A Matriz de Controle de Nuvem da
Cloud Security Alliance decodificada

 
  • O que é a Matriz de Controle de Nuvem (CCM)?
  • Quem desenvolveu o CCM?
  • Por que você precisa do CCM?
  • Quais domínios de segurança o CCM cobre?
  • Como o CCM ajuda na conformidade?
  • Como sua organização pode usar o CCM?
  • Soluções relacionadas
 

O que é a Matriz de Controle de Nuvem?

A Matriz de Controle de Nuvem (CCM) é uma estrutura de controles de segurança cibernética para computação em nuvem. Ela fornece um modelo estruturado com políticas, procedimentos e diretrizes que as organizações podem seguir para se manterem seguras. A CCM lista 17 domínios que abrangem os principais aspectos da tecnologia de nuvem, cada um dos quais com objetivos de controle específicos. A CCM é atualmente considerada um padrão de fato para garantia e conformidade de segurança em nuvem.

Com inúmeras organizações migrando para a nuvem, a segurança é uma das principais preocupações. Muitas regulamentações e leis do setor exigem a implementação de controles de segurança na nuvem. Nesse sentido, adotar uma estrutura de segurança em nuvem para o seu ambiente, como o CCM, pode ser benéfico.

Quem desenvolveu o CCM?

O CCM foi desenvolvido pela Cloud Security Alliance (CSA). A CSA é uma organização sem fins lucrativos que visa promover o uso de práticas seguras de computação em nuvem e educar as pessoas sobre como adotá-las.

Por que você precisa do CCM?

O CCM pode ser usado como uma estrutura para avaliar sistematicamente sua implementação na nuvem. Ele fornece orientações sobre quais controles de segurança devem ser implementados por cada participante na cadeia de suprimentos da nuvem.

Quais domínios de segurança o CCM cobre?

O CCM lista 17 domínios relacionados à tecnologia de nuvem, com um conjunto de objetivos de controle em cada domínio. Esses domínios são:

  1. Segurança de Aplicações e Interfaces
  2. Auditoria e Garantia
  3. Gestão de Continuidade de Negócios e Resiliência Operacional
  4. Controle de Mudanças e Gerenciamento de Configuração
  5. Gerenciamento do ciclo de vida de segurança e privacidade de dados
  6. Segurança de Datacenter
  7. Criptografia, Encriptação e Gerenciamento de Chaves
  8. Governança, Gestão de Riscos e Conformidade
  9. Segurança de Recursos Humanos
  10. Gerenciamento de Identidade e Acesso
  11. Infraestrutura de Segurança e Virtualização
  12. Interoperabilidade e Portabilidade
  13. Gerenciamento Universal de EndPoint
  14. Gerenciamento de Incidentes de Segurança , E-Discovery e Forense em Nuvem
  15. Gestão da Cadeia de Suprimentos, Transparência e Responsabilidade
  16. Gerenciamento de ameaças e vulnerabilidades
  17. Registro e monitoramento

Esses 17 domínios têm um total de 197 objetivos de controle entre eles.

Como o CCM ajuda na conformidade?

Os objetivos de controle listados em cada domínio no CCM são mapeados em relação a vários padrões de segurança, regulamentações e estruturas de controle do setor. Alguns regulamentos e estruturas aos quais o CCM ajuda você a aderir são:

  • NIST SP 800-53
  • AICPA TSC
  • BSI C5 alemão
  • PCI DSS
  • ISACA COBIT
  • NERC CIP
  • FedRamp
  • CIS v8
  • ISO/IEC 27001/27002/27017/27018

Como sua organização pode usar o CCM?

O CCM inclui um conjunto de perguntas de sim ou não, chamado Questionário da Iniciativa de Avaliações de Consenso (CAIQ). As organizações podem utilizar o CAIQ da CSA para avaliar os diferentes provedores de serviços em nuvem e suas próprias infraestruturas de segurança em nuvem. Fornecedores de serviços em nuvem e provedores de segurança podem preencher o CAIQ e enviá-lo ao Registro STAR, um registro público, para demonstrar conformidade com os padrões, estruturas e regulamentações do setor.

O que é STAR?

STAR significa Segurança, Confiança, Garantia e Risco. STAR é um programa iniciado pela CSA que visa fornecer transparência sobre as melhores práticas e padrões de nuvem, permitindo que as organizações tomem decisões informadas. O programa consiste na Atestação STAR e na Certificação STAR, que são extensões das estruturas SOC2 e ISO27001, respectivamente, mas também utiliza a estrutura CCM. A certificação STAR consiste em dois níveis:

Nível 1: Esta é uma autoavaliação que as organizações podem realizar para promover confiança e transparência. Com ela, organizações em ambientes de baixo risco podem avaliar sua segurança usando o CCM e o CAIQ, e avaliar sua privacidade com base no Código de Conduta do Regulamento Geral sobre a Proteção de Dados.

Nível 2: destinado a organizações que exigem auditorias de terceiros e é mais adequado para ambientes de risco médio.

A CSA também oferece outras certificações de segurança em nuvem, como o Certificado de Conhecimento em Segurança em Nuvem (CCSK) e o Certificado de Conhecimento em Auditoria em Nuvem (CCAK). As organizações podem optar por solicitar as certificações de acordo com seus requisitos. As certificações não apenas conferem credibilidade às organizações, mas também estabelecem uma forma de confiança, transparência e garantia de que todos os esforços para proteger a nuvem estão em conformidade com os padrões do setor.

Solução SIEM da ManageEngine: Log360

Gerencie sua conformidade, riscos, ameaças e incidentes de segurança usando o Log360.

Saiba mais

Saiba como o Log360 ajudou organizações a atingir padrões de conformidade.

Estudo de caso

Páginas relacionadas

4 princípios essenciais do GDPR para conformidade de TI Protegendo informações de cartão de pagamento com PCI-DSSSua organização está em conformidade com a HIPAA? Calcule sua pontuação de conformidade com a HIPAA para descobrir
Baixe o ManageEngine Log360, uma solução SIEM unificada  
Home » SIEM

Prêmios e reconhecimentos

ManageEngine é reconhecida no Quadrante Mágico de 2024 da Gartner para SIEMEscolha dos Clientes Gartner Peer Insights para SIEM

2022 Gartner SIEM mq

Recursos

Suporte

Secure your IT infrastructure with a cloud SIEM solution

Soluções por setor

Soluções relacionadas