CSA e ISACA se unen en el certificado de auditoría en la nube



El Certificate of Cloud Auditing Information tiene como objetivo llenar un vacío en el mercado de auditoría de TI en la nube a medida que más organizaciones trabajan en entornos de nube.

Cloud Security Alliance (CSA) e ISACA lanzaron hoy el Certification of Cloud Auditing Know-how (CCAK), una nueva credencial técnica para los profesionales que desean demostrar su experiencia en la auditoría de entornos de nube.

Tanto las comunidades de CSA como de ISACA habían estado solicitando este tipo de programa durante años, al menos de seis a siete para el CSA, dice el CTO Daniele Catteddu. Los profesionales de la seguridad, especialmente aquellos que son clientes de la nube o que forman parte de la comunidad de program como servicio, desean recibir capacitación sobre cómo auditar los servicios en la nube. Los proveedores de la nube también quieren asegurarse de que los clientes estén educados.

«Tienen, especialmente los proveedores de servicios en la nube más maduros, todo el interés en que sus clientes potenciales estén mejor educados en la evaluación de los servicios», dice Catteddu. CSA se puso en contacto con ISACA para proponer una asociación, que aportó más experiencia en auditoría de sistemas de información y más comentarios sobre el contenido y el plan de estudios que se había desarrollado.

El resultado final de su colaboración es una guía de estudio, capacitación dirigida por un teacher (tanto virtual como presencial), un curso en línea y un banco de prácticas para las preguntas del examen. El CCAK consiste en un examen en línea de dos horas con 76 preguntas de opción múltiple y una calificación requerida del 70% para aprobar.

El CCAK revisa la diferencia en la auditoría de entornos de nube frente a los servicios e infraestructura de TI tradicionales, así como también cómo evaluar los servicios de nube antes y durante su prestación. Los profesionales aprenden cómo la introducción de la nube en un entorno afecta las políticas y los marcos de gobierno existentes, así como cómo el modelo de responsabilidad compartida afecta el cumplimiento.

Los profesionales que estudian para CCAK también revisan cómo usar un marco de controles de seguridad específico de la nube y configurarlo de manera que les permita medir la efectividad de diferentes controles. Los entornos de nube no tienen el mismo acceso de administrador que los sistemas de TI heredados, Notas de CSA, y los controles de seguridad son diferentes a los que están acostumbrados los auditores de TI tradicionales.

Al desarrollar el program de estudios y el examen, CSA e ISACA discutieron las brechas en la auditoría de seguridad en la nube en muchas organizaciones. Los auditores de TI están bien capacitados en controles generales de TI, pero los entornos de nube traen nuevas tecnologías, nuevos controles y un nuevo socio que aloja el program y la infraestructura, explica Shannon Donahue, vicepresidente de desarrollo de contenido y servicios de ISACA. Hay varios matices y procesos que los auditores deben conocer.

«Cuando empiezas a buscar tipos de modelos de implementación, o los tipos de nubes, necesitan entender que si estoy en una nube pública / privada / híbrida, cuáles son todas las amenazas y riesgos que son nuevos para mi organización y ¿Cómo deben diseñarse y probarse esos controles para que podamos garantizar la eficacia y tener la confianza de que nuestros datos están seguros? » Donahue dice. Los auditores también deben considerar diferentes regulaciones, estándares y modelos fuera del proceso recurring de auditoría de TI.

Para agravar el desafío de la auditoría de la nube está la complejidad de la cadena de suministro de la nube, que Catteddu señala que ha sido un component en varias brechas de seguridad recientes y es una parte distintiva de la auditoría de seguridad de la nube.

«La cantidad de servicios en la nube que eat cada empresa es enorme, y queríamos asegurarnos de que quien esté evaluando esa compleja cartera de servicios esté en condiciones de escalar esa experiencia y expandir y automatizar su evaluación según sea necesario», agrega.

El CCAK está destinado a profesionales, incluidos evaluadores y auditores externos e internos, CISO, directores de privacidad, oficiales de protección de datos, consultores de seguridad y privacidad, gerentes de cumplimiento y gerentes de programas de proveedores. Catteddu y Donahue enfatizan que este no es un certificado fundacional. A diferencia del Certification of Cloud Security Knowledge (CCSK) o Certified Cloud Safety Professional (CCSP), se espera que los estudiantes tengan experiencia.

«El CCAK asume que cualquier estudiante o profesional que se acerque al certificado … tiene esos fundamentos básicos de la nube y la seguridad en la nube ya bien consolidados», dice Catteddu, y señala que «no cubrimos eso en detalle en el programa». CCAK se considera una capa adicional sobre CCSK, Auditor certificado de sistemas de información (CISA), Asesor FedRAMP 3PAO, Asesor de seguridad calificado PCI / DSS y / o las Credenciales de auditor líder ISO 27001.

También sería útil que los candidatos tuvieran experiencia en el espacio de auditoría, agrega Donahue.

«No tener experiencia en auditoría sería problemático en… tener que auditar no solo sus controles internos, sino también todos los controles de su proveedor de servicios de confianza», explica.

CSA e ISACA planean monitorear el mercado y ajustar la capacitación y el examen a medida que la nube y el espacio de seguridad de la nube continúan evolucionando.

Kelly Sheridan es la editora de individual de Dim Looking at, donde se centra en noticias y análisis de ciberseguridad. Es una periodista de tecnología empresarial que anteriormente reportó para InformationWeek, donde cubrió Microsoft, y Seguros y tecnología, donde cubrió finanzas … Ver biografía completa

Lectura recomendada:

Más información





Enlace a la noticia first