Segurança na nuvem com Log360Segurança na nuvemO que é conformidade com a nuvem

O que é conformidade com a nuvem?

Home » SIEM
 
  • O que é conformidade com a nuvem?
  • Por que a conformidade com a nuvem é importante?
  • Quem é responsável pela segurança e conformidade com a nuvem?
  • Padrões de conformidade de segurança na nuvem
  • Estrutura de conformidade de segurança na nuvem
  • Estrutura de segurança na nuvem
  • Estrutura de governança de segurança na nuvem
  • Melhores práticas de conformidade com a nuvem
  • O que é risco de conformidade?
  • Como atender aos regulamentos de conformidade com a nuvem
 

O que é conformidade com a nuvem?

A conformidade com a nuvem é o processo de garantir que o uso da nuvem da sua organização esteja de acordo com os padrões do setor e outras leis associadas à nuvem. Essas exigências e diretrizes podem se aplicar ao setor ou à região à qual sua organização pertence. Por exemplo, os regulamentos da lei HIPAA são específicos para o setor de saúde e, se sua organização estiver sediada na Europa, o GDPR se aplica. Há também padrões de conformidade que são seguidos em todo o mundo, como os da ISO.

Por que a conformidade com a nuvem é importante?

Aqui estão nove motivos pelos quais estar em conformidade ajuda uma organização:

  1. Traz estrutura: Definir com precisão as funções e responsabilidades dos profissionais de segurança é fundamental. Por exemplo, sob certas condições, o GDPR exige a nomeação de um Diretor de Proteção de Dados (DPO).
  2. Aumenta a aversão ao risco: Por meio da conformidade, as organizações são mais capazes de identificar e mitigar ameaças.
  3. Aumenta a credibilidade: A conformidade de uma organização é uma indicação de seu compromisso em aderir aos padrões e regulamentos do setor.
  4. Promove um ambiente de trabalho ético: Todos os membros de uma organização são partes interessadas, e as políticas de conformidade definem diretrizes e padrões claros de conduta ética para eles.
  5. Indica políticas de proteção de dados mais fortes: A conformidade com a segurança na nuvem envolve a implementação de mecanismos fortes de proteção de dados, como criptografia, controles de acesso e auditorias frequentes, e demonstra o compromisso de uma organização com a privacidade e a segurança.
  6. Indica melhor uso das finanças: A conformidade garante a alocação adequada de recursos de segurança e leva a um melhor gerenciamento de custos e à otimização dos investimentos em infraestrutura de segurança.
  7. Garante maior flexibilidade e adaptabilidade: A conformidade com a nuvem fornece uma estrutura para que as organizações implementem soluções de segurança eficazes. Elas também enfatizam a flexibilidade na resposta a ameaças e atualizações regulatórias, ao mesmo tempo em que incentivam soluções de segurança adaptáveis.
  8. Detecção aprimorada de ameaças: A conformidade com a nuvem ajuda a garantir a identificação mais rápida de ameaças por meio de mecanismos obrigatórios de descoberta avançada de ameaças, como sistemas de detecção de invasão e algoritmos de detecção de anomalias.
  9. Vantagem competitiva: A conformidade com a segurança na nuvem aprimora a reputação de uma organização, o que leva a novas oportunidades de negócios, atraindo clientes preocupados com a segurança e aumentando a fidelidade do cliente.

A não conformidade pode levar a enormes perdas financeiras, maior risco de violações de dados, contratempos e ineficiências competitivas, relações públicas negativas e danos à credibilidade.

Quem é responsável pela segurança e conformidade na nuvem?

Os provedores de segurança em nuvem e seus clientes são mutuamente responsáveis por alcançar a conformidade com a segurança. O modelo de responsabilidade compartilhada garante que uma organização tenha uma visão completa da responsabilização pelo provedor de serviços e pela organização.

O provedor de serviços deve garantir a entrega de uma plataforma de nuvem em conformidade; a organização é responsável pela segurança dos dados e das aplicações que usa. Como conformidade significa vários processos, testes e avaliações, em última análise, é responsabilidade da organização garantir que eles estejam em vigor e sejam seguidos.

Padrões de conformidade com a nuvem

Os padrões de conformidade com a nuvem abrangem três estruturas principais: conformidade com a nuvem, segurança na nuvem e governança na nuvem. Entender as diferenças é crucial para o gerenciamento abrangente da nuvem.

Diferença entre a conformidade com a nuvem, segurança na nuvem e as estruturas de governança na nuvem
 Estrutura de conformidade com a nuvemEstrutura de segurança na nuvemEstrutura de governança na nuvem
O que é?Concentra-se em aderir às leis regulatórias e aos padrões do setor ao usar recursos na nuvem.Concentra-se em fornecer uma estrutura para proteger e gerenciar recursos na nuvem.Concentra-se na criação de processos e procedimentos que garantam a máxima utilização de recursos na nuvem.
Qual é o escopo?Discute as exigências de conformidade de segurança definidas por diferentes setores e órgãos regulatórios internacionais e regionais.Discute medidas de segurança para proteger a infraestrutura em nuvem e elabora tópicos como IAM, criptografia e segurança de rede.Discute tópicos de nível mais amplo, como uso ideal, gerenciamento financeiro e planejamento de recursos.
Como implementar?Você pode garantir a conformidade realizando avaliações periódicas, auditorias e monitoramento constante de sua ferramenta de gerenciamento de conformidade.As equipes de TI podem realizar avaliações de vulnerabilidade e vários testes de segurança para garantir que sua segurança seja rígida e contenha todas as medidas de proteção, defesa e resposta implementadas.A gerência pode supervisionar e garantir que haja uma utilização ideal de recursos e custos, gerenciamento de ativos e riscos adequado e processos de segurança eficientes em vigor.
ExemplosLei HIPAA, PCI-DSS, ISO 27001, GDPRNIST, AWS Well-Architected Framework, controles CIS, CSA STAROpen Group Architecture Framework (TOGAF), Controle de Objetivos para Informação e Tecnologias Relacionadas (COBIT)

Estrutura de conformidade com a nuvem

Nesta seção, descreveremos principalmente cinco importantes estruturas de conformidade: Lei HIPAA, PCI-DSS, ISO 27001, GDPR e lei SOX.

  • Lei HIPAA: A Lei de Portabilidade e Responsabilidade de Seguros de Saúde é um regulamento de conformidade que protege as informações de saúde de cada paciente contra acesso não autorizado. Para alcançar a conformidade, as organizações precisam estabelecer sistemas e controles para garantir que esses dados estejam protegidos. A lei HIPAA exige que uma organização colete, gerencie e mantenha registros das tentativas de login bem-sucedidas e malsucedidas dos usuários da nuvem.
  • PCI-DSS: O PCI-DSS, que significa Padrão de Segurança de Dados do Setor de Cartões de Pagamento, é um conjunto de processos e práticas projetados para garantir que os dados financeiros dos indivíduos estejam seguros. Estar em conformidade com o PCI-DSS impõe uma transferência segura de dados de cartão de pagamento.
  • ISO 27001: A ISO 27001 é um padrão de segurança cibernética que compreende as melhores práticas e os controles que ajudam as organizações a proteger os dados implementando um forte sistema de gerenciamento de segurança da informação (ISMS) e a tríade CIA (confidencialidade, integridade e disponibilidade). Com relação à nuvem, a ISO 27001 exige que as organizações coletem, gerenciem e armazenem logs da atividade de login de usuários na nuvem.
  • GDPR: O Regulamento Geral de Proteção de Dados concentra-se principalmente nos estados-membros da UE e no espaço econômico europeu, mas se aplica a qualquer organização que realize negócios na Europa. Essa conformidade foi promulgada para dar aos cidadãos europeus mais controle sobre seus dados e estabelecer regras de privacidade de dados. Fornece 99 artigos categorizados em 11 capítulos. Respeitá-los pode ser trabalhoso e desafiador sem um software especializado.
  • Lei SOX: A Lei Sarbanes-Oxley de 2002 exige que a Comissão de Títulos e Câmbio dos EUA defina as funções e responsabilidades das várias partes interessadas envolvidas na manutenção e elaboração de relatórios de registros financeiros corporativos. Também estabelece que a não conformidade resultará em penalidades severas.

Estrutura de segurança na nuvem

Nesta seção, discutiremos principalmente seis importantes estruturas de segurança: NIST, FedRAMP, CSA STAR, Well-Architected Framework, CSA CCM e CIS.

  • NIST: O Instituto Nacional de Padrões e Tecnologia é uma agência federal não regulatória do Departamento de Comércio dos EUA que estabelece padrões de conformidade. A Estrutura de Segurança Cibernética do NIST compreende um conjunto de padrões de segurança voluntários projetados para orientar as organizações no gerenciamento e mitigação de riscos de segurança cibernética.
  • FedRAMP: O Programa Federal de Gerenciamento de Riscos e Autorizações é uma iniciativa do governo dos EUA destinada a padronizar a avaliação, o monitoramento e a autorização de serviços na nuvem em todos os governos federais. Ele serve como uma verificação de segurança para provedores de serviços na nuvem, reduzindo os riscos de adoção da nuvem e incentivando tecnologias modernas na nuvem. O FedRAMP é semelhante às diretrizes de segurança em nuvem da lei FISMA para proteção de dados do governo.
  • CSA STAR: O programa Segurança, Confiança, Garantia e Risco oferecido pela Cloud Security Alliance é uma avaliação de certificação para ajudar a confirmar se a infraestrutura de uma organização está alinhada com sua estrutura da Matriz de Controle em Nuvem (CCM). As certificações não apenas fornecem credibilidade às organizações, mas também ajudam a estabelecer uma forma de confiança, transparência e garantia de que os esforços para proteger a nuvem estão alinhados com os padrões do setor. O programa consiste em Atestação STAR e Certificação STAR, que são extensões das estruturas SOC-2 e ISO 27001, respectivamente, mas também utiliza a estrutura CCM.
  • Well-Architected Framework: São diretrizes e recomendações para arquitetos na nuvem construírem uma infraestrutura eficiente, de alto desempenho e segura para suas aplicações. Embora a estrutura mais popular seja fornecida pela AWS o Azure, a IBMe o Google Cloud também criaram essas estruturas para orientar arquitetos, desenvolvedores e administradores.
  • CSA CCM: A Matriz de Controle em Nuvem da Cloud Security Alliance pode ser usada como uma ferramenta para avaliar sistematicamente sua implementação na nuvem. É uma estrutura da CSA que contém 16 domínios e abrange todos os aspectos da tecnologia em nuvem, desde as diferentes estruturas até os regulamentos do setor, que as empresas teriam que respeitar. Fornece orientação sobre quais controles de segurança devem ser implementados por qual agente dentro da cadeia de suprimentos na nuvem.
  • CIS: Os controles do Center of Internet Security, anteriormente chamado de Controles de Segurança Críticos SANS, são um conjunto de 18 medidas de controle ou melhores práticas que sua organização pode adotar para proteção contra ataques cibernéticos comuns. A implementação dessas 18 melhores práticas ajuda as organizações a se manterem seguras e proativas no ambiente cibernético:
    1. Inventário e controle de ativos corporativos
    2. Inventário e controle de ativos de software
    3. Proteção de dados
    4. Configuração de segurança de ativos e software corporativos
    5. Gerenciamento de contas
    6. Gerenciamento de controle de acesso
    7. Gerenciamento de vulnerabilidade contínua
    8. Gerenciamento de logs de auditoria
    9. Proteções de e-mail e navegador da web
    10. Defesas contra malware
    11. Recuperação de dados
    12. Gerenciamento de infraestrutura de rede
    13. Monitoramento e defesa de rede
    14. Treinamento de conscientização e habilidades de segurança
    15. Gerenciamento de provedores de serviços
    16. Segurança do software da aplicação
    17. Gerenciamento de resposta ao incidente
    18. Testes de invasão

Estrutura de governança na nuvem

Existem quatro principais estruturas de governança: AWS Cloud Adoption Framework, Microsoft Cloud Adoption Framework, COBIT e TOGAF.

  • AWS CAF: O Cloud Adoption Framework da AWS é um conjunto de melhores práticas para usar durante a migração para a nuvem AWS. Funciona como um manual e discute seis áreas que precisam de atenção durante o processo de transição: negócios, pessoas, governança, plataforma, segurança, e operações. As três primeiras se concentram nas perspectivas de negócios, enquanto as três últimas se concentram nas capacidades técnicas. Usando as várias informações coletadas das diferentes pessoas que se enquadram em diferentes áreas, um plano de ação pode ser gerado.
  • Microsoft Cloud Adoption Framework: O Microsoft Cloud Adoption Framework funciona como o AWS CAF. Qualquer pessoa que queira migrar para o Azure pode seguir o Cloud Adoption Framework da Microsoft. Essa estrutura se concentra nas etapas a serem seguidas, em vez de nas diferentes áreas e pessoas envolvidas, como no AWS CAF. As seis etapas desenvolvidas são: definir estratégia, planejar, estar pronto, adotar, governar e gerenciar. Em cada etapa, subpontos ajudam o usuário a entender os detalhes da mudança.
  • COBIT: O Controle de Objetivos para Informação e Tecnologias Relacionadas é uma estrutura de governança de TI desenvolvida pela Associação de Auditoria e Controle de Sistemas de Informação (ISACA) para gerenciamento e governança de TI. Ela ajuda as organizações a definir objetivos de controle, governança e desempenho na nuvem. A ISACA também publicou um livro, Controls and Assurance in the Cloud: Using COBIT 5 explicando os processos, avaliações e estruturas de adoção da nuvem.
  • TOGAF: O Open Group Architecture Framework é uma estrutura de arquitetura corporativa projetada para alinhar as estratégias de TI com os objetivos de negócios. Abrange uma amplitude de ferramentas e serviços, com um aspecto central sendo o Método de Desenvolvimento de Arquitetura (ADM). O TOGAF é dividido em duas partes: conteúdo fundamental e orientação estendida. O ADM fornece um processo passo a passo para o desenvolvimento de arquitetura corporativa, seguido por tópicos dinâmicos, como a evolução das melhores práticas.

Melhores práticas de conformidade com a nuvem

Aqui estão sete coisas que você pode fazer para garantir que seu ambiente na nuvem permaneça em conformidade:

  1. Entenda seu ambiente na nuvem, identifique onde os dados residem, classifique-os e forneça apenas acesso limitado aos dados vitais.
  2. Criptografe todos os dados sensíveis e armazene-os em um único local com segurança robusta. Ou você também pode optar pela diversificação, dividindo todos os seus dados em segmentos diferentes e aplicando diferentes conjuntos de controles de acesso. Promova um ambiente de Zero Trust.
  3. Ative o monitoramento contínuo e um sistema que pode enviar alertas em caso de desvio da normalidade.
  4. Identifique todas as normas de conformidade às quais precisa aderir e realize verificações frequentes para ficar no topo.
  5. Conheça suas responsabilidades e conduza sessões de conscientização para que os outros saibam quais são suas responsabilidades.
  6. Use ferramentas de gerenciamento de conformidade que podem ajudar a simplificar seus processos de auditoria.
  7. Entenda e mantenha bons relacionamentos com seu provedor de serviços em nuvem para garantir que vocês estejam alinhados.

O que é risco de conformidade?

O risco de conformidade é a ameaça financeira, jurídica e reputacional enfrentada por uma empresa que sofre uma violação de conformidade. Para garantir que uma organização seja avessa ao risco, pode ser necessário seguir algumas práticas de gerenciamento de riscos. Na nuvem, como há várias entidades envolvidas, gerenciar riscos pode ser trabalhoso. No entanto, aqui estão algumas coisas que você pode fazer para garantir que sua organização esteja livre de riscos:

  1. Identifique os vários riscos, tanto no provedor de serviços em nuvem quanto no usuário, e crie uma estrutura de gerenciamento de riscos. Defina quem é responsável pelo quê e analise os vários riscos associados às responsabilidades.
  2. Certifique-se de ter planos de backup caso algo dê errado.
  3. Realize avaliações de risco com frequência.
  4. Garanta que sua segurança na nuvem seja robusta. Configurações incorretas, acesso não autorizado e APIs inseguras são alguns dos riscos de segurança comumente observados que persistem em um sistema.

Como atender aos regulamentos de conformidade com a nuvem

Há muitas opções de software disponíveis para facilitar a conformidade. Por exemplo, o Log360, a solução SIEM oferecida pela ManageEngine, fornece relatórios predefinidos para mais de 20 exigências de conformidade. A maioria dos requisitos de conformidade, incluindo PCI-DSS, lei HIPAA, ISO 27001, GDPR e NIST, compartilha uma estrutura comum para controles de segurança. Isso inclui monitoramento de usuários privilegiados, monitoramento de dados sensíveis, proteção de dados e resposta ao incidente. Tudo o que você precisa fazer é habilitar o relatório predefinido necessário para que sua organização esteja em conformidade. Saiba mais sobre como o Log360 Cloud pode ajudá-lo a alcançar a conformidade aqui.

Páginas relacionadas

Sua organização está em conformidade com a lei HIPAA? Calcule sua pontuação de conformidade com a lei HIPAA para descobrir.4 princípios essenciais do GDPR para conformidade de TIInício com a ISO 27001? Aqui está o que você precisa saber.
Faça o download do Log360 da ManageEngine, uma solução SIEM unificada  

Detecte, investigue e responda a ameaças, ao mesmo tempo que cumpre os requisitos de conformidade.

DownloadDemonstração ao vivo

Prêmios e reconhecimentos

ManageEngine é reconhecida no Quadrante Mágico de 2024 da Gartner para SIEMEscolha dos Clientes Gartner Peer Insights para SIEM

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas