Audit Manager es una solución de auditoría de cumplimiento que te ayuda a simplificar tu proceso de auditoría de cumplimiento en Google Cloud. Gestor de auditorías te permite ejecutar auditorías en relación con frameworks integrados y frameworks personalizados que definas con Administrador de cumplimiento o los frameworks de Assured Workloads (versión preliminar).
Gestor de auditorías tiene las siguientes capacidades:
- Una matriz de responsabilidades compartidas que muestra la separación de funciones y recomendaciones para administrar tus responsabilidades.
- Documentos de cumplimiento para Google Cloud
- Evaluaciones de cumplimiento automatizadas para evaluar los controles de cumplimiento en las cargas de trabajo y comprender su estado de cumplimiento
- Recopilación de pruebas para auditorías de cumplimiento
- Identificación de brechas para ayudar a corregir los incumplimientos generados
- Posibilidad de programar auditorías para que se ejecuten en intervalos regulares (vista previa).
El Gestor de auditorías puede proporcionar evaluaciones para cualquier organización Google Cloud(versión preliminar), carpeta o proyecto.
Frameworks compatibles
Gestor de auditorías puede evaluar tus recursos en función de los controles de Cloud y los controles de los siguientes marcos integrados:
Si compras suscripciones a Security Command Center Premium o Enterprise, o bien habilitas Assured Workloads, ocurrirá lo siguiente:
Cualquier marco que crees con el Administrador de cumplimiento o los marcos de Assured Workloads (vista previa)
Los siguientes frameworks integrados:
- Nociones básicas de la IA recomendadas por Google: Gemini Enterprise Agent Platform
- CIS GCP Foundations Benchmark v3.0
- CIS GKE 1.7
- CIS Critical Security Controls v8
- CSA Cloud Controls Matrix v4.0.11
- ISO 27001:2022
- Qatar National Information Assurance Standard v2.1 (Estándar Nacional de Garantía de la Información de Catar, versión 2.1)
- Revisión 5 de NIST 800-53
- NIST AI 600-1 Privacy Controls
- NIST Cybersecurity Framework 1.1
- PCI DSS v4.0.1
El siguiente framework integrado, disponible solo en los frameworks de Assured Workloads (versión preliminar):
Migración desde frameworks anteriores
Si realizaste una auditoría antes del 30 de junio de 2026, usaste marcos de trabajo diferentes. Estos frameworks ya no están disponibles para ejecutar auditorías. En la siguiente tabla, se asignan los frameworks anteriores a los frameworks que puedes implementar con Administrador de cumplimiento o los frameworks de Assured Workloads (vista previa).
| Framework anterior | Framework equivalente de Gestor de auditorías | Framework equivalente de Administrador de cumplimiento | (Vista previa) Framework de frameworks de Assured Workloads equivalentes |
|---|---|---|---|
| NIST 800-53 Revisión 4 | — | NIST 800-53, revisión 5 | NIST 800-53, revisión 5 |
| Controles de IA recomendados por Google | — | —[1] | —[1] |
| SOC2 2017 | SOC2 2017 | SOC2 2017 | SOC2 2017 |
| CIS Controls v8. | — | CIS Critical Security Controls v8 | CIS Critical Security Controls v8 |
| PCI DSS 4.0 | — | PCI DSS v4.0.1 | PCI DSS v4.0.1 |
| Cloud Controls Matrix 4.0 | — | CSA Cloud Controls Matrix v4.0.11 | CSA Cloud Controls Matrix v4.0.11 |
| CSF de NIST v1 | — | NIST Cybersecurity Framework 1.1 | NIST Cybersecurity Framework 1.1 |
| Comparativa de CIS Google Cloud Foundation 2.0 | — | Comparativa de CIS GCP Foundations v3.0 | Comparativa de CIS GCP Foundations v3.0 |
| ISO 27001 2022 | — | ISO 27001:2022 | ISO 27001:2022 |
Si ejecutaste auditorías con los frameworks anteriores, puedes seguir viendo los informes de auditoría en la página Ver evaluaciones y en los buckets de Cloud Storage en los que almacenaste los informes.
1 Tanto Administrador de cumplimiento como los marcos de Assured Workloads (versión preliminar) incluyen el marco integrado Nociones básicas de la IA recomendadas por Google: Gemini Enterprise Agent Platform. Puedes usar este marco de trabajo en lugar del marco de trabajo de controles de IA recomendado por Google más antiguo, aunque utiliza controles diferentes para evaluar tu entorno.
Frameworks personalizados
Antes del 30 de junio de 2026, el Gestor de auditorías incluía una función de versión preliminar que te permitía crear marcos personalizados. Si creaste un framework personalizado con esa función de vista previa, puedes seguir ejecutando auditorías en el framework personalizado y ver los informes que creaste. Sin embargo, no puedes ver ni editar tu marco personalizado.
Si ninguno de los frameworks integrados en el Gestor de auditorías se aplica a tu entorno, puedes usar las siguientes opciones:
Crea un marco personalizado en Administrador de cumplimiento. El Administrador de cumplimiento incluye una biblioteca de controles de la nube integrados, y puedes crear controles de la nube personalizados, si es necesario. Después de crear este marco de trabajo, puedes usar el Gestor de auditorías o el Administrador de cumplimiento para ejecutar auditorías en tu entorno.
Crea un framework personalizado en los frameworks de Assured Workloads (vista previa). Los controles integrados en la nube para los marcos de Assured Workloads incluyen la biblioteca de controles en la nube del Administrador de cumplimiento y una biblioteca de controles preventivos en la nube que son específicos para las cargas de trabajo reglamentarias. También puedes usar los marcos de trabajo de Assured Workloads para crear controles de nube personalizados, si es necesario. Si creas un framework que incluye controles preventivos, solo puedes usar el Gestor de auditorías para ejecutar auditorías en tu entorno.
Controles y controles de la nube
Gestor de auditorías incluye controles y controles de Cloud en sus marcos de trabajo. Ten en cuenta lo siguiente:
Los controles son objetivos generales que te permiten evaluar la protección de los activos, la mitigación de riesgos y los objetivos regulatorios comerciales. Los controles pueden estar compuestos por controles de nube técnicos y no técnicos.
Los controles de la nube son controles definidos por software que verifican configuraciones específicas en tu entorno de Google Cloud . La mayoría de los controles de nube son técnicos. Por ejemplo, un control es un requisito reglamentario para auditar tu entorno, y un control de Cloud es el mecanismo específico para garantizar que los Registros de auditoría de Cloud estén habilitados para varias APIs.
Los frameworks son colecciones de controles y controles de la nube que te ayudan a cumplir con un estándar regulatorio en particular. Por ejemplo, Gestor de auditorías incluye un framework para la norma ISO 27001:2022. Los controles de nube y los controles técnicos incluyen una o más reglas que el Gestor de auditorías puede verificar durante una auditoría y para las que puede recopilar evidencia.
Cómo se auditan los controles y los controles de la nube
La forma en que Gestor de auditorías audita un control o un control de nube depende de si Gestor de auditorías puede evaluar técnicamente el control o el control de nube. Ten en cuenta lo siguiente:
Algunos controles o controles de Cloud requieren revisiones manuales porque no hay llamadas a la API que Gestor de auditorías pueda realizar para validarlos. Por ejemplo, un control podría requerir que revises los sistemas de acceso que no están enGoogle Cloud. Si un control o un control de Cloud requiere una revisión manual, el Gestor de auditorías crea una observación que te indica que debes completar la revisión por tu cuenta. Es posible que se generen pruebas técnicas. El estado del control o del control en la nube es Opcional: Se necesita una revisión manual.
Algunos controles o controles de la nube se aplican directamente a un valor determinado enGoogle Cloud. Por ejemplo, un control de la nube puede requerir que actives la CMEK para los buckets de Cloud Storage. En esta situación, el Gestor de auditorías puede realizar una llamada a la API para verificar un parámetro de configuración en particular. El valor que se devuelve es la evidencia. Luego, Gestor de auditorías puede evaluar si las pruebas cumplen con las reglas esperadas o no. Gestor de auditorías crea una observación que incluye la evidencia y la evaluación. El estado de un control o de un control de Cloud puede ser cualquiera de los siguientes:
Si el Administrador de auditorías evalúa la evidencia como que cumple con la regla, el estado del control o del control de Cloud es Cumplimiento.
Si el Gestor de auditorías evalúa la evidencia como que no cumple con la regla, el estado del control o del control de la nube es Incumplimiento. En el caso de los controles o los controles de nube que incluyen varias reglas, si falla alguna regla, el estado es failed.
Si el Gestor de auditorías encuentra algún tipo de error durante este proceso (por ejemplo, se agotó el tiempo de espera de una llamada a la API), el estado del control o del control de la nube es Omitido.
Flujo de trabajo de Gestor de auditorías
El flujo de trabajo general de Audit Manager implica configurar el acceso a Audit Manager y administrar las auditorías.
- Para configurar el acceso a Gestor de auditorías, debes ser administrador de Gestor de auditorías (
roles/auditmanager.admin) y registrar los recursos para la auditoría. - Para administrar las auditorías, puedes ser administrador o auditor, y hacer lo siguiente:
- Ejecutar auditorías.
- Obtiene el estado de la auditoría.
- Ver informes detallados del Administrador de auditorías