Segurança

Conduzir a segurança de dados é uma responsabilidade compartilhada

Quando se trata de computação em nuvem e proteção de dados, a responsabilidade é compartilhada entre o provedor de serviços em nuvem (CSP) e o cliente.

A nuvem, como um modelo de arquitetura relativamente novo para muitas organizações, é única porque há vários modelos orgânicos que podem transferir responsabilidades entre clientes e CSPs. Por exemplo, os clientes só podem configurar o software da camada de aplicativo em aplicativos de software como serviço (SaaS). Mas, ao migrar a pilha para Infraestrutura como Serviço (IaaS), os clientes têm a responsabilidade de configurar e gerenciar os servidores em que eles se levantaram na nuvem.

Existem algumas mudanças perceptíveis na responsabilidade, que são ilustradas no gráfico abaixo:

A coluna mais à esquerda mostra sete responsabilidades que os clientes devem considerar ao usar diferentes modelos de serviço em nuvem. O modelo mostra como os clientes são responsáveis ​​por garantir que os dados e sua classificação sejam feitos corretamente e que a solução esteja em conformidade com as obrigações regulamentares. A segurança física recai sobre o CSP e o restante das responsabilidades é compartilhado. Observe isso como uma regra geral, todo cliente deve conversar com seu CSP para garantir e entender as responsabilidades definidas e atender às necessidades organizacionais.

Uma vez que um cliente tenha um controle sólido sobre o que o CSP está fornecendo, considere as três dicas abaixo para gerenciar as responsabilidades compartilhadas. Isso pode incluir itens como controles de rede, infraestrutura de host, proteção de endpoint, controles de nível de aplicativo e gerenciamento de acesso.

Consulte as STARs
O registro CSA STAR consiste em três níveis de garantia, que abrangem quatro ofertas exclusivas com base em uma lista de objetivos de controle de nuvem. Aqui, os clientes podem ver quais controles um fornecedor atestou. O STAR também ajuda os clientes a avaliar como os diferentes provedores estão usando um modelo harmonizado. Também é importante perguntar ao CSP se ele concluiu um SOC 2 Tipo 2. Essa avaliação é baseada em um padrão de atestado maduro e assegura que ocorra ao longo do tempo e não em um determinado momento, entre outros padrões úteis.

Leia os contratos
O contrato entre um cliente e o CSP pode ajudar muito cada um a entender suas responsabilidades compartilhadas. Por exemplo, se permitir certos níveis de transparência entre os dois, na forma de autorizar que o cliente veja um relatório de auditoria ou conformidade. No entanto, lembre-se de que ver uma visão geral não é o mesmo que ler todas as páginas do relatório. Um cliente deve saber que nível de transparência está obtendo. Também é importante ter certeza de que existem papéis claros e caminhos de escalonamento que façam sentido, portanto, se algo der errado ou uma decisão precisar ser tomada sobre o encerramento de um serviço ou a notificação de uma violação, isso pode ser feito sem hesitação. E não se esqueça de envolver seu advogado durante a revisão de contrato.

Siga os guias
Para ajudar as organizações a entender maneiras de proteger seus dados na nuvem, a Microsoft possui guias de blueprint para casos de uso, como os regulamentos FFIEC e HIPAA . Além de ferramentas para ajudar as empresas a gerenciar e melhorar seus controles de nuvem, incluindo o gerente de conformidade e a pontuação segura. O gerente de conformidade permite que as organizações controlem suas atividades de conformidade de um único local. A pontuação segura é uma ferramenta de avaliação projetada para tornar mais fácil para as organizações entender sua posição de segurança em relação a outras organizações, ao mesmo tempo em que fornece conselhos sobre quais controles elas devem considerar como habilitar.

Fonte

Quer saber mais?

Fale com um consultor Vai pra Nuvem.

NOME
EMAIL
FONE