Cloud Security Alliance (CSA) vyvinula dotazník Consensus Assessment Initiative Questionnaire (CAIQ) jako nástroj pro cloudové zákazníky a auditory k posouzení bezpečnostních schopností poskytovatelů cloudových služeb (CSP). Jak se využívání cloudových služeb a infrastruktury neustále zrychluje, CSA CAIQ se také přizpůsobuje měnícím se obchodním potřebám. Z tohoto důvodu vydala Oracle Cloud Infrastructure (OCI) aktualizovanou verzi CAIQ v4. Tato úroveň transparentnosti poskytuje organizacím přehled o bezpečnostních procesech, zásadách a ovládacích prvcích OCI společnosti Oracle.
Jak CSP zabezpečuje a chrání svou infrastrukturu a služby, by mělo být jedním z výchozích opatření pro výběr spolehlivého a důvěryhodného poskytovatele cloudovými zákazníky. Vyhodnotit zabezpečení cloudu a zejména dodržování předpisů je obtížné. Nejen, že se liší odvětví od odvětví a globálně se liší, ale také se neustále vyvíjí a zdokonalují regulační orgány, a proto mnoho globálních organizací používá CSA CAIQ k provádění vlastní due diligence, hodnocení a výběru důvěryhodného poskytovatele cloudu.
CAIQ a jak přináší výhody cloudovým zákazníkům
Cloud Security Alliance (CSA ) je globální nezisková výzkumná organizace zaměřená na řešení bezpečnostních problémů v oblasti cloudové kybernetické bezpečnosti a dodržování předpisů. Od svého založení v roce 2009 se ČSA věnuje poskytování služeb poskytovatelům cloudových služeb a cloudovým zákazníkům rámec a zdroje pro zajištění bezpečných cloudových služeb a strategií přijetí cloudu.
K plnění svého poslání vyvinula ČSA široce přijatý třístupňový program zaručování CSP s bezpečnostním, důvěryhodným a zaručovacím rizikem (STAR).
Program zahrnuje následující úrovně hodnocení:
- Úroveň 1 je sebehodnocení a zahrnuje dotazník iniciativy Consensus Assessment (CAIQ v4)
- Úroveň 2 je nezávislý audit třetí strany proti CSA Cloud Control Matrix (CCM v4)
I když je CAIQ součástí procesu předkládání poskytovatelů CSP, aby byli uvedeni v registru STAR pro certifikaci úrovně 1, funguje také jako užitečný dotazník pokrývající kontrolní cíle CCM, jako je kryptografie, šifrování, správa klíčů, správa dodavatelského řetězce, transparentnost a odpovědnost. CAIQ v4 zavádí více funkcí sdílené odpovědnosti, které mohou zákazníkům cloudu pomoci pochopit, že cíle řízení jsou sdíleny, za které nesou odpovědnost a které patří CSP.
Co je nového v CAIQ v4?
Abychom udrželi krok s tempem dynamického prostředí globálních předpisů souvisejících s používáním cloudové technologie, CCM je pravidelně aktualizován a revidován. V roce 2021 vydala CSA aktualizovanou verzi CCM a související CAIQ.
S novou doménou protokolování a monitorování se nyní CCM skládá ze 17 domén ve srovnání se 16 v dřívější verzi s přibližně o 50 % více specifikací ovládání. CAIQ v4, který se zvýšil ze 133 na 197 ovládacích prvků CCM, ačkoli má ve verzi 4 méně otázek, je navržen tak, aby vyhodnotil bezpečnostní postupy, implementaci a zásady provozovatelů cloudu, i když ve verzi 4 obsahuje méně otázek. CAIQ v4 také poskytuje CSP příležitost být transparentní ohledně svých bezpečnostních postupů a schopností.
OCI a CAIQ v4
Zákazníci mohou využít CSA CCM a CAIQ k vyhodnocení praktik a ovládacích prvků cloudového zabezpečení. Z tohoto důvodu je Oracle členem CSA STAR a společnost OCI dokončuje pravidelná nezávislá hodnocení třetích stran vůči CCM, aby svým zákazníkům poskytovala trvalé ujištění v oblastech, jako je zabezpečení dat, kontrola přístupu a soukromí dat a mnoho dalších. S programem hodnocení CSA STAR Level 2 OCI také každoročně zveřejňuje CAIQ v registru CSA STAR .
CAIQ v4 společnosti OCI používají organizace po celém světě k posouzení bezpečnostních postupů a zásad společnosti OCI a ke stanovení, jaké kontroly musí implementovat, aby splnily své obchodní cíle a regionální požadavky. Aktualizovaný dotazník pokrývá kritická bezpečnostní témata související se současnými globálními cloudovými předpisy, jako je kontinuita a odolnost podnikání, šifrování dat a správa zranitelnosti.
Jak roste přijetí cloudu mezi organizacemi a podniky po celém světě, roste i jeho potřeba dodržování předpisů. Přiblížení globálních norem zabezpečení cloudu pomocí otázek CAIQ a ovládacích prvků CCM je efektivním způsobem, jak získat odpovědi na některé z nejdůležitějších oblastí zabezpečení cloudu a na to, jak je řeší váš poskytovatel cloudových služeb.
Zdroj: Oracle
