by Joaquim Pereira on October 10, 2011

São cada vez mais os diversos fornecedores de serviços “cloud” que tentam garantir ou atingir os desejados níveis de segurança exigidos pelos seus clientes e parceiros. Metodologias, frameworks, standards (com ou sem certificação), etc.. são inúmeras as ferramentas e estratégias utilizadas de modo a atingir a visibilidade necessária para “ganharem” a sua quota de mercado e de alguma forma se distinguirem da concorrência..

Independentemente das ferramentas utilizadas as respostas são sempre as mesmas: controlar, medir, avaliar…. avaliar.. e avaliar (e claro, PDCA pelo meio que encaixa sempre bem em qualquer situação…). Mas como? Que frameworks, metodologias, ou standards?

Como primeira abordagem, e de modo a obtermos suporte nessa árdua tarefa, a ISACA lançou recentemente uma publicação/livro (disponível gratuitamente para membros) cujo foco principal são os controlos e contra-medidas que podem ser utilizados na “cloud” e a forma como poderemos utilizar a “cloud” para criar valor nos sistemas.

Um dos pontos interessantes desta publicação/livro é a inclusão de um programa de auditoria alinhado com o tema (no apêndice do livro).

Ainda, o livro explora os modelos de “Cloud Computing Service Delivery” (SaaS,PaaS e IaaS) e “Cloud Deployment” (Private cloud, Public cloud, Community cloud e Hybrid cloud) desenvolvidos pela CSA (Cloud Security Alliance).

Tendo por base as ferramentas GEIT desenvolvidas pelas ISACA, o livro faz uma aproximação destas frameworks e modelos às boas práticas de gestão da “cloud”.

Como “Assurance Frameworks”, são referenciadas o COBIT, ISO 27001/2, CSA Security Matrix, entre outras.

A CSA security matrix (parte integrante do GRC Stack) apresenta um conjunto de controlos desenvolvidos para garantir a segurança na “cloud”, e na qual são mapeados diversos controlos de standards e frameworks reconhecidas no mercado.

Esta abordagem, irá, por certo, receber o devido destaque dos fornecedores de serviços “cloud”.

Aproveito para deixar o link onde poderão ter acesso à publicação da ISACA (completo, se forem membros da ISACA) e, onde poderão descarregar a matriz de segurança da CSA.

Assim, até parece que já temos tudo (ou não!), estratégia, metodologias e frameworks (e, respectivos controlos alinhados às actuais necessidades).

Será que estamos no caminho correcto?

Posted in: Segurança.
Last Modified: Março 1, 2016