O que deve estar em sua lista de auditoria da nuvem

Embora extenuantes, as auditorias são uma parte crítica de uma estratégia de conformidade em nuvem. Conheça os diferentes tipos de auditorias em nuvem para se preparar melhor para sua próxima revisão.

À medida que sua empresa expande seu uso da nuvem, você precisará coletar e relatar informações sobre sua infraestrutura e processos.

Se seus clientes esperam conformidade com políticas de segurança formais ou se os potenciais investidores precisam de uma inspeção exaustiva de uma aplicação completa, as auditorias na nuvem não podem ser evitadas. No entanto, você pode aliviar um pouco do estresse relacionado a este processo tipicamente doloroso, coletando informações de maneira eficiente sobre a pilha técnica da sua empresa.

Explore esta lista de verificação de auditoria em nuvem para entender melhor os tipos de informações que você precisará para as auditorias relacionadas com a segurança, a integridade do aplicativo e a privacidade. Use a lista de verificação como um resumo do que você pode esperar de cada tipo de auditoria. Em seguida, revise os conjuntos de perguntas de amostra que podem ser solicitados a você durante uma auditoria de conformidade para que você esteja melhor preparado para o processo de auditoria.

Segurança

A segurança é uma prioridade para todas as organizações. Em um mundo onde as violações de dados estão na casa dos milhares, não devemos nos surpreender que a conformidade com a segurança possa ser a diferença entre crescimento e fracasso. Você deve saber o que esperar de uma auditoria de segurança porque, em algumas circunstâncias, a viabilidade da empresa pode depender disso.

Gerenciamento de acesso

 Ao reunir sua lista de verificação de auditoria em nuvem, você precisa entender quem pode acessar seus serviços em nuvem e quanto acesso cada pessoa tem. Embora uma   auditoria física possa estar preocupada com quem pode entrar em um edifício e em quais salas seu cartão de acesso permite entrar, uma auditoria em nuvem refere-se a quais serviços e dados um usuário pode acessar.

Como a nuvem não é um local físico, é importante registrar as ações que os usuários realizam em todos os momentos, o que pode ajudar na resposta a incidentes no futuro.

Perguntas a considerar

  • Quantas pessoas têm acesso aos dados de produção?
  • Como o acesso à conta é provisionado e desprovisionado?
  • Onde os registros de auditoria do usuário são armazenados?
  • Que controles de acesso baseados em papéis existem?

Métricas e alertas

Você também deve considerar os dados coletados  e os alarmes que instalou para identificar incidentes de segurança antes ou enquanto ocorrem. Esses tipos de métricas incluem o número de autorizações de usuário que falharam durante um período fixo ou a quantidade de tráfego que uma API processa em comparação com o mesmo período da semana anterior.

E, mais além do contexto de auditoria do usuário, o sucesso do seu aplicativo depende de quão bem você entende como os componentes individuais de infraestrutura interagem e como você define alarmes para notificar sua equipe quando esses parâmetros estão fora dos limites esperados.

Perguntas a considerar

  • Quais métricas de aplicação e infraestrutura ele atende?
  • Qual é a sua estratégia de retenção de registros?
  • Que alertas você implementou?

Proteção e intrusão

 

Para este tipo de auditoria, você precisa saber como você atualmente protege sua infraestrutura e como você testa e melhora essa proteção. Embora firewalls, políticas de patches e varreduras de vulnerabilidade sejam ótimas ferramentas para se ter, você realmente não sabe o quão eficazes essas ferramentas são a menos que você esteja continuamente testando sua segurança.

Os testes formais de penetração (pen test) e os programas de recompensas de caça a bugs são ótimas maneiras de testar a validade de sua infraestrutura de segurança.  Esse tipo de teste também é frequentemente consultado na maioria das auditorias de segurança. Se você realizou um teste formal de penetração, espere ser solicitado a fornecer o relatório do investigador.

Perguntas a considerar

  • Quando foi seu último teste de penetração?
  • Você participa de um programa de recompensa por bugs?
  • Qual foi o tamanho do seu pagamento de recompensa por bugs mais recente?

Integridade

Embora a segurança seja frequentemente um componente importante das auditorias em nuvem, não é o único que pode surgir. Por exemplo, investidores e clientes vão querer saber sobre a integridade do seu aplicativo e a infraestrutura que você construiu. Essas informações também podem fornecer contexto adicional às auditorias de segurança. Para entender completamente a integridade de um aplicativo, os clientes podem querer saber o quão estável ele é, quão preciso é o processamento de dados ou quão bem o aplicativo funciona sob pressão e com grandes quantidades de dados.

Fluxos de trabalho

A forma como você constrói seu aplicativo é importante. Os clientes podem não se importar como as revisões de código são realizadas ou se você tem um conjunto completo de testes, mas outras partes interessadas certamente terão. Se você puder articular claramente as melhores práticas que sua equipe  segue durante o desenvolvimento, teste e implantação de aplicativos, você pode se antecipar a algumas das perguntas mais desafiadoras que podem surgir em uma auditoria.

Perguntas a considerar

  • Qual a porcentagem do código escrito que está coberto por testes automatizados?
  • Um padrão de codificação específico se aplica?
  • As revisões de código são realizadas? Por quem?
  • Qual a estratégia de ramificação do sistema de controle de versão que você usa?

Arquitetura

Além de perguntas sobre seus processos e práticas, você também encontrará perguntas sobre o projeto arquitetônico e a estratégia de hospedagem do seu aplicativo. Se você não tem um diagrama de arquitetura de alto nível, agora é uma boa hora para montar um.

Ao determinar o quão resiliente é o seu aplicativo, é benéfico para os usuários entender como seus aplicativos lidam com coisas como escala e carga inesperada. Você também deve ser capaz de responder perguntas sobre as tecnologias que você usa e por quê. Há uma grande variedade de ferramentas e tecnologias, e embora "tenhamos tomado a melhor decisão naquele momento" possa ser uma resposta válida, uma resposta mais articulada pode ser útil.

Perguntas a considerar

  • Você pode fornecer um diagrama de arquitetura?
  • De que tecnologias depende sua aplicação?
  • Como você lida com uma escala inesperada?

Confiabilidade

 

Embora um aplicativo funcional construído com um processo confiável forneça uma excelente base de integridade, a confiabilidade desse aplicativo é tão importante quanto na sua lista de verificação de auditoria em nuvem. Cada organização deve ter um plano de recuperação de  desastres (DR) no caso de uma falha crítica no aplicativo. Se esse plano envolver suporte multi-região ou mesmo multi-nuvem, você e seus auditores ficarão tranquilos se você puder transmitir o que esse plano é e como você pretende garantir que seu serviço seja confiável.

Perguntas a considerar

  • Qual é o seu plano de DR?
  • Em que região está prevista sua infraestrutura?
  • Qual é o seu contrato de nível de serviço de tempo de atividade?
  • Tem redundâncias de infraestrutura?

Privacidade

Os auditores inevitavelmente perguntarão como você mantém a privacidade de seus clientes. Se você está preocupado com a conformidade do GDPR da UE ou as proteções contra as consequências potencialmente graves de uma violação de dados, você deve entender como, por que e onde você armazena dados privados.

Retenção de dados

Entenda os dados que você coleta do cliente e por quanto tempo você os mantém. Embora seja importante identificar o escopo geral dos dados, o foco aqui são as informações de identificação pessoal, como e-mails, nomes, endereços etc. Por causa de regulamentos como a GDPR, é importante entender o que você coleta e onde você armazena, porque você pode ser solicitado a excluí-lo no futuro.

Perguntas a considerar

  • Quanto tempo você guarda os dados para usuários inativos?
  • Quais informações de usuário identificáveis pessoalmente você armazena?
  • Você tem um processo de exclusão de dados?

Encriptação

Alguns dados podem não ser pessoalmente identificáveis, mas ainda são informações confidenciais. Senhas, chaves de API e outras informações privadas seriam devastadoras se fossem publicadas publicamente. Saiba quais informações você criptografa e como, para que você possa responder corretamente às perguntas nesta categoria.

Perguntas a considerar

  • Quais dados confidenciais do usuário são criptografados em repouso?
  • Que algoritmo de criptografia você usa?
  • Que algoritmo de hash de senha você usa?

Saiba mais sobre Conformidade e controle