos de forma que se limite el uso de red necesario para que los usuarios puedan consumirlos Elimine los activos sin usar Proporcione a los miembros de su equipo dispositivos que satisfagan sus necesidades con un impacto mínimo en la sostenibilidad … Alineación con la demanda Software y arquitectura ¿Cómo puede sacar partido de los patrones de software y arquitectura para respaldar sus objetivos de sostenibilidad? SUS 3 Implemente patrones que permitan suavizar la carga y mantener un uso elevado consistente de los recursos implementados para minimizar los recursos consumidos Puede haber componentes que queden inactivos debido a la falta de uso relacionada con los cambios en el comportamiento de los usuarios a lo largo del tiempo Revise los patrones y la arquitectura para consolidar los componentes infrautilizados a fin de incrementar el uso general Retire los componentes que ya no son necesarios Analice el rendimiento de los componentes de su carga de trabajo y optimice aquellos que consumen la mayor cantidad de recursos Tenga en cuenta los dispositivos que usan los clientes para acceder a sus servicios e implemente patrones para minimizar la necesidad de realizar actualizaciones de los dispositivos … Software y arquitectura Almacenamiento ¿Cómo puede aprovechar los patrones y las políticas de administración de datos para admitir sus objetivos de sostenibilidad? SUS 4 Implemente prácticas de administración de datos para reducir el almacenamiento aprovisionado que se necesita para admitir la carga de trabajo y los recursos necesarios para su uso Analice sus datos y use las configuraciones y tecnologías de almacenamiento que mejor admitan el valor empresarial de los datos y la forma en que se usan Haga que el ciclo de vida de los datos incluya un almacenamiento más eficaz y de menor rendimiento cuando disminuyan los requisitos y elimine los datos que ya no se requieran … Almacenamiento Hardware y servicios ¿Cómo selecciona y usa el hardware y los servicios en la nube de su arquitectura para lograr sus objetivos de sostenibilidad? SUS 5 Realice cambios en sus prácticas de administración de hardware como forma de reducir el impacto en la sostenibilidad de las cargas de trabajo Minimice la cantidad de hardware necesario para aprovisionar e implementar y seleccione el hardware más eficaz para su carga de trabajo individual … Hardware y servicios Proceso y cultura ¿De qué forma sus procesos organizativos respaldan los objetivos de sostenibilidad? SUS 6 Realice cambios en sus prácticas de desarrollo prueba e implementación como forma de reducir el impacto en la sostenibilidad … Proceso y cultura El impacto medioambiental, económico y social a largo plazo de sus actividades empresariales. La Comisión Mundial sobre el Medio Ambiente y el Desarrollo de las Naciones Unidas define el desarrollo sostenible como «aquel que permite satisfacer las necesidades del presente sin comprometer la habilidad de las futuras generaciones de satisfacer sus necesidades propias». Su organización o negocio puede tener repercusiones negativas en el medioambiente, como emisiones de carbono directas o indirectas, residuos no reciclables y daños a recursos compartidos, como el agua no contaminada. Sostenibilidad Administración financiera en la nube ¿Cómo implementar la administración financiera en la nube? COST 1  Con la adopción de la nube los equipos de tecnología innovan más rápido porque los ciclos de aprobación aprovisionamiento y despliegue de la infraestructura son más cortos Se necesita un nuevo enfoque de la administración financiera en la nube para obtener valor empresarial y éxito financiero Este enfoque es la administración financiera en la nube que permite desarrollar capacidades en toda la organización implementando su amplio conocimiento organizativo a la hora de diseñar programas recursos y procesos Muchas empresas constan de distintas unidades con distintas prioridades La habilidad de que la organización siga una serie acordada de objetivos financieros y que disponga de los mecanismos necesarios para cumplirlos hará que sea mucho más eficiente Una organización capaz innovará y diseñará más rápidamente será más ágil y se adaptará a factores internos o externos … Práctica de administración financiera en la nube Gobernanza del uso ¿Cómo controla el uso? COST 2 Supervisión del uso y el costo ¿Cómo supervisa sus costes y su uso? COST 3 Retirada de recursos ¿Cómo retira los recursos? COST 4 La mayor flexibilidad y agilidad que permite la nube fomenta la innovación además del desarrollo y la implementación rápidos Elimina los procesos manuales y el tiempo asociados al aprovisionamiento de la infraestructura en las instalaciones incluida la identificación de especificaciones de hardware la negociación de presupuestos de precios la administración de órdenes de compra la programación de envíos y la posterior implementación de los recursos Sin embargo la facilidad de uso y la capacidad bajo demanda prácticamente ilimitada requiere una nueva forma de pensar sobre los gastos Muchos negocios constan de varios sistemas ejecutados por varios equipos La capacidad de atribuir costos de recursos a los propietarios de organizaciones individuales o productos impulsa el comportamiento de uso eficiente y ayuda a reducir el desperdicio La atribución de costos precisa le ayuda a saber qué productos son realmente rentables y le permite tomar decisiones más informadas sobre dónde asignar presupuesto … Conocimiento del gasto y del uso Selección de servicios ¿Cómo evalúa el costo cuando selecciona servicios? COST 5 Selección del número, el tamaño y el tipo de recurso ¿Cómo cumple los objetivos de costos cuando selecciona el tipo, el tamaño y el número de recursos? COST 6 Selección de modelo de fijación de precios ¿Cómo utiliza los modelos de fijación de precios para reducir los costos? COST 7 Planificación de la transferencia de datos ¿Cómo planifica los gastos de transferencia de datos? COST 8 El uso de las instancias y los recursos adecuados para su carga de trabajo es clave para ahorrar costos Por ejemplo un proceso de informes puede tardar cinco horas en ejecutarse en un servidor pequeño pero una hora en un servidor más grande que es el doble de caro Ambos servidores proporcionan el mismo resultado pero el servidor más pequeño acarrea más costo a lo largo del tiempo Una carga de trabajo Well Architected usa los recursos más rentables lo que puede suponer un impacto económico positivo notable También tiene la oportunidad de usar servicios administrados para reducir los costos Por ejemplo en lugar de mantener servidores para entregar correos electrónicos puede usar un servicio que cobre por mensaje … Recursos rentables Administrar la demanda y el suministro de recursos ¿Cómo administra la demanda y aprovisiona los recursos? COST 9 Al migrar a la nube paga solo por lo que necesita Puede proporcionar recursos para que se adapten a la demanda de carga de trabajo en el momento que se requieran eliminando así la necesidad de sobreaprovisionamiento que es algo caro e inútil También puede modificar la demanda con un límite un búfer o una cola para suavizar la demanda y usar menos recursos lo que bajará el coste También puede procesarla más tarde con un servicio por lotes … Administrar la demanda y el suministro de recursos Evaluación de nuevos servicios ¿Cómo evalúa los servicios nuevos? COST 10 Evalúe el costo del esfuerzo ¿Cómo evalúa el costo del esfuerzo? COST 11 A medida que AWS lanza nuevos servicios y funciones se recomienda revisar las decisiones de diseño existentes para asegurarse de que sean las más rentables A medida que cambian sus requisitos retire de forma agresiva recursos servicios enteros y sistemas que ya no necesite … Optimizar a lo largo del tiempo Capacidad de ejecutar sistemas para ofrecer valor empresarial al menor precio posible. Optimización de costos Selección de la arquitectura ¿Cómo selecciona los patrones de arquitectura y los recursos de nube adecuados para su carga de trabajo? PERF 1 La solución óptima para una carga de trabajo concreta varía y las soluciones suelen combinar varios enfoques Las cargas de trabajo de Well Architected utilizan varias soluciones y habilitan diferentes características para mejorar el rendimiento … Selección de la arquitectura Computación y hardware ¿Cómo selecciona y utiliza los recursos de computación en su carga de trabajo? PERF 2 La elección óptima de computación para una carga de trabajo concreta puede variar en función del diseño de la aplicación los patrones de uso y los ajustes de configuración Las arquitecturas pueden usar diferentes opciones de computación para varios componentes y admiten diferentes características para mejorar el rendimiento Seleccionar la opción de computación incorrecta para una arquitectura puede disminuir la eficiencia del rendimiento … Computación y hardware Administración de datos ¿Cómo almacena, administra y accede a los datos de su carga de trabajo? PERF 3 La solución de administración de datos óptima para un sistema concreto varía según el tipo de datos bloque archivo u objeto patrones de acceso aleatorio o secuencial rendimiento requerido frecuencia de acceso en línea fuera de línea archivo frecuencia de actualización WORM dinámica y restricciones de disponibilidad y durabilidad Las cargas de trabajo Well Architected utilizan almacenes de datos diseñados de manera específica que admiten diferentes características para mejorar el rendimiento … Administración de datos Redes y entrega de contenido ¿Cómo selecciona y configura los recursos de red en su carga de trabajo? PERF 4 La solución de redes óptima para una carga de trabajo varía según los requisitos de latencia rendimiento fluctuaciones y ancho de banda Las limitaciones físicas como los recursos de usuario o locales determinan las opciones de ubicación Estas limitaciones pueden compensarse con las ubicaciones periféricas o la ubicación de los recursos … Redes y entrega de contenido Proceso y cultura ¿Qué proceso utiliza para aumentar la eficiencia del rendimiento de su carga de trabajo? PERF 5 Al diseñar cargas de trabajo hay principios y prácticas que puede adoptar para ayudarle a ejecutar mejor cargas de trabajo en la nube eficientes y de alto rendimiento … Proceso y cultura Es la capacidad de utilizar de forma eficaz los recursos informáticos para satisfacer los requisitos del sistema, así como de mantener la eficiencia a medida que la demanda cambia y las tecnologías evolucionan. Eficiencia del rendimiento Service Quotas y restricciones ¿Cómo administra las Service Quotas y las restricciones? REL 1 Topología de la red ¿Cómo planifica la topología de la red? REL 2 Los requisitos fundamentales son aquellos cuyo ámbito va más allá de una única carga de trabajo o proyecto Antes de diseñar la arquitectura de cualquier sistema los requisitos básicos que afectan a la fiabilidad deberían estar aplicados Por ejemplo es preciso que haya suficiente ancho de banda de la red en el centro de datos … Fundamentos Arquitectura de servicio ¿Cómo diseña la arquitectura de servicio de su carga de trabajo? REL 3 Diseñar interacciones para evitar errores ¿Cómo diseña las interacciones en un sistema distribuido para evitar los errores? REL 4 Diseñar interacciones para mitigar los errores ¿Cómo diseña las interacciones en un sistema distribuido para mitigar o tolerar los errores? REL 5 Una carga de trabajo fiable comienza por tomar decisiones de diseño anticipadas tanto para el software como para la infraestructura Sus elecciones respecto a la arquitectura afectarán al comportamiento de su carga de trabajo en los seis pilares de Well Architected Para la fiabilidad debe seguir patrones específicos … Arquitectura de la carga de trabajo Supervisión de recursos ¿Cómo supervisa los recursos de las cargas de trabajo? REL 6 Manejo de la demanda ¿Cómo diseña su carga de trabajo para que se adapte a los cambios en la demanda? REL 7 Administración de cambios ¿Cómo implementa los cambios? REL 8 Se deben prever y ajustar los cambios en la carga de trabajo o el entorno para lograr un funcionamiento fiable de la carga de trabajo Los cambios incluyen aquellos impuestos a la carga de trabajo como los picos de demanda además de los inherentes a ella como las implementaciones de funciones o los parches de seguridad … Administración de cambios Copia de seguridad de datos ¿Cómo realiza una copia de seguridad de los datos? REL 9 Aislamiento de errores ¿Cómo usa el aislamiento de errores para proteger su carga de trabajo? REL 10 Implementación de la resiliencia ¿Cómo diseña su carga de trabajo para que soporte los errores de los componentes? REL 11 Pruebas de fiabilidad ¿Cómo pone a prueba la fiabilidad? REL 12 Recuperación de desastres ¿Cómo planifica la recuperación de desastres (DR)? REL 13 De cualquier sistema con una complejidad razonable se esperan errores La fiabilidad requiere que la carga de trabajo conozca los errores a medida que ocurren y que actúe para evitar que afecten a la disponibilidad Las cargas de trabajo deben ser capaces de tolerar errores y de repararlos de forma automática … Administración de errores Incluye la capacidad de una carga de trabajo de llevar a cabo la función prevista de forma correcta y coherente cuando se espera que lo haga. Esto incluye la capacidad de utilizar y probar la carga de trabajo a lo largo de todo su ciclo de vida. En este documento, se incluye orientación sobre las prácticas recomendadas para la implementación de cargas de trabajo fiables en AWS. Fiabilidad Prioridades operativas ¿Cómo determina cuáles son sus prioridades? OPS 1 Modelo operativo ¿Cómo estructura su organización para respaldar los resultados empresariales? OPS 2 Cultura organizativa ¿Cómo ayuda la cultura de su organización a lograr los resultados empresariales? OPS 3  Sus equipos necesitan disponer de un entendimiento compartido de toda la carga de trabajo su rol en ella y los objetivos empresariales compartidos para establecer las prioridades que permitan alcanzar el éxito empresarial Unas prioridades bien definidas maximizarán los beneficios de sus esfuerzos Evalúe las necesidades de los clientes internos y externos e involucre a las partes interesadas clave incluidos los equipos de negocios desarrollo y operaciones para determinar dónde se deben centrar los esfuerzos La evaluación de las necesidades de los clientes le garantizará una comprensión profunda del apoyo que se necesita para lograr los resultados empresariales Compruebe que conoce las directrices y las obligaciones definidas por la gobernanza de la organización y los factores externos tales como los requisitos normativos de conformidad y los estándares del sector para asegurarse de que pueda exigir o aplicar un enfoque específico Valide la existencia de mecanismos para identificar cambios en la gobernanza interna y en los requisitos de cumplimiento externos Si no se identifican requisitos asegúrese de haber aplicado la medida necesaria a dicha determinación Revise sus prioridades con regularidad para poder actualizarlas a medida que cambien las necesidades Evalúe las amenazas a la empresa por ejemplo riesgos y responsabilidades empresariales amenazas a la seguridad de la información y mantenga dicha información en un registro de riesgos Evalúe el impacto de los riesgos y las compensaciones entre los intereses opuestos o los enfoques alternativos Por ejemplo la aceleración de la velocidad de comercialización de las nuevas funciones puede primar sobre la optimización de los costes o se puede elegir una base de datos relacional para los datos no relacionales para simplificar el esfuerzo de migración de un sistema Gestione los beneficios y los riesgos para tomar decisiones fundamentadas a la hora de determinar dónde centrar sus esfuerzos Algunos riesgos u opciones son aceptables durante un tiempo incluso se podrían mitigar los riesgos asociados pero también podría ser inaceptable permitir que un riesgo persista en cuyo caso se tomarán medidas para abordarlo Sus equipos deben comprender su papel en la consecución de los resultados empresariales Los equipos deben comprender el rol que tienen en el éxito de otros equipos conocer el rol de los demás equipos en su propio éxito y tener objetivos en común Comprender la responsabilidad la propiedad cómo se toman las decisiones y quién tiene autoridad para tomarlas ayudará a centrar los esfuerzos y a maximizar los beneficios de sus equipos Las necesidades de un equipo se verán determinadas por el cliente al que dan soporte su organización la composición del equipo y las características de su carga de trabajo No es razonable esperar que un único modelo operativo sea capaz de respaldar a todos los equipos y sus cargas de trabajo en la organización Asegúrese de que se haya identificado a los propietarios de cada aplicación carga de trabajo plataforma y componente de la infraestructura y de que cada proceso y procedimiento disponga de un propietario responsable de su definición y de propietarios responsables de su rendimiento Las acciones de los miembros del equipo se fundamentarán en la comprensión del valor empresarial de cada componente proceso y procedimiento el motivo por el cual se establecieron los recursos o se realizan determinadas actividades y la razón por la que esa propiedad existe Defina claramente las responsabilidades de los miembros del equipo para que puedan actuar de forma adecuada y disponer de mecanismos para identificar la responsabilidad y la propiedad Cuente con mecanismos para solicitar adiciones cambios y excepciones para no limitar la innovación Defina acuerdos entre los equipos que describan el trabajo conjunto para darse apoyo entre sí y respaldar los resultados de la empresa Preste asistencia a los miembros de su equipo para que puedan ser más eficaces a la hora de actuar y apoyar los resultado empresariales Los líderes comprometidos deben establecer expectativas y medir el éxito Deben ser los patrocinadores defensores e impulsores de la adopción de las prácticas recomendadas y de la evolución de la organización Empodere a los miembros del equipo para que actúen cuando los resultados corran algún riesgo para de este modo minimizar el impacto y anímelos a derivar hacia los responsables de la toma de decisiones y las partes interesadas cuando crean que exista un riesgo de manera que se pueda abordar y se eviten incidentes Proporcione una comunicación oportuna clara y procesable de los riesgos conocidos y de los eventos planificados para que los miembros del equipo puedan reaccionar de forma oportuna y adecuada Fomente la experimentación para acelerar el aprendizaje y mantener a los miembros del equipo interesados y comprometidos Los equipos deben aumentar el conjunto de habilidades para adoptar nuevas tecnologías y para apoyar los cambios en la demanda y las responsabilidades Para ello deberá establecer un horario estructurado dedicado a la formación Debe asegurarse de que los miembros del equipo dispongan de los recursos herramientas y miembros del equipo para lograr el éxito y derivar con el fin de lograr los resultados empresariales Aproveche la diversidad entre las organizaciones para buscar múltiples perspectivas únicas Utilice esta perspectiva para aumentar la innovación cuestionar sus suposiciones y reducir el riesgo de sesgo de confirmación Fomente la inclusión la diversidad y la accesibilidad en sus equipos para obtener perspectivas beneficiosas … Organización Implementación de la observabilidad ¿Cómo implementa la observabilidad en su carga de trabajo? OPS 4 Desarrollo e integración ¿Cómo reduce los defectos, facilita la reparación y mejora el flujo en la producción? OPS 5 Mitigación de los riesgos de implementación ¿Cómo mitiga los riesgos de implementación? OPS 6 Preparación operativa ¿Cómo sabe que está listo para soportar una carga de trabajo? OPS 7  Para prepararse para la excelencia operativa hay que entender las cargas de trabajo y sus comportamientos esperados Entonces podrá diseñarlos para proporcionar una visión de su estado y construir los procedimientos para apoyarlos Diseñe la carga de trabajo para que proporcione la información necesaria para que pueda comprender el estado interno por ejemplo métricas registros eventos y rastreos en todos los componentes en caso de problemas de investigación y observabilidad Itere para desarrollar la telemetría necesaria para supervisar el estado de su carga de trabajo identificar cuándo los resultados corren riesgo y activar respuestas efectivas Al instrumentar su carga de trabajo debe recoger un amplio conjunto de información para facilitar la comprensión de la situación por ejemplo los cambios de estado la actividad de los usuarios el acceso a los privilegios o los contadores de uso sin olvidar que puede aplicar un filtro para seleccionar la información que le resulte más útil con el paso del tiempo Adopte enfoques que mejoren el flujo de cambios en la producción que permitan la refactorización la retroalimentación rápida sobre la calidad y la corrección de errores Estos enfoques aceleran los cambios beneficiosos que se introducen en la producción limitan los problemas implementados y permiten una rápida identificación y solución de los problemas introducidos a través de las actividades de implementación o descubiertas en sus entornos Adopte enfoques que proporcionen una respuesta rápida sobre la calidad y permitan una recuperación rápida de los cambios que no tienen los resultados deseados El uso de estas prácticas ayuda a mitigar el impacto de los problemas generados con la implementación de cambios Planifique para hacer frente a los cambios fallidos para que pueda responder rápidamente si es necesario Además pruebe y valide los cambios que realice Debe conocer las actividades planificadas en sus entornos para poder administrar el riesgo de que los cambios afecten a dichas actividades Realice cambios frecuentes pequeños y reversibles para limitar el alcance del cambio Al hacerlo los problemas se solucionan de forma más fácil y rápida con la opción de revertir un cambio También significa que podrá beneficiarse de unos cambios valiosos de forma más frecuente Evalúe la disponibilidad operativa de la carga de trabajo de los procesos y procedimientos y del personal para comprender los riesgos operativos relacionados con la carga de trabajo Debe usar un proceso coherente que incluya listas de verificación manuales y automáticas para saber cuándo una carga de trabajo o cambio estarán listos para lanzarse Esto también le permitirá encontrar cualquier área para la que sea necesaria la elaboración de un plan de tratamiento Debe disponer de runbooks que documenten las actividades rutinarias y guías de estrategias para aplicar los procesos de resolución de errores Debe comprender los beneficios y los riesgos para tomar decisiones bien fundamentadas para permitir que los cambios entren en la fase de producción … Prepárese Observabilidad de la carga de trabajo ¿Cómo utiliza la observabilidad de la carga de trabajo en su organización? OPS 8 Operaciones saludables ¿Cómo hace para comprender el estado de las operaciones? OPS 9 Respuesta ante eventos ¿Cómo administra la carga de trabajo y los eventos de operaciones? OPS 10  El éxito operativo de una carga de trabajo se mide por los logros de los resultados del cliente y del negocio Defina los resultados esperados decida cómo se medirá el éxito e identifique las métricas que se usarán en los cálculos para determinar si su carga de trabajo y las operaciones se realizan con éxito El estado de las operaciones incluye tanto el estado de la carga de trabajo como el éxito de las operaciones que se realizan para llevarlas a cabo por ejemplo la implementación y la respuesta frente a incidencias Establezca puntos de referencia de métricas para las mejoras la investigación y la intervención y recopile y analice las métricas A continuación corrobore si comprende el éxito de las operaciones y cómo cambia con el tiempo Utilice métricas recopiladas para determinar si satisface las necesidades del cliente y del negocio Identifique también las áreas a mejorar Se requiere eficacia y eficiencia en la gestión de los eventos operativos para lograr excelencia operativa Se aplica tanto a los eventos operativos planificados como a los no planificados Utilice los runbooks establecidos para eventos bien conocidos y las guías de estrategia como ayuda para investigar y para resolver otros problemas Priorice aquellos eventos que tengan mayor repercusión en el negocio y en el cliente Asegúrese de que si se genera una alerta como respuesta a un evento se ejecutará un proceso asociado con un propietario identificado de forma específica Defina con antelación el personal necesario para resolver un evento e incluya desencadenadores de derivación para que participe personal adicional si es necesario en función de la urgencia y el impacto Identifique e implique a aquellos individuos que tengan autoridad para decidir sobre las acciones en aquellos casos en los que la respuesta a un evento que no se haya abordado previamente repercuta en el negocio Comunique el estado operativo de las cargas de trabajo mediante paneles y notificaciones adaptadas a la audiencia de destino por ejemplo cliente negocio desarrolladores operaciones para que puedan llevar a cabo las medidas adecuadas gestionen sus expectativas y se les informe cuando se reanuden las operaciones habituales … Operación Desarrollo de las operaciones ¿Cómo desarrolla las operaciones? OPS 11  Debe aprender compartir y mejorar continuamente para mantener la excelencia operativa Dedique ciclos de trabajo a mejorar gradualmente de forma continua Realice análisis posteriores al incidente de todos los eventos que afecten a los clientes Identifique los factores que han contribuido a ello y actúe de forma preventiva para limitar o impedir que se repita Comunique los factores que han contribuido a ello a las comunidades afectadas según proceda Evalúe y priorice las oportunidades de mejora de forma gradual por ejemplo solicitudes de características solución de problemas y requisitos de conformidad entre ellos los procedimientos operativos y de cargas de trabajo Incluya bucles de retroalimentación en los procedimientos para identificar rápidamente aquellas áreas de mejora y captar las enseñanzas que surjan de la ejecución de operaciones Comparta lo aprendido con los equipos para enseñar los beneficios de dichas lecciones Analice las tendencias de las lecciones aprendidas y realice un análisis retrospectivo de las métricas de las operaciones entre equipos para identificar oportunidades y métodos de mejora Aplique aquellos cambios que traigan consigo mejoras y evalúe los resultados para determinar el éxito … Evolución Capacidad de apoyar el desarrollo y ejecutar cargas de trabajo eficazmente, conocer sus operaciones y mejorar continuamente los procesos y procedimientos de soporte para ofrecer valor empresarial. Excelencia operativa Operaciones seguras ¿Cómo utiliza la carga de trabajo de forma segura? SEC 1 Para utilizar la carga de trabajo de forma segura debe adoptar prácticas recomendadas globales en cada área de seguridad Lleve los requisitos y los procesos que ha definido en la excelencia operativa al nivel de la organización y de la carga de trabajo y aplíquelo a todas las áreas … Seguridad identidades ¿Cómo administra las identidades de personas y máquinas? SEC 2 Autorización y control de accesos ¿Cómo administra los permisos para las personas y las máquinas? SEC 3 La administración de identidades y accesos representa una parte clave de un programa de seguridad de la información ya que garantiza que solo los usuarios y los componentes autorizados e identificados puedan acceder a sus recursos y solo de la forma prevista Por ejemplo debería definir las entidades principales es decir cuentas usuarios roles y servicios que puedan intervenir en su cuenta crear políticas que hagan referencia a estas entidades e implementar una administración sólida de credenciales Estos elementos de administración de privilegios constituyen el núcleo de la autenticación y la autorización … Administración de identidades y accesos Eventos de seguridad ¿Cómo detecta e investiga los eventos de seguridad? SEC 4 Puede usar los controles detectores para identificar una incidencia o amenaza potencial de seguridad Son una parte fundamental de los marcos de gobernanza y se pueden usar como complemento de procesos de calidad para una obligación legal o de conformidad y para la identificación de amenazas y respuestas Hay distintos tipos de controles de detección Por ejemplo realizar un inventario de activos y de sus atributos detallados facilita la toma de decisiones y los controles del ciclo de vida para ayudar a establecer líneas de base operativas También puede usar auditorías internas un examen de los controles relacionados con los sistemas de información para garantizar que las prácticas cumplan con las políticas y los requisitos así como que haya establecido las notificaciones correctas de alertas automatizadas basadas en las condiciones definidas Estos controles son factores reactivos importantes que ayudan a su organización a identificar la actividad anómala y comprender sus repercusiones … Detección Protección de la red ¿Cómo protege los recursos de red? SEC 5 Protección informática ¿Cómo protege sus recursos informáticos? SEC 6 La protección de la infraestructura abarca las metodologías de control como la defensa en profundidad necesarias para ajustarse a las prácticas recomendadas y las obligaciones organizativas o normativas El uso de estas metodologías es fundamental para el éxito de las operaciones en curso ya sea en la nube o en las instalaciones … Protección de la infraestructura Clasificación de los datos ¿Cómo clasifica sus datos? SEC 7 Protección de datos en reposo ¿Cómo protege los datos en reposo? SEC 8 Protección de datos en tránsito ¿Cómo protege sus datos en tránsito? SEC 9 Antes de diseñar un sistema hay que adoptar prácticas que influyen en la seguridad Por ejemplo la clasificación de datos ofrece una manera de categorizar los datos de la organización según los niveles de confidencialidad mientras que el cifrado protege los datos haciéndolos ininteligibles para el acceso no autorizado Estas herramientas y técnicas son importantes porque respaldan objetivos como la prevención de pérdidas económicas o la conformidad con las obligaciones reglamentarias … Protección de los datos Respuesta ante incidentes ¿Cómo anticipa, responde a y se recupera de los incidentes? SEC 10 Incluso con controles eficaces de detección y prevención la organización debería continuar implementando mecanismos para responder ante incidentes de seguridad y mitigar su posible impacto Su preparación afecta considerablemente a la capacidad de los equipos de operar de forma eficaz durante un incidente de aislar contener y realizar una investigación forense de los problemas y de restaurar operaciones a un estado conocido correcto La preparación de las herramientas y el acceso en previsión de un incidente de seguridad así como la práctica periódica de la respuesta ante incidentes durante simulacros le ayudan a asegurarse de que podrá recuperarse con una interrupción mínima en el negocio … Respuesta ante incidentes Seguridad de las aplicaciones ¿Cómo incorpora y valida las propiedades de seguridad de las aplicaciones durante el ciclo de vida de diseño, desarrollo y despliegue? SEC 11 La seguridad de las aplicaciones AppSec describe el proceso general de diseño compilación y comprobación de las propiedades de seguridad de las cargas de trabajo que desarrolla Debe contar con personal debidamente formado en su organización comprender las propiedades de seguridad de su infraestructura de creación y lanzamiento y utilizar la automatización para identificar problemas de seguridad La adopción de pruebas de seguridad de las aplicaciones como parte habitual del ciclo de vida de desarrollo del software SDLC y de los procesos posteriores al lanzamiento contribuye a garantizar que se dispone de un mecanismo estructurado para identificar corregir y evitar que los problemas de seguridad de las aplicaciones entren en el entorno de producción La metodología de desarrollo de las aplicaciones debe incluir controles de seguridad a medida que diseña compila despliega y opera las cargas de trabajo Al hacerlo ajuste el proceso a fin de reducir continuamente los defectos y minimizar la deuda técnica Por ejemplo el uso de modelos de amenazas en la fase de diseño ayuda a detectar defectos de diseño en una fase temprana lo que hace que sea más fácil y menos costoso solucionarlos en lugar de esperar y mitigarlos más adelante El coste y la complejidad que supone resolver los defectos suelen ser menores cuanto antes se detecten en el SDLC La forma más fácil de resolver los problemas es no tenerlos en primer lugar por lo que empezar con un modelo de amenazas ayuda a centrarse en los resultados correctos desde la fase de diseño A medida que su programa AppSec madura puede aumentar la cantidad de pruebas que se llevan a cabo mediante la automatización mejorar la fidelidad de la retroalimentación para los creadores y reducir el tiempo necesario para las revisiones de seguridad Todas estas medidas mejoran la calidad del software que crea y aumentan la velocidad de entrega de las características a la producción Estas directrices de implementación se centran en cuatro áreas organización y cultura seguridad de la canalización seguridad en la canalización y administración de dependencias Cada área proporciona un conjunto de principios que puede implementar y ofrece una visión integral de cómo diseñar desarrollar compilar implementar y operar cargas de trabajo … Seguridad de las aplicaciones Capacidad de proteger datos, sistemas y activos para sacar partido de las tecnologías de la nube con el fin de mejorar el nivel de seguridad. Seguridad