Nell’attuale scenario di attacchi informatici sempre più complessi e frequenti in ogni segmento di mercato, le soluzioni IT richiedono costante impegno per mantenere la sicurezza e la garanzia del prodotto/servizio.
Sono necessari processi, politiche e tecnologie per proteggere i ricavi, le proprietà intellettuali e la reputazione dei nostri clienti e fornitori. Capire il livello di sicurezza in una soluzione IT è spesso fonte di confusione ed avere linee guida globali, indipendenti, ben documentate e certificabili, facilita il confronto delle soluzioni e semplifica il processo decisionale
A tale proposito, Cisco si impegna a rispettare diversi standard di certificazione di riferimento nel settore come ISO, Common Criteria, SOC2, Fedramp, solo per citarne alcuni.
Cloud Security Alliance
La Cloud Security Alliance (CSA) è un’organizzazione senza scopo di lucro guidata da un’ampia coalizione di professionisti del settore, aziende ed altri importanti stakeholder. È dedicata alla definizione di best practice per garantire un ambiente di Cloud computing più sicuro e ad aiutare i potenziali Clienti Cloud a prendere decisioni informate durante la transizione delle loro operazioni IT al Cloud.
Nel 2013, il CSA e il British Standards Institution hanno lanciato il Security, Trust & Assurance Registry (STAR), un registro gratuito e accessibile al pubblico in cui i fornitori di servizi cloud (CSP) possono pubblicare le loro valutazioni relative al CSA.
CSA STAR si basa su due componenti principali dello Stack di governance, gestione dei rischi e conformità (Governance, Risk Management, and Compliance – GRC) CSA:
- Cloud Controls Matrix (CCM): un framework di controlli che copre i principi di sicurezza fondamentali in 16 domini per aiutare i Clienti Cloud a valutare il rischio di sicurezza complessivo di un CSP.
- Il Consensus Assessments Initiative Questionnaire (CAIQ): CAIQ versione 3.0.1 consiste di 295 domande raggruppate in 16 domini, basate sul CCM per documentare quali controlli di sicurezza esistono nei servizi IaaS, PaaS e SaaS e fornire trasparenza nel controllo della sicurezza.
Il Consensus Assessments Initiative Questionnaire (CAIQ) è un assessment fornito dalla Cloud Security Alliance (CSA) per gli utilizzatori ed i revisori di servizi Cloud per valutare le capacità di sicurezza di un provider di servizi Cloud. Il CAIQ è stato sviluppato per creare standard di settore comunemente accettati per documentare i controlli di sicurezza nelle architetture infrastructure-as-a-service, platform-as-a-service and software-as-a service.
Autovalutazione Cisco e CSA STAR
Il portale Cisco Trust consente ai clienti di visualizzare, archiviare e scaricare documenti Cisco su sicurezza, affidabilità, protezione dei dati e privacy, inclusi ISO, certificazioni SOC, Privacy Data Sheet, Privacy Data Maps, CSA CAIQ e documenti di conformità.
Cisco ha pubblicato volontariamente una versione di riferimento del CAIQ nel portale CSA.
È possibile visualizzare e scaricare u CAIQ di dettaglio per uno specifico prodotto/servizio attraverso il Cisco Trust Portal.
Risorse addizionali:
Cisco Trust Center
Cisco Trust Principles
Cisco Software Development Lifecycle
_____________________
Autori dell’articolo:
Reda Jaaouani – Solution Architect, Cisco
Fabrizio Gergely – System Engineer Manager, Cisco
_____________________