Compartilhar via


Guia de avaliação de risco para o Microsoft Cloud

O objetivo de uma avaliação de risco de nuvem é garantir que o sistema e os dados existentes ou sejam considerados para migração para a nuvem não introduzam nenhum risco novo ou não identificado na organização. O foco é garantir confidencialidade, integridade, disponibilidade e privacidade do processamento de informações e manter os riscos identificados abaixo do limite de risco interno aceito.

Em um modelo de responsabilidade compartilhada, o CSP (Provedor de Serviços de Nuvem) é responsável por gerenciar a segurança e a conformidade da nuvem como provedor. O cliente continua responsável por gerenciar e configurar a segurança e a conformidade na nuvem de acordo com suas necessidades e tolerância a riscos.

Modelo de responsabilidade compartilhada.

Neste guia, as práticas recomendadas são compartilhadas sobre como avaliar com eficiência os riscos do fornecedor e como usar os recursos e as ferramentas que a Microsoft disponibiliza.

Entender a responsabilidade compartilhada na nuvem

As implantações de nuvem podem ser categorizadas como IaaS (Infraestrutura como Serviço), PaaS (Plataforma como Serviço) ou SaaS (Software como Serviço). Dependendo do modelo de serviço de nuvem aplicável, o nível de responsabilidade sobre os controles de segurança para a mudança de solução entre o CSP e o cliente. Em um modelo local tradicional, o cliente é responsável por toda a pilha. Ao migrar para a nuvem, todas as responsabilidades de segurança física são transferidas para o CSP. Dependendo do modelo de serviço de nuvem para sua organização, as responsabilidades adicionais mudam para o CSP. No entanto, na maioria dos modelos de serviço de nuvem, sua organização permanece responsável pelos dispositivos usados para acessar a nuvem, a conectividade de rede, suas contas e identidades e seus dados. A Microsoft investe fortemente na criação de serviços que permitem que os clientes permaneçam no controle de seus dados em todo o ciclo de vida.

A Microsoft Cloud opera em uma hiperescala, contando com uma combinação de DevSecOps e automação para padronizar modelos operacionais. O modelo operacional da Microsoft altera a maneira como o risco é abordado em comparação com modelos operacionais locais tradicionais, levando à implementação de controles diferentes e às vezes desconhecidos para gerenciar riscos. Ao realizar sua avaliação de risco na nuvem, tenha em mente que o objetivo da Microsoft é garantir que todos os riscos sejam resolvidos, mas não necessariamente implementar os mesmos controles que sua organização faz. A Microsoft pode resolver os mesmos riscos com um conjunto diferente de controles e isso deve ser refletido na avaliação de risco na nuvem. Além disso, alguns riscos em um design on-prem tradicional são de menor gravidade em um ambiente de nuvem e vice-versa. Projetar e implementar controles preventivos fortes pode reduzir grande parte do trabalho exigido pelo detetive e controles corretivos. Um exemplo disso é a implementação da Microsoft do ZSA (Acesso Permanente Zero).

Adotar uma estrutura

A Microsoft recomenda que os clientes mapeiem sua estrutura interna de riscos e controles para uma estrutura independente que resolva os riscos de nuvem de forma padronizada. Se os modelos de avaliação de risco internos existentes não resolverem os desafios específicos que vêm com computação em nuvem, você se beneficiará dessas estruturas amplamente adotadas e padronizadas. Sua estrutura de controle interno pode já ser um conglomerado de várias estruturas padronizadas, tendo esses controles mapeados para suas estruturas correspondentes ajudará durante sua avaliação.

Um benefício secundário é que a Microsoft fornece mapeamentos em relação a essas estruturas em documentação e ferramentas que acelerarão suas avaliações de risco. Exemplos dessas estruturas incluem o iso 27001 Information security standard, CIS Benchmark e NIST SP 800-53. A Microsoft oferece o conjunto mais abrangente de ofertas de conformidade de qualquer CSP. Para obter mais informações, confira Ofertas de conformidade da Microsoft.

Use o Microsoft Purview Compliance Manager para criar suas próprias avaliações que avaliam a conformidade com o setor e as regulamentações regionais que se aplicam à sua organização. As avaliações são criadas sobre a estrutura de modelos de avaliação, que contêm os controles necessários, as ações de melhoria e, quando aplicável, as ações da Microsoft para concluir a avaliação. Para ações da Microsoft, são fornecidos planos de implementação detalhados e resultados recentes de auditoria. Dessa forma, o tempo pode ser salvo na localização, mapeamento e pesquisa de fatos sobre como controles específicos são implementados pela Microsoft. Para obter mais informações, consulte o artigo Do Microsoft Purview Compliance Manager.

Entender como a Microsoft opera para proteger seus dados

Embora o cliente seja responsável por gerenciar e configurar a segurança e a conformidade na nuvem, o CSP é responsável por gerenciar a segurança e a conformidade da nuvem. Uma maneira de validar que o CSP está efetivamente lidando com suas responsabilidades e cumprindo suas promessas é revisar seus relatórios de auditoria externa, como ISO e SOC. A Microsoft disponibiliza relatórios de auditoria externa para audiências autenticadas no Portal de Confiança do Serviço (STP).

Além dos relatórios de auditoria externa, a Microsoft incentiva os clientes a aproveitar os seguintes recursos para ajudar a entender como a Microsoft opera em profundidade:

  • Caminho de aprendizagem sob demanda: o Microsoft Learn oferece centenas de caminhos e módulos de aprendizagem em diferentes tópicos. Entre eles, saiba como a Microsoft protege os dados do cliente para entender as práticas fundamentais de segurança e privacidade da Microsoft.

  • Service Assurance on Microsoft Compliance: os artigos sobre as práticas da Microsoft são categorizados em 14 domínios para uma revisão mais fácil. Cada domínio inclui uma visão geral que aborda cenários de risco comuns para cada área. Tabelas de auditoria são fornecidas contendo links para os relatórios mais recentes armazenados no STP, seções relacionadas e a data em que o relatório de auditoria foi realizado para a Microsoft serviços online. Se estiver disponível, serão fornecidos links para artefatos que demonstram a implementação de controle, como avaliações de vulnerabilidade de terceiros e relatórios de verificação de plano de continuidade de negócios. Como relatórios de auditoria, esses artefatos são hospedados no STP e exigem autenticação para acessar.

Domínio Descrição
Arquitetura O design do Microsoft serviços online e os princípios de segurança que atuam como sua base.
Auditar o registro em log e o monitoramento Como a Microsoft captura, processa, armazena, protege e analisa logs para detectar atividades não autorizadas e monitorar o desempenho. tornar possível o monitoramento de segurança e desempenho.
Segurança do datacenter Como a Microsoft opera com segurança os datacenters que fornecem os meios para operar a Microsoft serviços online em todo o mundo.
Criptografia e gerenciamento de chaves A proteção criptográfica das comunicações do cliente e os dados armazenados e processados na nuvem.
Governança, risco e conformidade Como a Microsoft impõe as políticas de segurança que cria e gerencia o risco para atender às promessas do cliente e aos requisitos de conformidade.
Gerenciamento de identidade e acesso A proteção da Microsoft serviços online e dados do cliente contra acesso não autorizado ou mal-intencionado.
Gerenciamento de incidentes de segurança Os processos que a Microsoft usa para preparar, detectar, responder e comunicar todos os incidentes de segurança.
Segurança de rede Como a Microsoft protege seus limites de rede contra ataques externos e gerencia sua rede interna para limitar sua propagação.
Gerenciamento de pessoal Os processos de triagem, treinamento e gerenciamento seguro de pessoal durante todo o tempo na Microsoft.
Privacidade e gerenciamento de dados Como a Microsoft lida e protege os dados do cliente para preservar seus direitos de dados.
Resiliência e continuidade Processo e tecnologias usadas para manter a disponibilidade do serviço e garantir a continuidade e a recuperação dos negócios.
Desenvolvimento e operação de segurança Como a Microsoft garante que seus serviços sejam projetados, executados e gerenciados com segurança durante todo o ciclo de vida.
Gerenciamento de fornecedores Como a Microsoft examina e gerencia empresas de terceiros que ajudam na Microsoft serviços online.
Gerenciamento de ameaças e vulnerabilidades Os processos que a Microsoft usa para verificar, detectar e resolver vulnerabilidades e malware.

Programa de Conformidade para Microsoft Cloud (CPMC)

A Microsoft faz um esforço conjunto para publicar informações, como os artigos neste site, para ajudar os clientes a entender como mantemos seus dados seguros e atendemos aos seus requisitos de conformidade. No entanto, pode ser difícil manter-se informado sobre o cenário regulatório global, navegar por cenários complicados de conformidade e risco e alcançar um nível aceitável de garantia. Para superar esses desafios, a Microsoft lançou o CPMC (Programa de Conformidade para Microsoft Cloud). O CPMC é um programa premium baseado em taxas que oferece suporte de conformidade personalizado e específico do setor, educação e oportunidades de rede. Para obter mais informações sobre ofertas específicas do CPMC, marcar o site do CPMC.

Recursos