fbpx

Programa de conformidade e risco da AWS

Compartilhar no facebook
Compartilhar no linkedin
Compartilhar no twitter
Compartilhar no whatsapp
Compartilhar no telegram

O AWS Risk and Compliance foi desenvolvido para aproveitar os programas tradicionais e ajudar os clientes a estabelecer e operar em um ambiente de controle de segurança da AWS.

A AWS fornece informações detalhadas sobre seu programa de risco e conformidade para permitir que os clientes incorporem os controles da AWS em suas estruturas de governança. Essas informações podem ajudar os clientes a documentar estruturas completas de controle e governança nas quais a AWS está incluída como uma parte importante.

As três áreas principais do programa de riscos e conformidade – gerenciamento de riscos, ambiente de controle e segurança da informação – são descritas a seguir.

 

Gerenciamento de riscos

A AWS desenvolveu um plano estratégico de negócios que inclui a identificação de riscos e a implementação de controles para mitigar ou gerenciar riscos. Uma equipe de gerenciamento da AWS reavalia o plano de risco comercial pelo menos duas vezes por ano.

Como parte desse processo, os membros da equipe de gerenciamento são obrigados a identificar riscos em suas áreas específicas de responsabilidade e implementar controles projetados para tratar e talvez até eliminar esses riscos.

O ambiente de controle da AWS está sujeito a avaliações de risco internas e externas adicionais. As equipes de conformidade e segurança da AWS estabeleceram uma estrutura e políticas de segurança da informação com base na estrutura COBIT (Objetivos de Controle para Tecnologia da Informação e Tecnologia Relacionada) e integraram efetivamente a estrutura certificável ISO 27001 com base nos controles ISO 27002, nos Princípios dos Serviços de Confiança da AICPA, O PCI DSS v3.1 e as Publicações 800–53 do Instituto Nacional de Padrões e Tecnologia (NIST), Revisão 3, Controles de segurança recomendados para sistemas de informações federais.

A AWS mantém a política de segurança e fornece treinamento de segurança aos seus funcionários. Além disso, a AWS realiza revisões regulares de segurança de aplicativos para avaliar a confidencialidade, integridade e disponibilidade de dados e conformidade com a política de segurança da informação.

A equipe de segurança da AWS verifica regularmente todos os endereços IP de endpoints voltados para o público em busca de vulnerabilidades. É importante entender que essas verificações não incluem instâncias do cliente. A segurança da AWS notifica as partes apropriadas para corrigir quaisquer vulnerabilidades identificadas. Além disso, empresas de segurança independentes realizam regularmente avaliações externas de ameaças de vulnerabilidade.

As descobertas e recomendações resultantes dessas avaliações são categorizadas e entregues à liderança da AWS. Essas verificações são feitas de maneira a garantir a integridade e a viabilidade da infraestrutura subjacente da AWS e não têm como objetivo substituir as verificações de vulnerabilidade do cliente necessárias para atender aos requisitos de conformidade específicos.

Conforme mencionado, os clientes podem solicitar permissão para realizar suas próprias verificações de vulnerabilidade em seus próprios ambientes. Essas verificações de vulnerabilidades não devem violar a política de uso aceitável da AWS e devem ser solicitadas antes da verificação.

 

Ambiente de controle

A AWS gerencia um ambiente de controle abrangente que consiste em políticas, processos e atividades de controle. Esse ambiente de controle existe para a entrega segura de ofertas de serviços da AWS.

O ambiente de controle coletivo inclui pessoas, processos e tecnologia necessários para estabelecer e manter um ambiente que ofereça suporte à eficácia operacional da estrutura de controle da AWS. A AWS integrou controles específicos aplicáveis ​​à nuvem identificados pelos principais organismos do setor de computação em nuvem na estrutura de controle da AWS.

A AWS continua a monitorar esses grupos do setor em busca de idéias sobre quais práticas líderes podem ser implementadas para ajudar melhor os clientes no gerenciamento de seus ambientes de controle.

O ambiente de controle da AWS começa no nível mais alto da empresa. A liderança executiva e sênior desempenha papéis importantes no estabelecimento do tom e dos valores essenciais da empresa.

Todos os funcionários recebem o código de conduta e ética comercial da empresa e concluem o treinamento periódico. As auditorias de conformidade são realizadas para que os funcionários entendam e sigam as políticas estabelecidas.

A estrutura organizacional da AWS fornece uma estrutura para planejar, executar e controlar operações de negócios. A estrutura organizacional atribui funções e responsabilidades para fornecer pessoal adequado, eficiência das operações e segregação de funções.

A gerência também estabeleceu autoridade e linhas de relatório apropriadas para o pessoal-chave. Como parte dos processos de verificação de contratação da empresa, estão incluídos educação, emprego anterior e, em alguns casos, verificações de antecedentes permitidas por lei para funcionários compatíveis com a posição e o nível de acesso do funcionário às instalações da AWS.

A empresa segue um processo de integração estruturado para familiarizar os novos funcionários com as ferramentas, processos, sistemas, políticas e procedimentos da Amazon.

 

Segurança da Informação

A AWS usa um programa formal de segurança da informação desenvolvido para proteger a confidencialidade, a integridade e a disponibilidade dos sistemas e dados dos clientes. A AWS publica vários documentos técnicos de segurança disponíveis no site principal da AWS. Estes documentos técnicos são de leitura recomendada

Conteúdos relacionados

Fique informado

Assine para receber conteúdos exclusivos.