La Cloud Security Alliance (CSA) ha ideato il CAIQ per creare documenti di settore che delineino i controlli di sicurezza che dovrebbero esistere nei diversi servizi cloud, come i prodotti IaaS (Infrastructure-as-a-Service), PaaS (Platform-as-a-Service) e SaaS (Software-as-a-Service).

Quando è stato creato il CAIQ?

Il CSA è stato fondato nel 2008 come autorità che definisce standard, migliori pratiche e certificazioni per garantire ambienti cloud sicuri in tutto il mondo. In qualità di leader mondiale nelle migliori pratiche per il cloud, il CSA si impegna a fornire conoscenze e risorse essenziali progettate per offrire vantaggi alla clientela cloud, inclusi fornitori, imprenditori e imprenditrici, governi e altri gruppi che utilizzano, forniscono o lavorano con servizi di cloud computing.

Poiché la dipendenza dal cloud è aumentata nel corso del nuovo secolo, il CSA ha riconosciuto che questa tecnologia all'avanguardia potrebbe introdurre importanti difetti di sicurezza se implementata senza alcuna forma di regolamentazione. Il CSA si è occupato di creare e condividere la documentazione relativa agli standard di settore comunemente accettati e ai controlli di sicurezza per i servizi basati su cloud (IaaS, PaaS e SaaS). Il CAIQ fornisce alle organizzazioni la trasparenza essenziale delle tattiche, delle tecnologie e delle policy utilizzate dai fornitori di cloud per proteggere i dati sensibili e gestire i rischi.

Il CAIQ è essenzialmente un questionario. La versione 3.1 (la versione più aggiornata disponibile) consiste in 295 domande a risposta sì/no rivolte ai provider di servizi cloud. Queste domande hanno lo scopo di fornire alla clientela del cloud e ai revisori del cloud informazioni sulla conformità del provider alle normative e alle migliori pratiche stabilite. Un'altra versione, denominata CAIQ-Lite, fornisce una valutazione più semplice e leggermente meno approfondita utilizzando circa 70 domande, progettata per i professionisti e le professioniste della cybersicurezza e i modelli di cloud-procurement.

In poche parole, i team di gestione del rischio dei fornitori, utilizzando un questionario standardizzato, possono ridurre i costi e aumentare l'efficienza. Il CAIQ aiuta a proteggere gli/le utenti del cloud da rischi inutili per la sicurezza informatica. Il CAIQ fornisce un servizio essenziale anche ai provider di servizi cloud. I fornitori possono utilizzare il CAIQ per informare riguardo alla loro sicurezza e presentare in modo efficace tali offerte alla clientela utilizzando un set standardizzato di termini e concetti.

Lavorare con fornitori di cloud di terze parti comporta sempre dei rischi. Facendo sì che i dati e i processi vitali vengano affidati a gruppi al di fuori dell'ambiente controllato dell'organizzazione aziendale, gli/le utenti cloud perdono la capacità di garantire in modo diretto un'adeguata implementazione della sicurezza. Anche i provider di servizi cloud più affidabili possono fallire in alcune aree e le organizzazioni devono capire dove potrebbero verificarsi gli errori e quali punti deboli potrebbero caratterizzare le soluzioni cloud del fornitore.

Il CAIQ valuta la sicurezza dei provider cloud e mira a creare standard di settore comuni e accettati per la documentazione. Ciò offre alle organizzazioni un modo per comprendere e valutare i provider di servizi cloud e il loro approccio alla sicurezza prima di stipulare un contratto di affari.

Come menzionato in precedenza, il CAIQ completo consiste in 295 domande che l'utente o revisore del cloud potrebbe voler rivolgere a un provider per raccogliere informazioni sulla conformità alla Cloud Controls Matrix (CCM). La clientela potrebbe voler personalizzare il questionario in modo da adattarlo meglio alle proprie esigenze e rispondere alle proprie preoccupazioni e ai casi di utilizzo specifici, rivedendo o eliminando le domande ove necessario.

Che cos'è la Cloud Controls Matrix (CCM)?

La CCM è un framework di controllo per la sicurezza informatica utilizzato per il cloud computing. È composto da 133 obiettivi strutturati attorno a 16 domini. I 16 domini sono:

• Sicurezza delle applicazioni e dell'interfaccia
• Conformità e controlli audit
• Gestione della continuità aziendale e resilienza operativa
• Gestione della configurazione e controllo del cambiamento
• Sicurezza dei dati e gestione del ciclo di vita delle informazioni
• Sicurezza dei data center
• Crittografia e gestione delle chiavi
• Governance e gestione del rischio
• Sicurezza delle risorse umane 
• Gestione delle identità e degli accessi
• Infrastruttura e virtualizzazione
• Interoperabilità e portabilità
• Sicurezza mobile
• Gestione degli incidenti di sicurezza, e-disc e indagini cloud
• Gestione della supply chain, trasparenza e responsabilità
• Gestione di minacce e vulnerabilità

Come viene utilizzata la CCM?

La CCM può essere utilizzata come strumento per valutare sistematicamente l'implementazione del cloud, fornendo indicazioni su quali controlli di sicurezza devono essere implementati da quale attore all'interno della supply chain del cloud. Il framework dei controlli è allineato alla Guida alla sicurezza v4 ed è attualmente considerato uno standard di fatto per la sicurezza sul cloud e la conformità. Con la CCM, i provider possono:

• Rafforzare gli ambienti di controllo della sicurezza delle informazioni:
  Descrive le indicazioni fornite da provider di servizi e dalla clientela, che si differenziano in base al tipo di modello cloud e al suo ambiente.
• Ridurre la complessità dell'audit:
  I controlli si basano su norme di sicurezza standard nel settore, framework di controllo e standard. L'adempimento dei controlli CCM soddisfa gli standard e le normative associati.
• Normalizzare le aspettative di sicurezza:
  Fornisce una tassonomia cloud, una sicurezza e una terminologia condivise implementate in un cloud.
  

Security, Trust, Assurance, and Risk (STAR) è un registro accessibile al pubblico che documenta i controlli sulla privacy e i programmi di sicurezza del cloud computing. Comprende i principi di auditing, armonizzazione e trasparenza degli standard descritti nel CAIQ e nella CCM.

Le organizzazioni mostrano alla clientela, sia attuale che potenziale, la loro posizione in materia di conformità e sicurezza e la loro adesione a normative, standard e framework. In definitiva, ciò riduce le complessità e la necessità di compilare molteplici questionari.