Cloud

Cloud Security Assessment

O processo de avaliação de riscos na nuvem permite que você estabeleça o valor da informação e o risco de colocar seus dados na nuvem. Entender o apetite por risco da sua empresa é um recurso importante para aceitar o modelo operacional e os termos de uso de um fornecedor de serviços na nuvem. Uma boa ferramenta de avaliação de nuvem destina-se a complementar uma avaliação de risco com conteúdo específico de nuvem.

Ao seguir as considerações de avaliação de risco da nuvem, você receberá perguntas sobre:

Confidencialidade:

Por exemplo, quão protegida é a informação do provedor da nuvem e do país em que ela está armazenada?

O provedor de nuvem tem bons procedimentos de criptografia e gerenciamento de chaves?

Integridade:

Como o provedor de nuvem tem bons processos e infraestrutura para manter seus dados separados de outros clientes?

Disponibilidade:

Como o provedor de nuvem tem boas práticas de gerenciamento de DR, BCP e incidentes?

A localização dos datacenters apresenta problemas de latência?

Os SLAs são apropriados para seu uso?

Seus dados foram removidos adequadamente no término do serviço?

Em geral, essas são todas as perguntas preliminares de risco que você gostaria de responder se estivesse operando o serviço sozinho. Ao respondê-las, é útil considerar como você obtém a garantia de um serviço no qual confia em suas informações.

As avaliações de risco, embora importantes, são precursoras de uma gestão eficaz do risco da informação. As organizações devem direcionar seus recursos para o gerenciamento do risco da informação por meio do tratamento (a seleção e a implementação de controles), especialmente quando seus recursos são limitados. O provedor de serviços normalmente teria a maior necessidade de recursos para concluir a fase do questionário de considerações sobre nuvem.

Importante considerar também que, uma avaliação de risco deve ser adequadamente dimensionada em relação ao valor da informação que você está confiando ao serviço.

No ano passado, o SANS Institute, uma organização de treinamento em segurança de TI, relatou que apenas 22% das organizações pesquisadas dependem de testes e validação extensos antes de colocar um aplicativo terceirizado ou baseado em nuvem em produção.

As pessoas acham que seus dados e aplicativos ficarão inseguros se forem colocados na nuvem. Eles têm as seguintes perguntas típicas em mente:

  • Como alguém pode se preocupar com a segurança dos meus dados?
  • E se meus dados forem perdidos ou roubados?
  • Como posso ter certeza de que meu provedor de nuvem implementou mecanismos de segurança suficientes para proteger meu aplicativo e os dados de uso incorreto?
  • Como posso ter certeza de que minhas arquiteturas implementaram práticas recomendadas ao projetar o aplicativo?
  • Como posso ter certeza de que meus desenvolvedores codificaram meu aplicativo da maneira que deveria ser e como posso ter certeza de que meus engenheiros de teste validaram o código de acordo com os melhores padrões de segurança?

É sempre interessante perguntar a um profissional preparado em empresas de confiança, dedicados ao Cloud Security que pode não apenas responder às suas perguntas avaliando a implementação de segurança do seu provedor de nuvem, validando a arquitetura de aplicativos em nuvem, verificando a implementação do aplicativo, realizando testes de segurança e penetração, mas também fornecendo as melhores soluções de segurança. para que você possa ter confiança relacionada à segurança dos seus dados e aplicativos.

Entre em contato, podemos conversar de maneira abrangente como estas duvidas podem ser sanadas com um plano prático de avaliação, implementação, treinamento e conscientização.