A CSA (Cloud Security Alliance) concebeu o CAIQ para criar documentos do setor que descrevem os controles de segurança que devem existir em diferentes serviços em nuvem, como produtos de IaaS (Infrastructure-as-a-service, infraestrutura como serviço), PaaS (Platform-as-a-service, plataforma como serviço) e SaaS (Software-as-a-service, software como serviço).

Quando o CAIQ foi fundado?

A CSA foi fundada em 2008 como uma autoridade que define padrões, práticas recomendadas e certificação para garantir ambientes de nuvem seguros no mundo todo. Como a principal autoridade mundial em práticas recomendadas de nuvem, a CSA se dedica a oferecer conhecimentos e recursos essenciais criados para beneficiar clientes de nuvem, fornecedores, empreendedores, governos e qualquer outro grupo que use, forneça ou trabalhe com serviços de computação em nuvem.

À medida que a dependência da nuvem continua aumentando neste novo século, a CSA reconheceu que essa tecnologia em expansão poderia introduzir grandes falhas de segurança se fosse implementada sem qualquer forma de regulamentação. A CSA se encarregou de criar e compartilhar a documentação sobre padrões do setor e controles de segurança comumente aceitos para serviços baseados na nuvem (IaaS, PaaS e SaaS). O CAIQ oferece às organizações transparência essencial sobre táticas, tecnologias e políticas que são usadas pelos fornecedores de nuvem para proteger dados confidenciais e gerenciar riscos.

Basicamente, o CAIQ é uma pesquisa. A versão 3.1 (a versão mais atualizada disponível) consiste em 295 perguntas de sim/não direcionadas aos provedores de nuvem. Essas perguntas foram elaboradas para apresentar aos consumidores de nuvem e aos auditores de nuvem informações sobre quanto o provedor está em conformidade com as normas e práticas recomendadas estabelecidas. Outra versão, conhecida como CAIQ-Lite, oferece uma avaliação mais fácil e um pouco menos completa que usa cerca de 70 perguntas, elaboradas para profissionais de segurança cibernética e modelos de aquisição de nuvem.

Em resumo, as equipes de gerenciamento de riscos do fornecedor, usando um questionário padronizado, podem reduzir custos e aumentar a eficiência. O CAIQ ajuda a proteger os usuários que adotam a nuvem de se expor a riscos desnecessários de segurança cibernética. O CAIQ também oferece um serviço essencial aos provedores de nuvem. Os fornecedores podem usar o CAIQ para informar sua segurança e demonstrar efetivamente essas ofertas aos clientes usando um conjunto padronizado de termos e conceitos.

Trabalhar com fornecedores de nuvem terceirizados sempre envolve algum risco. Ao confiar dados e processos vitais a grupos fora do ambiente controlado da organização de negócios, os usuários da nuvem perdem a capacidade de garantir diretamente a implementação de segurança adequada. Até mesmo os provedores de nuvem mais confiáveis podem falhar em determinadas áreas, e as organizações precisam entender onde essas falhas têm mais probabilidade de ocorrer e quais pontos fracos podem ser inerentes às soluções de nuvem do fornecedor.

O CAIQ avalia a segurança dos provedores de nuvem e tem como objetivo criar padrões de documentação comuns e aceitos do setor. Isso oferece uma maneira para as organizações entenderem e avaliarem os provedores de nuvem e sua própria postura de segurança antes de firmar um acordo de negócios.

Como mencionado anteriormente, o CAIQ completo consiste em 295 perguntas que um consumidor ou auditor de nuvem pode desejar fazer a um provedor para coletar informações sobre sua conformidade com a CCM (Cloud Controls Matrix, matriz de controles de nuvem). Os consumidores podem querer adaptar o questionário para melhor atender às suas necessidades e abordar suas preocupações e casos de uso específicos, revisando ou eliminando perguntas quando necessário.

O que é CCM (Cloud Controls Matriz, matriz de controles de nuvem)?

CCM é uma estrutura de controle para segurança cibernética usada para computação em nuvem. Ela é composta por 133 objetivos estruturados em torno de 16 domínios. Os 16 domínios são:

• Segurança de aplicativos e interfaces 
• Garantia e conformidade de auditorias 
• Gerenciamento de continuidade de negócio e resiliência operacional 
• Gerenciamento de configurações e controle de mudanças 
• Gerenciamento do ciclo de vida das informações e segurança de dados 
• Segurança do datacenter 
• Gerenciamento de chaves e criptografia 
• Gerenciamento de riscos e governança 
• Segurança dos recursos humanos 
• Gerenciamento de identidades e acesso 
• Infraestrutura e virtualização 
• Interoperabilidade e portabilidade  
• Segurança móvel 
• Gerenciamento de incidentes de segurança, E-Disc e perícia forense de nuvem 
• Gerenciamento, transparência e responsabilidades da cadeia de suprimentos 
• Gerenciamento de ameaças e vulnerabilidades

Como a CCM é usada?

A CCM pode ser usada como uma ferramenta para avaliar sistematicamente a implementação da nuvem, oferecendo orientações sobre quais controles de segurança devem ser implementados por qual agente na cadeia de suprimentos de nuvem. A estrutura de controles está alinhada à Security Guidance v4 e, no momento, é considerada um padrão de fato para garantia e conformidade de segurança da nuvem. Com a CCM, os provedores podem realizar as seguintes ações:

• Fortalecer os ambientes de controle de segurança da informação:
  descreve a orientação por provedores de serviço e clientes, que se diferencia com base no tipo de modelo de nuvem e respectivo ambiente.
• Reduzir a complexidade das auditorias:
  os controles são associados a normas padrão de segurança, estruturas de controle e padrões. O cumprimento dos controles da CCM atende aos padrões e às normas de apoio associados.
• Normalizar as expectativas de segurança:
  oferece uma taxonomia, segurança e terminologia de nuvem compartilhada que são implementadas em uma nuvem.
  

STAR (Security, Trust, Assurance, and Risk, segurança, confiança, garantia e risco) é um registro acessível ao público que documenta controles de privacidade e programas de computação em nuvem de segurança. Ele abrange os princípios de auditoria, harmonização e transparência dos padrões, conforme descrito no CAIQ e na CCM.

As organizações mostram aos clientes, atuais e potenciais, suas posturas de conformidade e segurança e sua adesão a normas, padrões e estruturas. Em última análise, isso reduz as complexidades e alivia a necessidade de preencher vários questionários.