Descripción general de Audit Manager

Audit Manager es una solución de auditoría de cumplimiento que te ayuda a simplificar tu proceso de auditoría de cumplimiento en Google Cloud. Audit Manager te permite ejecutar auditorías en relación con frameworks integrados y frameworks personalizados que definas con Compliance Manager o los frameworks de Assured Workloads (versión preliminar).

Audit Manager tiene las siguientes capacidades:

  • Una matriz de responsabilidades compartidas que muestra la separación de tareas y recomendaciones para administrar tus responsabilidades.
  • Documentos de cumplimiento para Google Cloud
  • Evaluaciones de cumplimiento automatizadas para evaluar los controles de cumplimiento en las cargas de trabajo y comprender su estado de cumplimiento.
  • Recopilación de pruebas para auditorías de cumplimiento
  • Identificación de brechas para ayudar a corregir los incumplimientos generados

El Administrador de auditoría puede proporcionar evaluaciones para cualquier proyecto o carpeta de Google Cloud .

Frameworks compatibles

Audit Manager puede evaluar tus recursos en función de los controles de Cloud y los controles de los siguientes marcos integrados:

Si compras suscripciones a Security Command Center Premium o Enterprise, o bien habilitas Assured Workloads, ocurrirá lo siguiente:

Migración desde frameworks anteriores

Si realizaste una auditoría antes del 30 de junio de 2026, usaste marcos de trabajo diferentes. Estos frameworks ya no están disponibles para ejecutar auditorías. En la siguiente tabla, se asignan los marcos anteriores a los marcos que puedes implementar con el Administrador de cumplimiento o los marcos de Assured Workloads (vista previa).

Framework anterior Framework equivalente de Audit Manager Framework equivalente de Compliance Manager (Vista previa) Framework de frameworks de Assured Workloads equivalentes
NIST 800-53 Revisión 4 NIST 800-53, revisión 5 NIST 800-53, revisión 5
Controles de IA recomendados por Google [1] [1]
SOC2 2017 SOC2 2017 SOC2 2017 SOC2 2017
CIS Controls v8. CIS Critical Security Controls v8 CIS Critical Security Controls v8
PCI DSS 4.0 PCI DSS v4.0.1 PCI DSS v4.0.1
Cloud Controls Matrix 4.0 CSA Cloud Controls Matrix v4.0.11 CSA Cloud Controls Matrix v4.0.11
CSF de NIST v1 NIST Cybersecurity Framework 1.1 NIST Cybersecurity Framework 1.1
Comparativa de CIS Google Cloud Foundation 2.0 Comparativa de CIS GCP Foundations v3.0 Comparativa de CIS GCP Foundations v3.0
ISO 27001 2022 ISO 27001:2022 ISO 27001:2022

Si ejecutaste auditorías con los frameworks anteriores, puedes seguir viendo los informes de auditoría en la página Ver evaluaciones y en los buckets de Cloud Storage en los que almacenaste los informes.

1 Tanto Compliance Manager como los marcos de Assured Workloads (versión preliminar) incluyen el marco integrado Nociones básicas de la IA recomendadas por Google: Gemini Enterprise Agent Platform. Puedes usar este marco de trabajo en lugar del marco de trabajo de controles de IA recomendado por Google más antiguo, aunque utiliza controles diferentes para evaluar tu entorno.

Frameworks personalizados

Antes del 30 de junio de 2026, el Administrador de auditorías incluía una función de vista previa que te permitía crear marcos personalizados. Si creaste un framework personalizado con esa función de vista previa, puedes seguir ejecutando auditorías en el framework personalizado y ver los informes que creaste. Sin embargo, no puedes ver ni editar tu marco personalizado.

Si ninguno de los marcos integrados en el Administrador de auditorías se aplica a tu entorno, puedes usar las siguientes opciones:

Controles y controles de la nube

El Administrador de auditorías incluye controles y controles de Cloud en sus marcos de trabajo. Ten en cuenta lo siguiente:

  • Los controles son objetivos generales que te permiten evaluar la protección de los activos, la mitigación de riesgos y los objetivos regulatorios comerciales. Los controles pueden estar compuestos por controles de nube técnicos y no técnicos.

  • Los controles de nube son controles definidos por software que verifican configuraciones específicas en tu entorno de Google Cloud . La mayoría de los controles de nube son técnicos. Por ejemplo, un control es un requisito reglamentario para auditar tu entorno, y un control de Cloud es el mecanismo específico para garantizar que los Registros de auditoría de Cloud estén habilitados para varias APIs.

  • Los frameworks son colecciones de controles y controles de la nube que te ayudan a cumplir con un estándar regulatorio en particular. Por ejemplo, Audit Manager incluye un framework para la norma ISO 27001:2022. Los controles de nube y los controles técnicos incluyen una o más reglas que el Administrador de auditorías puede verificar durante una auditoría y para las que puede recopilar evidencia.

Cómo se auditan los controles y los controles de la nube

La forma en que Audit Manager audita un control o un control de nube depende de si Audit Manager puede evaluar técnicamente el control o el control de nube. Ten en cuenta lo siguiente:

  • Algunos controles o controles de Cloud requieren revisiones manuales porque no hay llamadas a la API que Audit Manager pueda realizar para validarlos. Por ejemplo, un control podría requerir que revises los sistemas de acceso que no están enGoogle Cloud. Si un control o un control de Cloud requiere una revisión manual, el Administrador de auditorías crea una observación que te indica que debes completar la revisión por tu cuenta. Es posible que se generen pruebas técnicas. El estado del control o del control en la nube es Opcional: Se necesita una revisión manual.

  • Algunos controles o controles de la nube se aplican directamente a un valor determinado enGoogle Cloud. Por ejemplo, un control de la nube puede requerir que actives la CMEK para los buckets de Cloud Storage. En este caso, el Administrador de auditorías puede realizar una llamada a la API para verificar un parámetro de configuración en particular. El valor que se devuelve es la evidencia. Luego, Audit Manager puede evaluar si las pruebas cumplen con las reglas esperadas o no. Audit Manager crea una observación que incluye la evidencia y la evaluación. El estado de un control o de un control de Cloud puede ser cualquiera de los siguientes:

    • Si el Administrador de auditorías evalúa la evidencia como que cumple con la regla, el estado del control o del control de Cloud es En cumplimiento.

    • Si el Administrador de auditorías evalúa la evidencia como que no cumple con la regla, el estado del control o del control de la nube es failed. En el caso de los controles o los controles de nube que incluyen varias reglas, si falla alguna regla, el estado es Incumplimiento.

    • Si el Administrador de auditorías encuentra algún tipo de error durante este proceso (por ejemplo, se agotó el tiempo de espera de una llamada a la API), el estado del control o del control de la nube es Omitido.

Flujo de trabajo de Audit Manager

El flujo de trabajo general de Audit Manager implica configurar el acceso a Audit Manager y administrar las auditorías.

  1. Para configurar el acceso a Audit Manager, debes ser administrador de Audit Manager (roles/auditmanager.admin) y registrar los recursos para la auditoría.
  2. Para administrar las auditorías, puedes ser administrador o auditor, y hacer lo siguiente:
    1. Ejecutar auditorías.
    2. Obtiene el estado de la auditoría.
    3. Ver informes detallados del Administrador de auditorías

¿Qué sigue?