Compreender na íntegra o que está atrás de um aplicativo baseado em nuvem, ou mesmo atrás de um serviço, às vezes pode ser bastante doloroso, quando não deveria ser. Os provedores de serviços de nuvem e auditoria, nesse quesito, geralmente começam com uma enorme necessidade de rever, entender e avaliar os processos, mas as organizações não estão muitas vezes, adequadas a sua abordagem em relação ao risco que podem correr.
Antes de embarcar em uma auditoria temporal de um prestador de serviços de nuvem, é essencial definir o seu objetivo, identificando claramente o que é preocupante e o que querem proteger. Se o serviço armazena dados que, se comprometidos, seriam prejudiciais para a organização, então a avaliação deve ser muito mais agressiva do que se os dados armazenados causassem um aborrecimento menor, caso houvesse comprometimento.
Por isso, é necessário investir tempo, dinheiro e recursos com sabedoria, para que o tempo não seja gasto mais do que o necessário na avaliação de um terceiro elemento. Além do mais, também é importante cobrir todos os pontos de risco - dados relativos ao trânsito, armazenamento, controle de acesso, o acesso dos funcionários de fornecedores, registro, aplicações de segurança, segurança física e de integrações terceirizadas, entre outros elementos.
Aqui está o que não fazer: não comece com listas enormes de auditorias e questionários. Isso torna-se muito inconveniente, ninguém quer respondê-las e, o mais importante, ninguém quer revisar as respostas. As perguntas nunca precisam lidar com o risco ou serviço que está sendo avaliado, o que demanda maior trabalho de ambos os lados, para esclarecer as respostas.
Inicie a avaliação por entender os procedimentos de controle, o que a auditoria da organização passa, e que padrões de conformidade da organização já estão sendo colocados em prática. A clareza sobre os objetivos e preocupações vão ajudar a orientar a avaliação, especialmente em situações onde a infraestrutura de nuvem e aplicações, são muito diferentes do que empresas tradicionais e, portanto, de rápida evolução.
Avaliações de Falhas de Segurança e Testes de Penetração
As avaliações de vulnerabilidade e testes de penetração, podem ser uma ótima maneira de validar a postura de segurança dessas organizações. Nesse contexto, a maioria dos elementos (fornecedores) baseados em nuvem, estão abertos para permitir que os clientes potenciais realizem avaliações de vulnerabilidade contra a infra-estrutura, desde que seja durante um período de tempo acordado, para que suas equipes possam responder a quaisquer questões e estar disponíveis para responder outras perguntas.
Em uma situação isolada, quando isso não for possível, eles geralmente tem sido uma "bandeira vermelha" que poderia precisar afastar este fornecedor. Estas avaliações são boas para a maioria dos provedores, uma vez que outras informações (em menor número) forneceriam provas de que o seu serviço estaria dentro dos padrões rigorosos de segurança empresarial.
Para aqueles que já tentaram fazer IPS e captura de pacotes na nuvem, eles sabem que a linha de IDS / IPS do checklist de segurança é bastante difícil de cumprir. Uma dica relevante: é bom certificar-se de fazer a sua diligência em identificar todos os sistemas em escopo e para validar as conclusões dos presentes na organização. Alguns provedores hospedam suas aplicações na infra-estrutura de grandes provedores de nuvem e, como tal, passam por algum tipo de processo de validação. Entretanto, estes processos de validação não são os mais completos, e não necessariamente abordam as preocupações que você tem.
Finalizando esse processo que envolve segurança e cloud computing, ao trabalhar com provedores dessa natureza, é primordial que haja clareza sobre as suas preocupações, a abordagem da avaliação de uma forma baseada no risco, e o mais importante, perceber que estamos em um ponto central onde as nossas metodologias e processos tradicionais não se aplicam a todos os níveis.
Links de Interesse:
- DarkReading