O que deve estar em sua lista de auditoria da nuvem

Segurança

A segurança é uma prioridade para todas as organizações. Em um mundo onde as violações de dados estão na casa dos milhares, não devemos nos surpreender que a conformidade com a segurança possa ser a diferença entre crescimento e fracasso. Você deve saber o que esperar de uma auditoria de segurança porque, em algumas circunstâncias, a viabilidade da empresa pode depender disso.

Gerenciamento de acesso

 Ao reunir sua lista de verificação de auditoria em nuvem, você precisa entender quem pode acessar seus serviços em nuvem e quanto acesso cada pessoa tem. Embora uma   auditoria física possa estar preocupada com quem pode entrar em um edifício e em quais salas seu cartão de acesso permite entrar, uma auditoria em nuvem refere-se a quais serviços e dados um usuário pode acessar.

Como a nuvem não é um local físico, é importante registrar as ações que os usuários realizam em todos os momentos, o que pode ajudar na resposta a incidentes no futuro.

Métricas e alertas

Você também deve considerar os dados coletados  e os alarmes que instalou para identificar incidentes de segurança antes ou enquanto ocorrem. Esses tipos de métricas incluem o número de autorizações de usuário que falharam durante um período fixo ou a quantidade de tráfego que uma API processa em comparação com o mesmo período da semana anterior.

E, mais além do contexto de auditoria do usuário, o sucesso do seu aplicativo depende de quão bem você entende como os componentes individuais de infraestrutura interagem e como você define alarmes para notificar sua equipe quando esses parâmetros estão fora dos limites esperados.

Proteção e intrusão

Para este tipo de auditoria, você precisa saber como você atualmente protege sua infraestrutura e como você testa e melhora essa proteção. Embora firewalls, políticas de patches e varreduras de vulnerabilidade sejam ótimas ferramentas para se ter, você realmente não sabe o quão eficazes essas ferramentas são a menos que você esteja continuamente testando sua segurança.

Os testes formais de penetração (pen test) e os programas de recompensas de caça a bugs são ótimas maneiras de testar a validade de sua infraestrutura de segurança.  Esse tipo de teste também é frequentemente consultado na maioria das auditorias de segurança. Se você realizou um teste formal de penetração, espere ser solicitado a fornecer o relatório do investigador.

Integridade

Embora a segurança seja frequentemente um componente importante das auditorias em nuvem, não é o único que pode surgir. Por exemplo, investidores e clientes vão querer saber sobre a integridade do seu aplicativo e a infraestrutura que você construiu. Essas informações também podem fornecer contexto adicional às auditorias de segurança. Para entender completamente a integridade de um aplicativo, os clientes podem querer saber o quão estável ele é, quão preciso é o processamento de dados ou quão bem o aplicativo funciona sob pressão e com grandes quantidades de dados.

Fluxos de trabalho

A forma como você constrói seu aplicativo é importante. Os clientes podem não se importar como as revisões de código são realizadas ou se você tem um conjunto completo de testes, mas outras partes interessadas certamente terão. Se você puder articular claramente as melhores práticas que sua equipe  segue durante o desenvolvimento, teste e implantação de aplicativos, você pode se antecipar a algumas das perguntas mais desafiadoras que podem surgir em uma auditoria.

Arquitetura

Além de perguntas sobre seus processos e práticas, você também encontrará perguntas sobre o projeto arquitetônico e a estratégia de hospedagem do seu aplicativo. Se você não tem um diagrama de arquitetura de alto nível, agora é uma boa hora para montar um.

Ao determinar o quão resiliente é o seu aplicativo, é benéfico para os usuários entender como seus aplicativos lidam com coisas como escala e carga inesperada. Você também deve ser capaz de responder perguntas sobre as tecnologias que você usa e por quê. Há uma grande variedade de ferramentas e tecnologias, e embora "tenhamos tomado a melhor decisão naquele momento" possa ser uma resposta válida, uma resposta mais articulada pode ser útil.

Confiabilidade

Embora um aplicativo funcional construído com um processo confiável forneça uma excelente base de integridade, a confiabilidade desse aplicativo é tão importante quanto na sua lista de verificação de auditoria em nuvem. Cada organização deve ter um plano de recuperação de  desastres (DR) no caso de uma falha crítica no aplicativo. Se esse plano envolver suporte multi-região ou mesmo multi-nuvem, você e seus auditores ficarão tranquilos se você puder transmitir o que esse plano é e como você pretende garantir que seu serviço seja confiável.

Privacidade

Os auditores inevitavelmente perguntarão como você mantém a privacidade de seus clientes. Se você está preocupado com a conformidade do GDPR da UE ou as proteções contra as consequências potencialmente graves de uma violação de dados, você deve entender como, por que e onde você armazena dados privados.

Retenção de dados

Entenda os dados que você coleta do cliente e por quanto tempo você os mantém. Embora seja importante identificar o escopo geral dos dados, o foco aqui são as informações de identificação pessoal, como e-mails, nomes, endereços etc. Por causa de regulamentos como a GDPR, é importante entender o que você coleta e onde você armazena, porque você pode ser solicitado a excluí-lo no futuro.

Encriptação

Alguns dados podem não ser pessoalmente identificáveis, mas ainda são informações confidenciais. Senhas, chaves de API e outras informações privadas seriam devastadoras se fossem publicadas publicamente. Saiba quais informações você criptografa e como, para que você possa responder corretamente às perguntas nesta categoria.