MPA y seguridad de para estudios
Información general
La Motion Picture Association (MPA) ha establecido un conjunto de prácticas recomendadas para almacenar, procesar y suministrar de forma segura contenido multimedia y de otro tipo protegido. Las empresas multimedia utilizan estas prácticas recomendadas como mecanismo para valorar el riesgo y la seguridad de su contenido e infraestructura. La MPA y la Content Delivery & Security Association (CDSA) han creado conjuntamente una nueva asociación denominada Trusted Partner Network (TPN) . El programa TPN pretende aumentar la concientización, la preparación y las capacidades en materia de seguridad dentro de la industria del contenido multimedia y entretenimiento. AWS sigue monitoreando y contribuyendo a los indicadores de referencia de seguridad de contenidos de TPN.
AWS también ofrece una guía de protección de terceros para la administración de recursos multimedia, administración de recursos digitales y efectos visuales o renderización, disponible a través de AWS Artifact.
-
Supervisión y concientización de la seguridad ejecutiva
Práctica recomendada
Garantizar la supervisión de los propietarios y la dirección ejecutiva de la función de la seguridad de la información requiriendo inspecciones periódicas del programa de seguridad de la información y de los resultados de evaluación de riesgos.
Implementación de AWS
El entorno de control en Amazon parte del estrato más alto de la empresa. Los altos cargos desempeñan funciones importantes a la hora de definir los valores principales y el tono de la compañía. AWS definió políticas y un marco de seguridad de la información basados en el marco de Control de organizaciones y sistemas (SOC). Se integraron de manera eficiente el marco de certificación ISO 27001 basado en los controles de ISO 27002, el PCI DSS v3.2 y la publicación 800-53 Rev. 3 (Controles de seguridad recomendados para sistemas de información federales) del Instituto Nacional de Estándares y Tecnología (NIST). Los empleados de AWS completan cursos de formación periódicos basados en sus funciones que incluyen la formación sobre seguridad de AWS. Las auditorías de conformidad se realizan a fin de que los empleados puedan conocer y seguir las políticas establecidas.
-
Administración de riesgos
Práctica recomendada
Desarrollar un proceso formal de evaluación de riesgos de seguridad centrado en los flujos de trabajo del contenido y los recursos sensibles a fin de identificar y priorizar riesgos de robo de contenido y filtración que resulten relevantes para las instalaciones.
Implementación de AWS
AWS ha implementado una política de evaluación de riesgos documentada y formal que se examina y actualiza al menos una vez al año. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.
De acuerdo con esta política, el equipo de AWS Compliance lleva a cabo una evaluación de riesgos anual que abarca todas las regiones y empresas de AWS, y que los altos directivos de AWS examinan. Esta evaluación se suma a la certificación, la declaración y los informes de auditores independientes. El propósito de la evaluación de riesgos consiste en identificar las amenazas y vulnerabilidades de AWS para asignarles una clasificación de riesgo y documentar formalmente la evaluación, así como crear un plan de resolución de riesgos para hacer frente a cualquier problema. Los altos directivos de AWS examinan los resultados de la evaluación de riesgo periódicamente, incluido cuando se produce un cambio significativo que requiere que se efectúe una nueva evaluación de riesgo con anterioridad a la evaluación anual.
Los clientes preservan la titularidad de los datos (contenido) y, por tanto, son responsables de evaluar y administrar los riesgos asociados con los flujos de trabajo de los datos a fin de satisfacer las necesidades en materia de conformidad.
Auditores externos independientes examinan el marco de gestión de riesgos de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Organización de seguridad
Práctica recomendada
Identificar los puntos de contacto claves en materia de seguridad y definir formalmente las funciones y responsabilidades en términos de protección de contenido y recursos.
Implementación de AWS
AWS ha constituido una organización de seguridad de la información administrada por el equipo AWS Security y de cuya dirección se encarga el oficial principal de seguridad de la información (CISO) de AWS. AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).
Los sistemas de AWS disponen de una gran variedad de recursos para poder supervisar las principales métricas operativas y de seguridad. Las alarmas se configuran para notificar automáticamente al personal de operaciones y gestión cuándo las métricas clave superan los umbrales de advertencias anticipadas. Cuando se supera un umbral, se pone en marcha el proceso de respuesta ante incidentes de AWS. El equipo de respuesta ante incidentes de Amazon utiliza procedimientos de diagnóstico propios del sector para administrar las soluciones durante los eventos que repercuten en el negocio. El personal ofrece un servicio de 24 horas durante los 365 días de año para poder detectar incidentes y administrar el impacto hasta su resolución.
Auditores externos independientes examinan las funciones y responsabilidades de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Políticas y procedimientos
Práctica recomendada
Establecer políticas y procedimientos en relación con la seguridad de los recursos y del contenido; las políticas deben abordar al menos los siguientes temas:
• Políticas de Recursos Humanos
• Uso aceptable (por ejemplo, redes sociales, Internet, teléfono, etc.)
• Clasificación de recursos
• Políticas de gestión de recursos
• Dispositivos de grabación digital (p. ej., teléfonos inteligentes, cámaras digitales y cámaras de vídeo)
• Política de excepciones (p. ej., proceso para documentar las desviaciones de las políticas)
• Control de contraseñas (p. ej., longitud mínima de la contraseña o protectores de pantalla)
• Prohibición de quitar recursos del cliente de las instalaciones
• Gestión de cambios del sistema
• Política de denunciantes de irregularidades
• Política de sanciones (p. ej., política disciplinaria)
Implementación de AWS
AWS definió políticas y un marco de seguridad de la información basados en el marco del Control de organizaciones y sistemas (SOC). Se integraron de manera eficiente el marco de certificación ISO 27001 basado en los controles de ISO 27002, el PCI DSS v3.2 y la publicación 800-53 Rev. 3 (controles de seguridad recomendados para sistemas de información federales) del Instituto Nacional de Estándares y Tecnología (NIST).
AWS mantiene y proporciona cursos de formación sobre seguridad a todos los usuarios de los sistemas de información de AWS. El curso de formación sobre seguridad anual abarca los siguientes temas: el propósito del curso de seguridad y concienciación, la ubicación de todas las políticas de AWS, los procedimientos de respuesta ante incidentes de AWS (incluidas instrucciones sobre cómo informar de incidentes de seguridad internos y externos).
Auditores externos independientes examinan las políticas, los procedimientos y los programas de formación pertinentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Respuesta frente a incidencias
Práctica recomendada
Establecer un plan formal de respuesta a incidencias en el que se describan las acciones que cabe ejecutar cuando se detecta y registra una incidencia de seguridad.
Implementación de AWS
AWS ha implementado una política y programa de respuesta ante incidentes documentados y formales. La política hace referencia al propósito, el ámbito, las funciones, las responsabilidades y el compromiso con la administración.
Ante un incidente, AWS utiliza un enfoque de tres fases:
1. Fase de activación y notificación: para AWS, los incidentes comienzan con la detección de un evento. Esto puede provenir de varias fuentes, como:
a. Métricas y alarmas: AWS mantiene una capacidad de alerta situacional excepcional. La mayoría de los problemas se detectan rápidamente gracias a la supervisión las 24 horas de los 365 días del año y las alertas de las métricas en tiempo real y los paneles de servicio. La mayoría de los incidentes se detectan así. AWS utiliza alarmas tempranas que identifican de forma proactiva los problemas que podrían repercutir en los clientes.
b. Una notificación del problema introducida por un empleado de AWS.
c. Llamadas a la línea de soporte técnico, disponible las 24 horas, los 365 días del año.Si el evento cumple los criterios de un incidente, el ingeniero de soporte de turno correspondiente comenzará a utilizar las herramientas de administración de eventos de AWS para entrar en contacto y convocar a los responsables pertinentes del programa. Los solucionadores efectuarán un análisis del incidente para determinar si se deberían involucrar a más solucionadores y para determinar la posible causa raíz.
2. Fase de recuperación: los solucionadores pertinentes intentarán adoptar una solución para resolver el incidente. Una vez efectuada la resolución de problemas, la reparación y la inspección de los componentes afectados, el líder asignará los siguientes pasos de acuerdo con la documentación y las acciones de seguimiento y concluirá la llamada.
3. Fase de reconstitución: una vez que hayan concluido las actividades de reparación, el líder declarará que ha finalizado la fase de recuperación. Se asignará un análisis post mortem y de la causa raíz al equipo pertinente. Los directores superiores pertinentes examinarán los resultados del post mortem y las acciones relacionadas, como cambios en el diseño, etc., se registrarán en un documento conocido como Corrección de errores (COE) y se supervisarán hasta su finalización.
Además de los mecanismos de comunicación internos detallados anteriormente, AWS también ha implementado varios métodos de comunicación externos para respaldar a sus clientes y su comunidad. El equipo de atención al cliente dispone de mecanismos para recibir notificaciones sobre problemas operativos que afecten a la experiencia de los clientes. El equipo de atención al cliente realiza el mantenimiento del "Panel de estado del servicio" para que se encuentre disponible a fin de advertir al cliente de cualquier problema que pueda tener un gran impacto.
Auditores externos independientes examinan el programa de administración de incidentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
La documentación del flujo de trabajo del contenido (datos) es responsabilidad de los clientes de AWS, ya que ellos conservan la titularidad y el control de los sistemas operativos, el software, las aplicaciones y los datos de sus huéspedes.
-
Gobernanza del personal
Práctica recomendada
Realizar comprobaciones de antecedentes de todo el personal de la empresa y de trabajadores externos.
Implementación de AWS
AWS comprueba los antecedentes penales de conformidad con la legislación aplicable, como parte de las prácticas de preselección de empleados a efectos de que estos se adecuen al cargo y al nivel de acceso del empleado a las instalaciones de AWS.
Auditores externos independientes examinan el programa de comprobación de antecedentes de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Acuerdos de confidencialidad
Práctica recomendada
Exigir a todo el personal de la empresa y trabajadores externos que firmen un acuerdo de confidencialidad (por ejemplo, de no divulgación) al ser contratados y, a partir de ahí, con carácter anual, en el que se incluyan disposiciones acerca de la gestión y la protección del contenido.
Implementación de AWS
El consejo jurídico de Amazon administra y revisa periódicamente el acuerdo de no divulgación de Amazon (NDA) para reflejar las necesidades empresariales de AWS.
Auditores externos independientes examinan el uso de AWS de acuerdos de confidencialidad (NDA) durante las auditorías sobre conformidad con ISO 27001 y FedRAMP.
-
Registro y supervisión
Práctica recomendada
Registrar y revisar el acceso electrónico a zonas restringidas para sucesos sospechosos.
Implementación de AWS
El acceso físico está controlado en el perímetro y en los puntos de acceso del edificio por personal de seguridad profesional mediante videovigilancia, sistema de detección de intrusiones y otros recursos electrónicos.
Todas las entradas a los centros de datos de AWS, incluida la entrada principal, el muelle de carga y cualquier techo solar o compuerta, están protegidas con dispositivos de detección de intrusos que hacen emitir alarmas y crean una alerta en el sistema de supervisión de la seguridad física centralizado de AWS si se fuerza o mantiene abierta una puerta.
Además de los mecanismos electrónicos, los centros de datos de AWS disponen de guardias de seguridad las 24 horas, los 7 días de la semana, ubicados en el edificio y sus alrededores. Un guardia de seguridad investiga todas las alarmas y documenta la causa raíz de todos los incidentes. Las alarmas se escalan automáticamente si no se produce una respuesta dentro del plazo establecido en el acuerdo de licencia de servicio.
Los puntos de acceso físico a las ubicaciones de los servidores se graban con cámaras de televisión de circuito cerrado (CCTV), tal y como se define en la política de seguridad física del centro de datos de AWS. Las imágenes se conservan durante 90 días, a menos que este período esté limitado a 30 en virtud de las disposiciones legales o contractuales.
Auditores externos independientes examinan los mecanismos de seguridad física de AWS durante las auditorías sobre conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Supervisión de los recursos
Práctica recomendada
Aplicar un sistema de gestión de los recursos del contenido para ofrecer un seguimiento detallado de los recursos físicos (es decir, los que sean del cliente y los que se hayan creado recientemente).
Implementación de AWS
Los clientes de AWS son responsables de administrar, implementar y operar los recursos de contenido. Es responsabilidad de los clientes realizar el seguimiento del inventario de los recursos físicos.
En los entornos del centro de datos de AWS, todos los componentes de los sistemas de información nuevos, que incluyen, entre otros, servidores, bastidores, dispositivos de red, discos duros, componentes de hardware del sistema y materiales de construcción enviados a y recibidos por los centros de datos, requieren la autorización previa y notificación del director del centro de datos. Los objetos se entregan en el muelle de carga de cada centro de datos de AWS, donde se inspeccionan por si han sufrido daños o se ha alterado el paquete. Entonces, un empleado a tiempo completo de AWS firma la entrega. Cuando llega el envío, los artículos se escanean y se registran en el sistema de administración de recursos de AWS y el sistema de seguimiento del inventario de dispositivos.
Una vez recibidos los artículos, se colocan en el almacén de equipo del centro de datos hasta su instalación en el centro de datos. Para acceder al almacén, se necesita una tarjeta llave y un número PIN. Antes de salir del centro de datos, los artículos se escanean, se registran y se limpian. Solo así disponen de autorización para abandonar el centro de datos.
Auditores externos independientes examinan los procesos y procedimientos de administración de recursos de AWS durante las auditorías sobre conformidad con PCI DSS, ISO 27001 y FedRAMP.
-
Internet
Práctica recomendada
Prohibir el acceso de Internet a sistemas (ordenadores y servidores) que procesan o almacenan contenido digital.
Implementación de AWS
Los dispositivos de protección de límites que utilizan conjuntos de reglas, listas de control de acceso (ACL) y configuraciones determinan el flujo de la información entre partes de la red. Estos dispositivos se configuran de manera que denieguen todo el tráfico y que se requiera que un conjunto de firewalls permita la conectividad. Consulte DS-2.0 para más información sobre la administración de los firewalls de red de AWS.
Los recursos de AWS no incorporan una capacidad inherente de correo electrónico y el puerto 25 no se utiliza. puede utilizar un sistema para alojar las capacidades de correo electrónico. Sin embargo, en ese caso es responsabilidad del cliente utilizar los niveles adecuados de protección contra spam y malware en los puntos de entrada y salida del correo y actualizar las definiciones de spam y malware cuando se publiquen nuevas versiones.
Los recursos de Amazon (p. ej., ordenadores portátiles) se configuran con software antivirus que incluye filtros del correo electrónico y la detección de malware.
Auditores externos independientes examinan la administración de AWS Network Firewall y el programa antivirus de Amazon como parte de los esfuerzos constantes de AWS por mantener la conformidad con SOC, PCI DSS, ISO 27001 y FedRAMP.
-
Guía de protección de terceros para la administración de recursos multimedia, administración de recursos digitales y renderización de gráficos con ráfagas
Además de la MPA, la mayoría de los estudios de contenido (como Disney o Marvel) cuentan con su propio conjunto de requisitos de seguridad y exigen que los proveedores de servicios y los servicios de valor añadido auditen sus entornos en las instalaciones y basados en la nube mediante auditores externos. Un buen ejemplo es la renderización con ráfagas basada en la nube de contenido de animación o efectos visuales para preestrenos.
AWS trabajó con un auditor externo para que evaluara las condiciones de la plataforma AWS para hospedar entornos de representación de animaciones/VFX. El auditor externo también redactó un documento plantilla de prácticas recomendadas de seguridad que incluye controles de seguridad de AWS basados en requisitos principales de estudios. El documento también puede usarse para crear un entorno de renderización de animaciones o efectos visuales aprobado en AWS.
El prelanzamiento de la guía de protección para la administración de recursos multimedia de estudios y los controles de seguridad de estudios para renderización o efectos especiales están disponibles en AWS Artifact.