Cloud Control Matrix di
Cloud Security Alliance in dettaglio

Add-on
Log360 » Add-on
 
  • Che cos'è CCM: Cloud Control Matrix?
  • Chi ha sviluppato CCM?
  • Perché hai bisogno di CCM?
  • Quali domini di sicurezza copre CCM?
  • In che modo CCM aiuta ad adempiere ai requisiti di conformità?
  • In che modo la tua organizzazione può utilizzare CCM?
  • Soluzioni correlate
 

Che cos’è CCM: Cloud Control Matrix?

Cloud Control Matrix (CCM) è un framework di controllo della sicurezza informatica per il cloud computing. Fornisce un modello strutturato costituito da criteri, procedure e linee guida che le organizzazioni possono seguire per rimanere al sicuro. CCM elenca 17 domini che coprono gli aspetti chiave della tecnologia cloud, nell'ambito di ciascuno dei quali vi sono obiettivi di controllo specifici. CCM è attualmente considerato uno standard de facto per la garanzia e la conformità della sicurezza del cloud.

Poiché numerose organizzazioni stanno migrando su cloud, la sicurezza del cloud è una delle principali preoccupazioni. Molte normative e leggi del settore impongono l'implementazione di controlli di sicurezza nel cloud. A questo proposito, l'adozione di un framework di sicurezza cloud per il tuo ambiente cloud, come CCM, può essere vantaggioso.

Chi ha sviluppato CCM?

CCM è stato sviluppato dalla Cloud Security Alliance (CSA). La CSA è un'organizzazione senza scopo di lucro che intende promuovere l'uso di pratiche di cloud computing sicure ed educare le persone su come adottarle.

Perché hai bisogno di CCM?

CCM può essere utilizzato come framework per valutare sistematicamente l'implementazione del cloud. Fornisce indicazioni su quali controlli di sicurezza devono essere implementati da quale attore all'interno della catena di fornitura del cloud.

Quali domini di sicurezza copre CCM?

CCM elenca 17 domini relativi alla tecnologia cloud con una serie di obiettivi di controllo in ciascun dominio. Questi domini sono:

  1. Sicurezza delle applicazioni e delle interfacce
  2. Controllo e garanzia
  3. Gestione della continuità operativa e resilienza operativa
  4. Modifica della gestione di controllo e configurazione
  5. Sicurezza dei dati e gestione del ciclo di vita della privacy
  6. Sicurezza dei data center
  7. Crittografia, codifica e gestione delle chiavi
  8. Governance, gestione del rischio e della conformità
  9. Sicurezza delle risorse umane
  10. Gestione delle identità e degli accessi
  11. Infrastruttura di sicurezza e virtualizzazione
  12. Interoperabilità e portabilità
  13. Gestione universale degli endpoint
  14. Gestione degli incidenti relativi alla sicurezza, e-discovery e analisi forense a livello di cloud
  15. Gestione della Supply Chain, trasparenza e responsabilità
  16. Gestione delle minacce informatiche e delle vulnerabilità.
  17. Registrazione e monitoraggio

Questi 17 settori hanno un totale di 197 obiettivi di controllo.

In che modo CCM aiuta ad adempiere ai requisiti di conformità?

Gli obiettivi di controllo elencati in ciascun dominio CCM sono mappati rispetto a vari standard di sicurezza, normative e framework di controllo del settore. Alcune normative e quadri normativi che CCM ti aiuta a rispettare sono:

  • NIST SP 800-53
  • AICPA TSC
  • German BSI C5
  • PCI DSS
  • ISACA COBIT
  • NERC CIP
  • FedRamp
  • CIS v8
  • ISO/IEC 27001/27002/27017/27018

In che modo la tua organizzazione può utilizzare CCM?

CCM viene fornito con una serie di domande sì/no chiamate Consensus Assessments Initiative Questionnaire (CAIQ). Le organizzazioni possono sfruttare il CAIQ del CSA per valutare i diversi fornitori di servizi cloud e le proprie infrastrutture di sicurezza cloud. I fornitori di cloud e i fornitori di sicurezza possono compilare il CAIQ e inviarlo al registro STAR, che è un registro pubblico, per dimostrare la conformità agli standard, ai framework e alle normative del settore.

Che cos'è STAR?

STAR è l'acronimo di Security, Trust, Assurance e Risk. STAR è un programma avviato da CSA che mira a fornire trasparenza sulle best practice e sugli standard cloud, consentendo alle organizzazioni di prendere decisioni informate. Il programma è costituito da STAR Attestation e STAR Certification, che sono estensioni rispettivamente dei framework SOC2 e ISO27001, ma utilizza anche il framework CCM. La certificazione STAR si compone di due livelli:

Livello 1: si tratta di un'autovalutazione che le organizzazioni possono adottare per promuovere la fiducia e la trasparenza. In questo modo, le organizzazioni che si trovano in ambienti a basso rischio possono valutare la propria sicurezza utilizzando CCM e CAIQ e valutare la propria privacy in base al Codice di condotta del Regolamento generale sulla protezione dei dati.

Livello 2: questo livello è destinato alle organizzazioni che richiedono audit di terze parti ed è più adatto per ambienti a medio rischio.

CSA fornisce anche altre certificazioni di sicurezza del cloud come un Certificate of Cloud Security Knowledge (CCSK) e un Certificate of Cloud Auditing Knowledge (CCAK). Le organizzazioni possono scegliere di richiedere le certificazioni in base alle proprie esigenze. Le certificazioni non solo forniscono credibilità alle organizzazioni, ma stabiliscono anche una forma di fiducia, trasparenza e garanzia che tutti gli sforzi per proteggere il cloud siano in linea con gli standard del settore.

La soluzione SIEM di ManageEngine: Log360

Gestisci la conformità, i rischi, le minacce informatiche e gli incidenti di sicurezza con Log360.

Ulteriori informazioni

Scopri come Log360 ha aiutato le organizzazioni a raggiungere gli standard di conformità.

Pagine correlate

Scarica Log360 di ManageEngine, una soluzione SIEM unificata  

Log360 di ManageEngine ti aiuta a rilevare, investigare e rispondere alle minacce, soddisfacendo al contempo i requisiti di conformità.

Scarica Demo dal vivo