Definición y propósito

El propósito principal de CSA es promover el uso de las mejores prácticas para proporcionar garantía de seguridad dentro de la computación en la nube y brindar educación sobre los usos de la computación en la nube para ayudar a asegurar todas las demás formas de computación. Uno de sus resultados más notables es la Guía de Seguridad de CSA, que es un conjunto de pautas y mejores prácticas para asegurar los entornos de computación en la nube.

Órgano Gobernante

El órgano gobernante es la Cloud Security Alliance (CSA), una organización global sin fines de lucro.

Última actualización

La CSA actualiza con frecuencia sus recursos y pautas basándose en amenazas emergentes, avances tecnológicos y comentarios de la industria.

Se aplica a

Las pautas y mejores prácticas proporcionadas por la CSA están diseñadas para aplicarse en todas las industrias y sectores que utilizan o planifican utilizar servicios de computación en la nube. Esto incluye (pero no se limita a) IT, salud, finanzas, educación, gobierno y más.

Controles y requisitos

Uno de los principales recursos de la CSA es la Matriz de Controles en la Nube (CCM). El CCM proporciona un marco de controles que ofrece una comprensión detallada de los conceptos y principios de seguridad alineados con la guía de CSA en un conjunto de dominios:

1. Seguridad de Aplicaciones e Interfaces
2. Auditoría, Garantía y Cumplimiento
3. Gestión de Continuidad del Negocio y Resiliencia Operacional
4. Control de Cambios y Gestión de la Configuración
5. Seguridad de Datos y Gestión del Ciclo de Vida de la Información
6. Seguridad del Centro de Datos
7. Cifrado y Gestión de Llaves
8. Gobernanza y Gestión de Riesgos
9. Recursos Humanos
10. Gestión de Identidad y Acceso
11. Seguridad de Infraestructura y Virtualización
12. Interoperabilidad y Portabilidad
13. Seguridad Móvil
14. Gestión de Incidentes de Seguridad, Descubrimiento Electrónico y Forense en la Nube
15. Gestión de la Cadena de Suministro, Transparencia y Responsabilidad
16. Gestión de Amenazas y Vulnerabilidades

Cada dominio proporciona un marco estructurado de mejores prácticas y controles específicos relacionados con la seguridad en la computación en la nube.

Por favor, consulte la Matriz de Controles en la Nube oficial para obtener una lista detallada de controles y requisitos.

Tipo de auditoría, frecuencia y duración

El programa STAR (Security Trust Assurance and Risk) de CSA ofrece una auditoría específica para la nube robusta para los proveedores de servicios en la nube, y consiste en tres niveles de garantía, que son:

• STAR Self-Assessment: Una autoevaluación proporcionada por los proveedores de servicios en la nube.
• STAR Attestation: Una evaluación independiente de terceros sobre la seguridad de un servicio en la nube.
• STAR Certification: Una evaluación rigurosa e independiente de terceros sobre la seguridad de un servicio en la nube.

La frecuencia y duración de estas auditorías o evaluaciones varían según el servicio en la nube específico, su complejidad y el nivel de garantía que se persiga.