Frameworks de segurança em nuvem: como escolher o mais adequado para sua empresa

A nuvem revolucionou os negócios, mas também trouxe desafios complexos de conformidade. Gerenciar a postura de segurança da infraestrutura de nuvem é um aspecto crucial para manter suas operações na nuvem e, ao mesmo tempo, atender às exigências de conformidade.

Conforme revelado no Relatório Global de Ameaças de 2024, as intrusões na nuvem aumentaram 75% em 2023, com um aumento de 110% ano a ano em atores de ameaças "conscientes da nuvem". As técnicas adversárias continuam a se tornar mais sofisticadas para acesso inicial, movimento lateral, elevação de privilégios, evasão de defesa e coleta de dados.

Sem um framework de segurança na nuvem, as organizações não têm a visibilidade detalhada necessária para determinar se os dados estão adequadamente protegidos. Não manter essa visibilidade deixa você vulnerável à exposição de dados, acesso não autorizado e outras ameaças à segurança. Você pode mitigar riscos e proteger seus dados na nuvem selecionando o framework apropriado e implementando práticas recomendadas, como avaliação de riscos, controles de segurança e resposta a incidentes (IR).

Um framework de segurança na nuvem também garante que todos os componentes críticos da sua infraestrutura de nuvem não estejam apenas em conformidade, mas também seguros, reduzindo a oportunidade de um ciber ataque. Com um framework de segurança em nuvem mapeado para as necessidades de conformidade da sua organização, você pode implementar efetivamente os controles de segurança e privacidade adequados para atender aos requisitos regulatórios relevantes na nuvem.

Esta publicação explorará as maneiras como os frameworks de segurança em nuvem ajudam a dar suporte à segurança e à conformidade de dados e aplicações em ambientes de computação em nuvem.

O que é um framework de segurança em nuvem?

Frameworks de segurança em nuvem são conjuntos de diretrizes, melhores práticas e controles que as organizações usam para abordar a segurança de seus dados, aplicações e infraestrutura em ambientes de computação em nuvem. Eles fornecem uma abordagem estruturada para identificar riscos potenciais e implementar medidas de segurança para mitigá-los.

Os frameworks de segurança em nuvem se concentram nos aspectos de segurança que são cruciais para atender aos requisitos de conformidade e governança, mas o foco está em manter a segurança e não em atingir a conformidade ou a governança. Alguns desses frameworks fornecem os controles de segurança necessários para atender aos padrões e regulamentações de segurança relevantes, mas não são totalmente inclusivos quando se trata de conformidade.

Conformidade da nuvem vs. frameworks de governança de nuvem

Frameworks de segurança em nuvem, frameworks de conformidade em nuvem e frameworks de governança são semelhantes, mas atendem a propósitos diferentes em ambientes de computação em nuvem.

Os frameworks de segurança em nuvem abordam os desafios de segurança exclusivos da nuvem, incluindo os modelos de responsabilidade compartilhada e facilitando a identificação e a mitigação de riscos potenciais.

Por outro lado, os frameworks de conformidade de nuvem garantem que as organizações cumpram os requisitos legais e regulatórios para serviços de nuvem, com foco em requisitos de conformidade específicos, como HIPAA, PCI-DSS ou GDPR. Eles descrevem os controles e medidas necessários para alcançar a conformidade.

Os frameworks de governança têm um escopo mais amplo e abordam o gerenciamento e a supervisão geral dos sistemas de TI, incluindo ambientes de nuvem. Eles definem políticas, procedimentos e diretrizes para tomada de decisões, gerenciamento de riscos e conformidade, fornecendo um framework para garantir que os recursos de TI sejam usados de forma eficaz e eficiente.

Embora possa haver alguma sobreposição entre os três frameworks, cada um atende a um propósito distinto no gerenciamento e proteção de ambientes de nuvem.

Frameworks de nuvem mais comuns

À medida que mais organizações adotam serviços de computação em nuvem, garantir a segurança e a conformidade de dados e aplicações se torna cada vez mais desafiador. Frameworks de segurança em nuvem oferecem orientação e controles para ajudar organizações a identificar riscos potenciais e implementar medidas de segurança para mitigar esses riscos.

Nem todos os frameworks e requisitos associados são relevantes para todos os setores. Além disso, as organizações que adotam frameworks de conformidade regulatória também precisam atender a esses objetivos para aplicações na nuvem. Esta seção explorará as principais frameworks que podem ajudar as organizações a cumprir vários regulamentos de segurança e privacidade ao usar serviços de nuvem.

Frameworks de segurança em nuvem

• MITRE ATT&CK
• Centro de Segurança da Internet (CIS)
• CSA STAR
• ISO/IEC 27017:2015
• Outros frameworks

MITRE ATT&CK

Como framework, o MITRE ATT&CK padroniza os diferentes estágios de um ataque. Em vez de focar apenas em controles, ele visa táticas e técnicas empregadas por hackers na nuvem. Usando esse framework, as organizações podem entender os potenciais vetores de ataque, fortalecendo sua postura de segurança na nuvem por meio de melhores capacidades de detecção e resposta.

CIS

O Centro de Segurança da Internet (CIS) é conhecido no setor por oferecer controles e benchmarks padronizados que servem como um padrão de conformidade para criar uma linha de base de segurança. Esses benchmarks começaram mirando em sistemas no local, mas evoluíram para incluir também tecnologias para os principais provedores de nuvem.

Parte do que torna o padrão CIS único é que ele é construído a partir de um consenso de profissionais que desenvolvem um conjunto confiável e testado de defesas eficazes em ambientes de produção; isso levou a um conjunto de controle mais eficaz.

CSA STAR

O framework Segurança, Confiança, Garantia e Risco da Cloud Security Alliance (CSA STAR) fornece as melhores práticas de segurança em nuvem e valida a postura de segurança dos provedores de serviços em nuvem. O framework em si descreve os controles de segurança específicos da nuvem para provedores de nuvem como parte da Matriz de Controle de Nuvem (CCM). Além disso, ele também fornece aos clientes que executam aplicações nessas nuvens uma lista de perguntas para garantir que eles possam avaliar sua conformidade com o CCM

ISO/IEC 27017:2015

A norma ISO 27001 abrange diretrizes que podem ajudar os clientes a implementar um framework para gerenciar riscos relacionados à proteção de dados, tanto os de propriedade da empresa quanto os que são tratados por ela.

A ISO 27017 é um framework específico para nuvem que fornece orientação sobre os aspectos de segurança da informação específicos para a nuvem. Os controles de segurança fornecidos neste framework complementam a orientação dos padrões ISO/IEC 27002 e ISO/IEC 27001. O framework também fornece controles de segurança distintos e orientação de implementação para provedores de serviços de nuvem e também para aplicações

Outros frameworks

Os próprios provedores de serviços em nuvem têm publicado seus próprios frameworks que combinam controles específicos de nuvem de diversos frameworks de segurança e regulatórios. Isso inclui frameworks como o AWS Foundation Security Best Practices Standard e os benchmarks de segurança em nuvem da Microsoft.

Conformidade regulatória e frameworks padrão

• GDPR (Regulamento Geral de Proteção de Dados)
• FedRAMP
• ISO 27001
• Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)
• HIPAA e HITECH
• Sarbanes-Oxley (SOX)
• Lei de Privacidade do Consumidor da Califórnia (CCPA)
• Lei Federal de Modernização da Segurança da Informação (FISMA)
• NERC CIP
• NIST CSF
• Controles de Sistema e Organização 2 (SOC 2)
• Certificação do Modelo de Maturidade em Cibersegurança 2.0 (CMMC 2.0)
• Frameworks genéricos

GDPR (Regulamento Geral de Proteção de Dados)

GDPR é um conjunto abrangente de regulamentações de privacidade e proteção de dados impostas a organizações que lidam com dados pessoais de residentes da UE. Ele contém considerações específicas de segurança e privacidade relacionadas ao uso de serviços em nuvem.

Esses controles incluem Avaliações de Impacto de Proteção de Dados (DPIAs), manutenção dos direitos dos titulares dos dados sobre seus dados, controles de segurança para proteger dados e salvaguardas de transferência de dados para limitar a saída de dados da UE.

Programa Federal de Gestão de Riscos e Autorização (FedRAMP)

O FedRAMP é um componente crucial dos frameworks de segurança em nuvem, especialmente para provedores de serviços em nuvem que buscam fazer negócios com agências do governo dos EUA. Ele padroniza como entidades não governamentais implementam controles de segurança para garantir que eles estejam alinhados aos padrões governamentais de avaliação, autorização e monitoramento na nuvem.

ISO 27001

A ISO 27001, da Organização Internacional para Padronização (ISO), é o conjunto internacional de diretrizes para padronizar todo o ciclo de vida de um sistema de gestão de segurança da informação (SGSI). Ela garante que as organizações tenham uma abordagem estruturada para gerenciar informações confidenciais.

A ISO 27001 fornece às organizações considerações específicas de segurança e privacidade relacionadas à computação em nuvem, como realização de avaliações de risco, implementação de controles de segurança e melhoria contínua de medidas de segurança.

Padrão de Segurança de Dados da Indústria de Cartões de Pagamento (PCI DSS)

O PCI DSS, diferentemente da maioria dos outros padrões, é ditado pelo setor de cartões de pagamento e não por uma entidade governamental. Ele define linhas de base sobre como comerciantes e provedores de serviços lidam com segurança com dados de cartão de crédito, descrevendo explicitamente quais controles de segurança são necessários para proteger contra comprometimento de dados. O padrão compreende vários componentes principais: determinação de escopo, controles de segurança, gerenciamento de provedores de serviços terceirizados e validação de conformidade.

Lei de Portabilidade e Responsabilidade de Seguro Saúde (HIPAA)/Lei de Tecnologia da Informação em Saúde para Saúde Econômica e Clínica (Lei HITECH)

HIPAA e HITECH são leis federais dos Estados Unidos que estabelecem padrões de segurança e privacidade para proteger as informações eletrônicas de saúde protegidas (ePHI) dos pacientes. A conformidade com essas leis é essencial para que as organizações de saúde garantam a confidencialidade, integridade e disponibilidade de ePHI no local e na nuvem. São usadas uma combinação de avaliações de risco, controles de segurança, controles de privacidade, acordos de parceiros comerciais e validação de conformidade.

Sarbanes-Oxley (SOX)

SOX é uma lei federal nos Estados Unidos que criou requisitos para relatórios financeiros e governança corporativa. Ela garante a precisão e a integridade das informações financeiras das empresas, exigindo que elas estabeleçam e mantenham controles internos adequados sobre os relatórios financeiros.

Os principais componentes da SOX que as organizações devem aderir incluem avaliações de risco, atividades de controle contínuo, proteção de comunicação confidencial e monitoramento de controles internos em relatórios financeiros. Esses componentes garantem que as empresas tenham medidas apropriadas para detectar e prevenir fraudes, declarações falsas e outras práticas financeiras irregulares que podem prejudicar a reputação da empresa, a estabilidade financeira e a confiança pública geral.

Lei de Privacidade do Consumidor da Califórnia (CCPA).

CCPA é uma lei de privacidade semelhante ao GDPR, mas para a proteção das informações pessoais dos residentes da Califórnia. Ela exige que as empresas estabeleçam medidas de segurança razoáveis para proteger dados pessoais. A conformidade envolve uma combinação de inventário e mapeamento de dados, avaliações de risco, controles de segurança robustos, planos de resposta a incidentes e manutenção de trilhas de auditoria de adesão às políticas.

Lei Federal de Modernização da Segurança da Informação (FISMA)

FISMA é uma lei dos Estados Unidos destinada a agências federais com o propósito de criar programas de segurança da informação. A FISMA adota uma abordagem baseada em risco para proteção de dados, definindo linhas de base mínimas de segurança para as agências seguirem. A FISMA busca proteger dados e sistemas de informação federais usando cinco componentes essenciais: categorização de segurança, avaliação de risco, controles de segurança, monitoramento contínuo e validação de conformidade.

Proteção de Infraestrutura Crítica da North American Electric Reliability Corporation (NERC CIP)

Os padrões NERC CIP são projetados para proteger a rede elétrica norte-americana contra ciberataque. Elas se aplicam a todas as organizações responsáveis pelo sistema elétrico em massa (BES), incluindo instalações de geração, sistemas de transmissão e distribuição e concessionárias de energia. Seus principais componentes incluem gerenciamento de riscos, controles de segurança, programas de resposta a incidentes e validação de conformidade.

Framework de Cibersegurança do Instituto Nacional de Padrões e Tecnologia (NIST CSF)

O NIST CSF é um conjunto abrangente de diretrizes e melhores práticas para proteger sistemas baseados em nuvem. Ele ajuda as organizações a avaliar e gerenciar os riscos de segurança associados à computação em nuvem por meio de suas principais funções: identificar, proteger, detectar, responder e recuperar. Esses pilares incluem vários controles para gerenciar efetivamente os riscos de cibersegurança em um ambiente de nuvem.

Controles de Sistema e Organização 2 (SOC 2)

O framework SOC 2 oferece diretrizes do Instituto Americano de Contadores Públicos Certificados (AICPA) para avaliar a segurança, disponibilidade, integridade do processamento, confidencialidade e privacidade dos provedores de serviços em nuvem.

A conformidade com o SOC 2 envolve uma auditoria independente dos sistemas e controles de um provedor de serviços de nuvem para garantir que eles atendam aos requisitos do SOC 2 para políticas e procedimentos, avaliações de risco, controles de segurança e auditorias independentes.

Certificação do Modelo de Maturidade em Cibersegurança 2.0 (CMMC 2.0)

O CMMC foi criado pelo Departamento de Defesa dos EUA (DoD) para garantir que contratados e fornecedores que trabalham com o DoD tenham medidas de cibersegurança apropriadas. Esse framework vem em vários níveis com base na extensão dos controles de segurança auditados de forma independente implementados pelos fornecedores. Esses níveis são usados em contratos do DoD para impedir que organizações que não atingiram as linhas de base declaradas participem de licitações.

O CMMC 2.0 inclui requisitos específicos para segurança na nuvem em relação a controles de segurança na nuvem, validação de controle de terceiros, monitoramento e certificação de conformidade.

Frameworks genéricos

Outros frameworks, como COBIT 5 e COSO, fornecem orientação de segurança, mas não oferecem orientação específica sobre nuvem. Como esses frameworks são mais genéricos, a aplicação de suas instruções sobre orientação de segurança pode exigir algumas modificações para um ambiente de nuvem. Esses frameworks ainda seguem um tema comum de avaliação de riscos e vulnerabilidades para estabelecer linhas de base de controle e atender aos mandatos de conformidade.

Práticas recomendadas

Garantir que controles apropriados estejam em vigor para atender aos requisitos regulatórios é essencial ao selecionar um framework de segurança em nuvem que esteja alinhado às necessidades do seu negócio. Embora cada framework possa ter métodos exclusivos de proteção de recursos de nuvem, existem algumas práticas recomendadas padrão que todas as empresas devem seguir:

• Estabelecer uma estratégia de avaliação de risco para ajudar a identificar potenciais ameaças e vulnerabilidades, priorizar esforços de resposta e estabelecer controles de segurança apropriados para proteger contra riscos.
• Aplicar políticas e procedimentos para mitigar riscos e manter a conformidade com os requisitos regulatórios.
• Implementar o monitoramento para facilitar a detecção precoce, impulsionar uma resposta rápida às ameaças e minimizar qualquer impacto, interrompendo os ataques antes que eles aumentem.

As empresas devem continuar revisando suas práticas de conformidade para garantir que estejam atualizadas com as mudanças nas regulamentações e ameaças à segurança do seu setor. Ao implementar essas práticas recomendadas, as empresas podem estabelecer um framework robusto de segurança e privacidade para proteger seu ambiente de nuvem e atender aos requisitos de conformidade.

A CrowdStrike ajuda você a atender às suas necessidades regulatórias

A CrowdStrike reconhece que frameworks de conformidade e certificação são essenciais para qualquer organização. A CrowdStrike pode ajudar você a atender a esses requisitos, proporcionando confiança em relação a uma operação segura e tranquila. A validação e acreditação externas são extremamente importantes para organizações que contam com as capacidades e a tecnologia da CrowdStrike para proteger seus dados e cumprir com os requisitos regulatórios.

Somente a CrowdStrike pode fornecer a detecção e resposta em nuvem mais abrangente do mundo, aplicando uma postura de segurança e conformidade específicas para diferentes setores e regulamentações. O CrowdStrike Falcon® Cloud Security tem uma das maiores coberturas de detecção MITRE ATT&CK de 99% para workloads em nuvem, containers e ambientes sem servidor, bem como MDR gerenciado 24 horas por dia, 7 dias por semana e solução de investigação de ameaças em nuvem projetada para workloads e containers. Suas capacidades de CNAPP oferecem tanto a varredura de imagens do container do pré-tempo de execução quanto a proteção em tempo de execução que se integra totalmente aos dados do painel de controle. Você também obtém informações de ameaças líderes de mercado totalmente integradas, permitindo detecção e resposta em tempo real.

O CrowdStrike Falcon® Cloud Security é a única plataforma de proteção de aplicações nativas em nuvem (CNAPP) do setor, que fornece visibilidade e segurança unificadas para ambientes híbridos e multinuvem com uma única plataforma e implementação com um clique. Ele fornece políticas de segurança consistentes e ajuda a garantir a conformidade em ambientes no local, híbridos e multinuvem.