Em um artigo recente eu escrevi sobre “Como eu posso saber que minhas informações estão seguras na nuvem?“. E citei no artigo vários padrões, regulamentações e certificações, mas foquei no SOC (Service Organization Controls).
Agora você já sabe o que é o relatório SOC e como ele é importante. Mas nunca podemos esquecer que o trabalho de manter a segurança na Cloud não é só do CSP, mas sua também. Tanto que existe uma matriz de responsabilidade que devemos nos atentar. Você pode consultar essa matriz no artigo Workload Cloud Security
Para nos ajudar a melhorar a segurança em nosso ambiente de cloud é possível verificar em cada controle de conformidade o conjunto de avaliações executadas pela ASC (Azure Security Center) .
Para isso basta acessar o Security Center – Regulatory compliance
Até o momento, temos por padrão disponível ( mas você pode adicionar outras) as seguintes regulamentações e padrões:
- Azure CIS 1.1.0
- PCI DSS 3.2.1
- ISO 27001
- SOC TSP
E qual é a sua responsabilidade ?
Expandindo cada padrão veremos os controles e se eles estiverem verdes, significa que essas avaliações estão OK.
Importante levar em consideração que nem todos os controles de qualquer regulamento específico são cobertos pelas avaliações da Central de Segurança.
Os que estão em vermelho podem ser remediados e isso depende de como você gerencia o seu ambiente de Cloud.
Graças a esses recurso é possível identificar qual ameaça existe, e qual ação de remediação devemos tomar para proteger nosso ambiente. isso é possível de ver na imagem abaixo.
Se observarmos a forma como está dividido o SOC (Service Organization Controls) notaremos que é baseado em critérios. Os critérios de serviços de confiança em inglês Trust Services Criteria ou TSC e foram alinhados com os 17 critérios (conhecidos como princípios) apresentados no COSO Internal Control- Integrated Framework
- A1 – Additional Criteria for Availability
- C1 – Additional Criteria for Confidentiality
- C1.1 – A entidade identifica e mantém informações confidenciais para atender aos objetivos da entidade relacionados à confidencialidade.
- Identifica informações confidenciais
- Protege Informações Confidenciais contra Destruição
- C1.1 – A entidade identifica e mantém informações confidenciais para atender aos objetivos da entidade relacionados à confidencialidade.
E assim por diante (Consulte o documento oficial da AICPA para todos os critérios).
Conclusão. O Trust Services Criteria usado no SOC (Service Organization Controls) nos fornece um critério de avaliação de segurança e os riscos associados nos dando uma visão geral de controles que podem ser adotados. O Azure Security Center – Regulatory compliance nos exibe uma analise do SOC TSP em nosso ambiente.
Seja o primeiro a comentar