Wat is de CAIQ?

De Consensus Assessments Initiative Questionnaire (CAIQ) is een enquête van de Cloud Security Alliance (CSA) om de beveiliging van cloudservices te beoordelen.

Demo SecOps
Home Beveiligingsactiviteiten (SecOps) - Enterprise Security - ServiceNow Wat is de CAIQ?
Inhoudsopgave
Wie heeft de CAIQ ontwikkeld? Wat is het doel van de CAIQ? Waarom is de CAIQ nuttig voor organisaties? Wat zijn de componenten van CAIQ? Wat is het STAR-programma?
Alles uitvouwen Alles samenvouwen Wie heeft de CAIQ ontwikkeld?

De CAIQ is ontwikkeld door de Cloud Security Alliance (CSA) om branchedocumenten te maken waarin de beveiligingscontroles worden beschreven die in verschillende cloudservices moeten bestaan, zoals Infrastructure-as-a-Service (IaaS), Platform-as-a-Service (PaaS) en Software-as-a-Service (SaaS).

Wanneer is de CSA opgericht?

De CSA is in 2008 opgericht als autoriteit die normen, best practices en certificering definieert om wereldwijd veilige cloudomgevingen te waarborgen. Als wereldwijd toonaangevende autoriteit op het gebied van best practices op het gebied van cloud computing streeft de CSA ernaar om essentiële kennis en resources te bieden die zijn ontworpen ten behoeve van cloudklanten, leveranciers, ondernemers, overheden en andere groepen die cloud-computing-services gebruiken, leveren of ermee werken.
Automatiseringsoplossingen voor problemen met cyberbeveiliging Bekijk hoe automatisering, orkestratie en samenwerking op het gebied van IT-beveiliging een gezonde bescherming kunnen bieden tegen de grootste cyberdreigingen. Download het e-book Wat is het doel van de CAIQ?

Aangezien de afhankelijkheid van de cloud in de loop van de nieuwe eeuw steeds meer is gegroeid, heeft de CSA erkend dat deze ontluikende technologie grote veiligheidsrisico's met zich mee kan brengen als deze zonder enige vorm van regelgeving wordt geïmplementeerd. De CSA nam de taak op zich om documentatie van algemeen aanvaarde industrienormen en beveiligingscontroles voor cloud-gebaseerde diensten (IaaS, PaaS en SaaS) te creëren en te delen. De CAIQ biedt organisaties essentiële transparantie in de tactieken, technologieën en beleidslijnen die door cloudleveranciers worden gebruikt om gevoelige gegevens te beschermen en risico's te beheren.

De CAIQ is in wezen een enquête. Versie 3.1 (de meest actuele versie die beschikbaar is) bestaat uit 295 ja/nee-vragen die zijn gericht op cloudproviders. Deze vragen zijn bedoeld om cloudconsumenten en cloudauditors inzicht te geven in hoe goed de provider voldoet aan de geldende voorschriften en best practices. Een andere versie, ook wel CAIQ-Lite genoemd, biedt een eenvoudigere, iets minder grondige evaluatie en omvat zo'n 70 vragen, ontworpen voor professionals op het gebied van cyberbeveiliging en cloud-inkoopmodellen.

Eenvoudig gezegd kunnen risicobeheerteams van leveranciers met behulp van een gestandaardiseerde vragenlijst kosten verlagen en de efficiëntie verhogen. De CAIQ helpt cloudgebruikers te beschermen tegen onnodige cyberbeveiligingsrisico's, maar biedt ook een essentiële service aan cloudproviders. Leveranciers kunnen de CAIQ gebruiken om hun beveiliging af te stemmen en deze aanbiedingen effectief aan klanten presenteren met behulp van een gestandaardiseerde set termen en concepten.
Waarom is de CAIQ nuttig voor organisaties?

Werken met externe cloudleveranciers brengt altijd een risico met zich mee. Wanneer ze essentiële gegevens en processen toevertrouwen aan groepen buiten de gecontroleerde omgeving van de bedrijfsorganisatie hebben cloudgebruikers niet meer de mogelijkheid om direct een adequate beveiligingsimplementatie te garanderen. Zelfs de meest vertrouwde cloudproviders kunnen op bepaalde gebieden tekortschieten en organisaties moeten weten waar deze fouten waarschijnlijk optreden en welke zwakke punten inherent kunnen zijn aan de cloudoplossingen van de leverancier.

CAIQ beoordeelt de beveiliging van cloudproviders en beoogt gemeenschappelijke en geaccepteerde industrienormen voor documentatie te ontwikkelen. Daardoor krijgen organisaties meer inzicht in cloudproviders en hun beveiligingssituatie en kunnen ze deze evalueren voordat ze een zakelijke overeenkomst sluiten.
Wat zijn de componenten van CAIQ?

Zoals gezegd, bestaat de volledige CAIQ uit 295 vragen die een cloudconsument of auditor een provider mogelijk wil vragen om informatie te verzamelen over hun naleving van de Cloud Controls Matrix (CCM). Klanten willen de vragenlijst mogelijk afstemmen op hun behoeften en hun zorgen en specifieke gebruiksscenario's aanpakken, en vragen waar nodig herzien of weglaten.

Wat is de Cloud Controls Matrix (CCM)?

De CCM is een controlekader voor cyberbeveiliging dat wordt gebruikt voor cloud computing. Het bestaat uit 133 doelstellingen die rond 16 domeinen zijn gestructureerd. Deze 16 domeinen zijn:

  • Toepassings- en interfacebeveiliging 
  • Waarborging van controle en naleving 
  • Bedrijfscontinuïteitsbeheer en operationele veerkracht 
  • Wijzigingsbeheer en configuratiebeheer 
  • Gegevensbeveiliging en beheer van de informatiecyclus 
  • Datacenterbeveiliging 
  • Versleuteling en sleutelbeheer 
  • Governance en risicobeheer 
  • Beveiliging van personeelszaken 
  • Identiteits- en toegangsbeheer 
  • Infrastructuur en virtualisatie 
  • Interoperabiliteit en draagbaarheid 
  • Mobiele beveiliging 
  • Beveiligingsincidentbeheer, E-Disc en forensische cloud-analyse 
  • Beheer van de toeleveringsketen, transparantie en verantwoordelijkheid 
  • Beheer van bedreigingen en kwetsbaarheden

 

Hoe wordt CCM gebruikt?

CCM kan worden gebruikt als een tool om de cloudimplementatie systematisch te beoordelen door richtlijnen te geven over welke beveiligingscontroles door welke acteur binnen de cloudtoeleveringsketen moeten worden geïmplementeerd. Het controlekader is afgestemd op de Security Guidance v4 en wordt momenteel beschouwd als een de facto standaard voor cloudbeveiliging en naleving. Met CCM kunnen providers:

  • Controleomgevingen voor informatiebeveiliging verbeteren:
    Dit omvat richtlijnen van serviceproviders en klanten, die zich onderscheiden op basis van het type cloudmodel en de omgeving.
  • Complexiteit van audits verminderen:
    Controlemechanismen worden gekoppeld aan beveiligingsvoorschriften volgens de industriestandaard, controlestructuren en normen. Het voldoen aan CCM-controles voldoet aan de bijbehorende normen en voorschriften waar deze in kaart worden gebracht.
  • Beveiligingsverwachtingen normaliseren:
    Dit betreft een gedeelde cloudtaxonomie, beveiliging en terminologie die in een cloud is geïmplementeerd.
Prijzen voor ServiceNow Security Operations Bekijk de prijzen voor ServiceNow SecOps. Verbind bestaande beveiligingstools om sneller prioriteiten te stellen voor kwetsbaarheden en beveiligingsincidenten en ze te verhelpen. Bekijk prijzen Wat is het STAR-programma?

Security, Trust, Assurance, and Risk (STAR) is een register dat toegankelijk is voor het publiek en waarin privacycontroles en cloudbeveiligingsprogramma's worden gedocumenteerd. Het omvat de principes van controle, harmonisatie en transparantie van normen zoals beschreven in CAIQ en CCM.

Organisaties tonen klanten, zowel huidige als potentiële, hun nalevings- en beveiligingshouding en hun naleving van voorschriften, normen en kaders. Dit vermindert uiteindelijk de complexiteit en vermindert de noodzaak om meerdere vragenlijsten in te vullen.
Aan de slag met SecOps

Herken, prioriteer en reageer sneller op dreigingen.

 Demo SecOps Contact
Resources Artikelen Wat is ServiceNow? Wat zijn beveiligingsactiviteiten (SecOps)? Wat is cyberbeveiliging? Onderzoeksrapporten IDC-infobite: Beveiliging, risico's en compliance Datasheets Reactie op beveiligingsincident Security Operations Prestatie-analyse voor beveiligingsactiviteiten E-books Sterkere beveiliging door automatisering Beperk cyberdreigingen met gemak Versla cyberdreigingen met SecOps en AIOps Whitepapers Security Operations Modernization Een behoedzame aanpak bij grote beveiligingsincidenten Use cases voor het snel bestrijden van beveiligingsdreigingen