Programa de Evaluadores Registrados de Seguridad de la Información del Gobierno de Australia (IRAP)
El Programa de Evaluadores Registrados de Seguridad de la Información (IRAP) proporciona un proceso completo para la evaluación independiente de la seguridad de un sistema frente a las políticas y directrices gubernamentales australianas. El objetivo de IRAP es maximizar la seguridad de los datos del gobierno federal, estatal y local de Australia centrándose en la infraestructura de tecnología de la información y las comunicaciones que almacena, procesa y comunica.
Introducción a IRAP
El Programa de Evaluadores Registrados de Seguridad de la Información (IRAP) está regido y administrado por el Centro Australiano de Ciberseguridad (ACSC). IRAP proporciona el marco para respaldar a individuos de los sectores privado y público para proporcionar servicios de evaluación de ciberseguridad al gobierno australiano. Los evaluadores de IRAP aprobados pueden proporcionar una evaluación independiente de la seguridad de las TIC, sugerir mitigaciones y resaltar los riesgos residuales. IRAP proporciona un proceso completo para la evaluación independiente de la seguridad de un sistema frente a las políticas y directrices del gobierno australiano. El objetivo de IRAP es maximizar la seguridad de los datos del gobierno federal, estatal y local de Australia centrándose en la infraestructura de tecnología de la información y las comunicaciones que almacena, procesa y comunica.
- En 2014, Azure se lanzó como el primer servicio en la nube evaluado por IRAP en Australia, hospedado desde centros de datos en Melbourne y Sydney. Estos dos centros de datos proporcionan a los clientes australianos control sobre dónde se almacenan los datos de sus clientes, a la vez que proporcionan una mayor durabilidad de los datos en caso de desastres a través de copias de seguridad en ambas ubicaciones.
- A principios de 2015, Office 365 se convirtió en el primer servicio de productividad en la nube en completar esta evaluación.
- En abril de 2015, el ASD anunció la certificación CCSL de Azure y Office 365, y en noviembre de 2015, de Dynamics 365.
- En junio de 2017, ASD anunció la recertificación de Microsoft Azure y Office 365 para un conjunto de servicios ampliamente ampliado.
- En abril de 2018, ACSC anunció la certificación de Azure y Office 365 en la clasificación PROTECTED. Microsoft es el primer y único proveedor de nube pública en lograr este nivel de certificación.
- En septiembre de 2019, el ámbito de evaluación de IRAP actualizado de Microsoft se expandió para incluir 113 servicios en la clasificación PROTEGIDA.
- En diciembre de 2020, Microsoft publicó dos evaluaciones IRAP incrementales para Azure y Office 365. Estos informes utilizaron la nueva guía después del cese de la Lista de Cloud Services Certificada (CCSL). Los informes contienen una evaluación de Microsoft como proveedor de servicios en la nube (CSP) y otros servicios que son incrementales a los informes de 2019 en Azure, Dynamics y Office 365.
Microsoft e IRAP
En diciembre de 2020, Microsoft completó dos evaluaciones incrementales de Azure & Dynamics y Office 365. Estas evaluaciones agregaron más servicios evaluados al nivel de clasificación de PROTECTED. Además, estas evaluaciones se llevaron a cabo en el marco de la nueva guía de seguridad en la nube de la CCSL, publicada posteriormente, como se describe en la guía Anatomía de una evaluación de la nube y autorización de la ACSC.
Para cada evaluación, Microsoft contrató a un evaluador de IRAP acreditado por ACSC que examinó los controles y procesos de seguridad utilizados por el equipo de operaciones de TI de Microsoft, los centros de datos físicos, la detección de intrusiones, la criptografía, la seguridad entre dominios y redes, el control de acceso y la administración de riesgos de seguridad de la información de los servicios de ámbito. Las evaluaciones de IRAP descubrieron que la arquitectura del sistema de Microsoft se basa en principios de seguridad sólidos y que los controles del Manual de seguridad de la información (ISM) del Gobierno australiano aplicable están en vigor y son plenamente eficaces dentro de nuestros servicios evaluados.
El marco de gestión de riesgos utilizado por el ISM se basa en la Publicación Especial del Instituto Nacional de Estándares y Tecnología (NIST) 800-37 Rev. 2. Dentro de este marco de gestión de riesgos, la identificación de riesgos y la selección de controles de seguridad se pueden llevar a cabo mediante diversos estándares de gestión de riesgos, como La Organización Internacional para la Normalización (ISO) 31000:2018, Gestión de riesgos - Directrices. En términos generales, el marco de administración de riesgos utilizado por el ISM tiene seis pasos:
- Definición del sistema
- Selección de controles de seguridad
- Implementación de controles de seguridad
- Evaluación de controles de seguridad
- Autorización del sistema
- Supervisión del sistema
Como siempre, las agencias individuales pueden implementar controles de compensación adicionales de forma administrada por riesgos antes de la autorización de la agencia y el uso posterior de estos servicios en la nube.
La evaluación IRAP de los servicios de Microsoft y las operaciones en la nube ayuda a garantizar a los clientes del sector público de la administración pública y sus asociados que Microsoft tiene controles de seguridad adecuados y eficaces para el procesamiento, el almacenamiento y la transmisión de datos clasificados hasta e incluido el nivel de PROTEGIDO. Esta evaluación incluye la mayoría de los datos gubernamentales, sanitarios y educativos en Australia.
Servicios y plataformas en la nube dentro de Microsoft
- Azure
- Dynamics 365
- Escritorio administrado por Microsoft
- Office 365
- Windows 365
Azure, Dynamics 365 e IRAP
Para obtener más información sobre Azure, Dynamics 365 y otros servicios en línea cumplimiento, consulte la oferta de Azure IRAP.
Office 365 e IRAP
entornos de Office 365
Microsoft Office 365 es una plataforma en la nube multiempresa a hiperescala y una experiencia integrada de aplicaciones y servicios disponibles para los clientes de varias regiones de todo el mundo. La mayoría de los servicios de Office 365 permiten a los clientes especificar la región en la que se encuentran los datos de sus clientes. Microsoft puede replicar los datos del cliente en otras regiones dentro de la misma área geográfica (por ejemplo, Estados Unidos) para fomentar la resistencia de los datos, pero Microsoft no replicará los datos del cliente fuera del área geográfica elegida.
En esta sección se tratan los siguientes entornos de Office 365:
- Software cliente (cliente): Software cliente comercial que se ejecuta en dispositivos cliente.
- Office 365 (comercial): El servicio en la nube público comercial de Office 365 disponible a nivel mundial.
- Office 365 Government Community Cloud (GCC): El servicio en la nube GCC de Office 365 está disponible para el Gobierno federal de los Estados Unidos, así como para los gobiernos estatales, locales y tribales, y los contratistas que mantienen o procesan datos en nombre del Gobierno de los Estados Unidos.
- Office 365 Government Community Cloud - High (GCC High): el servicio en la nube GCC High de Office 365 está diseñado de acuerdo con los controles de nivel 4 de las directrices sobre requisitos de seguridad del Departamento de Defensa (DoD) y admite información federal y de defensa regulada rigurosamente. Este entorno lo usan las agencias federales, la Base Industrial de Defensa (DIB) y los contratistas gubernamentales.
- Office 365 DoD (DoD): el servicio en la nube del DoD de Office 365 está diseñado de acuerdo con los controles de nivel 5 de las directrices sobre requisitos de seguridad del DoD y admite estrictas regulaciones federales y de defensa. Este entorno es para uso exclusivo del Departamento de Defensa de EE. UU.
Use esta sección para ayudarle a cumplir sus obligaciones relativas al cumplimiento en los sectores regulados y en los mercados globales. Para averiguar qué servicios están disponibles en qué regiones, consulte la información de disponibilidad internacional y el artículo Dónde se almacenan los datos del cliente de Microsoft 365. Para más información sobre el entorno de nube de Office 365 Administración Pública, consulte el artículo Nube de Office 365 Administración Pública.
Su organización es totalmente responsable de garantizar el cumplimiento de todas las leyes y normativas aplicables. La información proporcionada en esta sección no constituye asesoramiento legal. Debe consultar a asesores legales para cualquier pregunta relacionada con el cumplimiento normativo de su organización.
Aplicabilidad y servicios dentro Office 365
Use la siguiente tabla para determinar la aplicabilidad de los servicios y la suscripción de Office 365:
Aplicabilidad | Servicios incluidos |
---|---|
Comercial | Exchange Online, Exchange Online Protection, Forms, Microsoft Teams, Office 365 Customer Portal, Office Online, Office Service Infrastructure, OneDrive para la Empresa, Planner, SharePoint Online, Skype Empresarial, Pizarra, Viva Engage |
Preguntas más frecuentes
¿A quién se aplica el IRAP?
IRAP se aplica a todas las agencias federales, estatales y locales de Australia que usan servicios en la nube. Los organismos gubernamentales neozelandeses requieren el cumplimiento de una norma similar al ISM del Gobierno de Australia, por lo que también pueden usar las evaluaciones IRAP.
¿Puedo usar el cumplimiento de Microsoft en el proceso de evaluación y aprobación de riesgos de mi organización?
Sí. Si su organización requiere o está buscando una aprobación para funcionar de acuerdo con el ISM, puede usar las evaluaciones de seguridad IRAP de Azure, Dynamics 365, Microsoft Managed Desktop y Office 365 en la evaluación de riesgos. Sin embargo, es responsable de involucrar a un evaluador para evaluar la implementación como implementada en las plataformas de Microsoft y de los controles y procesos dentro de su propia organización.
¿Dónde empiezo con la propia evaluación y aprobación de riesgos de mi organización para operar?
Se recomienda leer la guía evaluaciones de seguridad en la nube de ACSC.
Uso del Administrador de cumplimiento de Microsoft Purview para evaluar el riesgo
El Administrador de cumplimiento de Microsoft Purview es una característica de la portal de cumplimiento Microsoft Purview para ayudarle a comprender la posición de cumplimiento de su organización y a tomar medidas para ayudar a reducir los riesgos. El Administrador de cumplimiento ofrece una plantilla premium para crear una evaluación de esta normativa. Busque la plantilla en la página plantillas de evaluación en el Administrador de cumplimiento. Obtenga información sobre cómo crear evaluaciones en el Administrador de cumplimiento.