@SabrinaLopes
O uso crescente dos recursos de TI para utilização / armazenamento de dados, acesso à softwares e sistemas, teve influência na migração para o serviço de Cloud Computing (Computação na Nuvem).
As empresas aderiram a esse serviço ao longo da última década, impulsionadas pela redução significativa com custos operacionais e infraestrutura além de melhor usabilidade, (sendo possível a partir de uma conexão com a internet acessar arquivos e executar tarefas por meio de serviços online).
Contudo as facilidades provenientes deste recurso ainda têm a segurança questionada por usuários comuns e grandes empresas. Três elementos precisam ser considerados para aderir a segurança na nuvem: confidencialidade, integridade e disponibilidade.
A Cloud Security Alliance (CSA) em parceria com outras organizações e com intuito de estabelecer as melhores práticas para computação na nuvem, criou a matriz de controle de nuvem (Cloud Control Matrix CCM), essa especifica os controles relevantes que devem ser adotados pelos Provedores de Serviços Cloud (CSP’s). A certificação CSA Star foi projetada para atender as seguintes normas:
- ISO 19011:2012, Diretrizes para auditoria de sistemas de gestão;
- ISO / IEC 17021: 2011, Avaliação de conformidade – Requisitos para órgãos que fornecem auditoria e certificação de sistemas de gestão;
- ISO / IEC 27006: 2011, Tecnologia da informação – Técnicas de segurança – Requisitos para órgãos que fornecem auditoria e certificação de sistemas de gerenciamento de segurança da informação
- ISO/ IEC 27001:2013 – Tecnologia da informação – Técnicas de segurança e sistemas de gerência da segurança da informação sendo esta, obrigatória para os CSP’s que desejam obter o CSA Star).
A Cloud Control Matrix (CCM), avalia os seguintes controles:
- Conformidade;
- Governança de dados;
- Segurança de instalações;
- Recursos Humanos;
- Segurança da Informação;
- Requisitos Legais;
- Gestão de Operações;
- Gestão de Riscos;
- Gerenciamento de Liberação;
- Resiliência;
- Arquitetura de Segurança.
Sendo os níveis de maturidade avaliados individualmente para os seguintes fatores de capacidade:
- Comunicação e envolvimento das partes interessadas;
- Propriedade, liderança e gestão;
- Políticas, planos e procedimentos e uma abordagem sistemática;
- Monitoramento e medição;
- Habilidades e experiência.
A certificação se baseia nos controles já estabelecidos pela norma ISO/IEC 27001:2013, em conjunto com uma análise de maturidade dos controles definidos na (CCM), os níveis de maturidade são classificados em “Ouro”, “Prata” e “Bronze”. Sendo exclusivamente aplicáveis para os serviços Cloud.
Benefícios
Os benefícios abrangem, usuários, provedores de serviços, auditores e profissionais de TI no que se refere a:
- Possibilitar uma visão clara das melhores práticas adotadas pelos provedores de serviços;
- Demonstrar maior nível de maturidade perante os concorrentes;
- Contribuir para aumento da vantagem competitiva;
- Contribuir para melhoria da gestão estratégica, tomando mais fácil a definição de papéis e responsabilidade entre os stakeholders e alta direção.
Conclusão
Associar redução de custos e facilidade de uso ao um serviço confiável e seguro, será o desafio dos próximos anos para as organizações que desejam ofertar ao mercado, cada vez mais competitivo, os serviços de Cloud.
No mesmo sentido estão as grandes organizações que desejam ter a certeza que seus dados estão seguros e seus serviços terão a disponibilidade de confidencialidade esperados.
Obter a certificação CSA Star deixa o prestador de serviço Cloud em posição de destaque, tornando-o diferencial em seu ramo de atuação, para clientes potenciais e partes interessadas.
Quer saber mais sobre a certificação? Veja esse link
*Sabrina Lopes – É consultora de Segurança da Informação da [SAFEWAY]
