Con la evolución de CSA CCMv4, la adopción generalizada de SOC 2, el alineamiento de estas dos normas y buenas prácticas, representa una opción sólida para que los proveedores de nube y sus clientes la consideren.
CCM v4, lanzado a principios de este año, es una mejora significativa con respecto a las versiones anteriores. Es más detallado (con 197 especificaciones de control en comparación con 133 en v3.01) y los requisitos son más nítidos. Hay detalles que se ha agregado en áreas clave, tales como:
- Criptografía, cifrado y gestión de claves
- Gestión del ciclo de vida de la privacidad y la seguridad de los datos
- Gestión de incidentes de seguridad, descubrimiento electrónico y análisis forense en la nube
- Gestión, transparencia y rendición de cuentas de la cadena de suministro
- Gestión de amenazas y vulnerabilidades
- Gestión universal de terminales
El Cuestionario de la Iniciativa de Evaluaciones de Consenso (CAIQ), ampliamente utilizado, también se está actualizando actualmente para reflejar CCM v4.
Para los proveedores de nube que ya han establecido marcos de control comunes, alineados con varios estándares y completado una variedad de auditorías y certificaciones SOC 2, ISO, FedRAMP y otras específicas de cada país, agregar SOC 2 + CCM a su programa puede no ser un factor crítico. Además, después de evaluarse a sí mismos con respecto a la versión 4, es posible que la empresa esté bien posicionada para hacerlo de una manera razonablemente eficiente.
SOC 2 se ha convertido en una necesidad para los proveedores de nube que prestan servicios a clientes empresariales. Al trabajar con algunos de los proveedores de nube más grandes del mundo, los informes completos de SOC 2 realmente representa a las mejores prácticas, mostrando de manera efectiva la estrategia del proveedor para satisfacer la evolución de la seguridad y las necesidades de cumplimiento.
La combinación de informes SOC 2 con la matriz de controles en la nube reconocida por la industria representa una buena opción que los proveedores pueden usar para demostrar la efectividad de sus controles, así como para generar una confianza fundamental con sus clientes. Para los proveedores de nube que están desarrollando sus programas de confianza, CCM v4 es un buen punto de referencia y SOC 2 + CCM puede ser una herramienta útil para resaltar las fortalezas de los programas de seguridad.
CSA ha ganando un amplio reconocimiento de la industria en la promoción de la seguridad en la nube. En particular:
- CSA ha seguido perfeccionando la Matriz de controles en la nube (CCM) y alineándola con otros marcos.
- Muchas organizaciones utilizan el CAIQ, que se basa en CCM.
- Muchos proveedores de nube han realizado autoevaluaciones basadas en CCM y algunos han incorporado CCM en sus regímenes de auditoría.
- CSA mantiene su programa Certificate of Cloud Security Knowledge (CCSK) y recientemente lanzó un nuevo Certificate of Cloud Auditing Knowledge (CCAK) junto con ISACA.