Este documento proporciona una introducción a la Cloud Security Alliance (CSA) y su esquema de certificación CSA-STAR. Explica que CSA es una organización sin fines de lucro que promueve las mejores prácticas de seguridad en la nube y que CSA-STAR es un registro público de proveedores de nube auto-evaluados. También describe los tres niveles del Esquema de Certificación Abierto de CSA, incluida la autoevaluación, la certificación y la certificación continua, así como la Matriz de Control de Nube
4. Contenido
¿Qué es la CSA?
¿Qué es CSA-STAR?
El esquema de Certificación Abierto (OCF)
La Matriz de Control de Nube (CCM)
Modelo de Capacidad de Gestión
Proceso de Certificación CSA-STAR
¿Por qué certificar?
Los 10 Tips para implementar CSA-STAR
Novedades de CSA-STAR
5. ¿Qué es la CSA?
• Global, sin fines de lucro, Fundada en 2008
• 73,000+ miembros individuales, 70+ capítulos a nivel mundial
• Más de 40 proyectos de investigación en 30+ grupos de trabajo
• Alianzas estratégicas con los gobiernos, instituciones de investigación, asociaciones profesionales y la industria
• Construyendo las mejores prácticas de seguridad para la próxima generación de TI
• Investigación y Programas Educativos
• Certificación de Proveedores Cloud: CSA STAR
• Certificación de profesionales: CCSK
• La fuente global para la confianza en cloud
www.cloudsecurityalliance.org
“Promover las mejores prácticas a fin de ofrecer confianza dentro del ámbito del Cómputo
en la Nube, educando a la comunidad sobre sus usos y colaborando en asegurar todas las
otras formas de computo.”
6. ¿Qué es CSA-STAR?
• CSA STAR (Security, Trust and Assurance Registry)
• Lanzado en 2011, el CSA STAR es el primer paso para mejorar la
transparencia y la seguridad en la nube.
• Registro Público de proveedor de cloud auto evaluados
• Basado en las mejores prácticas de CSA (CCM o CAIQ)
• Promoviendo transparencia con acciones voluntarias por industria.
• Seguridad como un diferenciador en el mercado
www.cloudsecurityalliance.org/star
Demande STAR a sus proveedores cloud!
7. ¿Qué es CSA-STAR?
• La certificación CSA STAR es única en su especie en cuanto que se desarrolló como una mejora a los objetivos de la norma
SIO/IEC 27001 para atacar el foco de los aspectos específicos de seguridad de entornos de cómputo en nube.
• Para responder a la creciente preocupación de las organizaciones y negocios, CSA, una organización sin fines de lucro que
tiene como misión el promover las mejores prácticas de seguridad en cómputo en la nube, creó la la Matriz de Controles
en la Nube (Cloud Controls Matrix –CCM– ). Esta matriz de controles que fuera desarrollada en conjunto con un grupo de
trabajo específico a la industria, especifica los controles comunes que son relevantes a la seguridad para el computo en la
nube.
• La certificación CSA Star, tiene como objetivo validar el nivel de adopción de los controles de la matriz. El reporte de de
salida indica cuan bien el sistema bajo revisión ha sido embebido en la organización asignando diferentes niveles de
cumplimiento.
• Se basa en una estructura multicapa definida por el Open Certification Framework
8. ¿Qué es CSA-STAR?
Nivel actual de adopción
Actualmente 161 Proveedores / Servicios de Cloud Word Wide han decidido formar parte
de la CSA STAR Eso incluye:
• Autoevaluación STAR (123)
• Certificación STAR (31)
• Certificado STAR (3)
• Evaluación C-STAR (4)
10. El esquema de Certificación Abierto (OCF)
• El Esquema de Certificación Abierto (Open Certification Framework, en adelante OCF) de CSA en una
iniciativa de la industria para permitir una certificación global, acreditada y basada en la confianza para
proveedores de servicios en la nube.
• OCF de CSA es un programa flexible, incremental y con diferentes niveles para una certificación de
proveedores de servicios en la nube, de acuerdo con los objetivos de control y guías de seguridad de
liderazgo de la industria que aporta CSA.
• El programa se integrará con las reconocidas auditorías de tercera parte y con los requisitos de informe
desarrollados dentro de la comunidad para evitar duplicar costes y esfuerzos.
• OCF de CSA está basado en los objetivos de control y estructuras de control continuo definidas dentro del
proyecto de investigación STACK GRC (Gobernance, Risk and Compliance) de CSA.
11. El esquema de Certificación Abierto (OCF)
El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual
en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel
mayor de seguridad en el cliente de servicios en la Nube.
12. El esquema de Certificación Abierto (OCF)
Nivel 1: Autoevaluación: CSA STAR
• Los proveedores de servicios en la nube pueden presentar dos tipos diferentes de
informes para indicar su cumplimiento con las mejores prácticas de CSA.
• El Cuestionario CAIQ (Consensus Assessment Initiative Questionnaire)
• Matriz CSA-CCM
Proporciona a las partes interesadas en la nube - CSC (Cloud Service Client), Cloud
Service Providers (CSP), Cloud Auditors, Cloud Brokers, etc. - con un repositorio público
donde los CSP pueden publicar información sobre sus evaluaciones de seguridad
relativas a CSA Cloud Control Matrix (CCM) y CSA Consensus Assessment Initiative
Questionnaire (CAIQ).
https://cloudsecurityalliance.org/star/self-assessment/
13. El esquema de Certificación Abierto (OCF)
Nivel 2: CERTIFICACION STAR (Auditoría de Tercera Parte)
El concepto del esquema es utilizar los requerimientos de la norma de sistemas de gestión
ISO 27001 integrado con la CCM de CSA y los propios requisitos internos o las
especificaciones de la organización para evaluar la madurez de sus sistemas. Las respuestas
son registradas y posteriormente analizadas por su nivel de madurez. A esta madurez se le
asigna una puntuación. Todas las puntuaciones son evaluadas conjuntamente para puntuar
los diferentes dominios del sistema de gestión y una puntuación global de todo el sistema
de gestión.
Además de lo anterior, también existe la posibilidad para los clientes de tener su propio
criterio de rendimiento interno incluido en el proceso para su examen y puntuación por los
auditores.
https://cloudsecurityalliance.org/star/certification/
14. El esquema de Certificación Abierto (OCF)
Nivel 2: Testeo STAR (Auditoría de Terceros)
El concepto del esquema es utilizar los requerimientos para testeos AICPA SOC2,
ejecutados de acuerdo con la sección AT 101, de los test estándar AICPA, ampliados con la
CSA-CCM. Puede encontrarse información adicional en el posicionamiento de CSA sobre
este tema disponible en:
https://downloads.cloudsecurityalliance.org/initiatives/collaborate/aicpa/CSA_Position_Pape
r_on_AICPA_Service_Organization_Control_Reports.pdf
https://cloudsecurityalliance.org/star/attestation/
15. El esquema de Certificación Abierto (OCF)
Nivel 3: La certificación basada en el seguimiento continuo
Permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube.
CSA STAR Continuous se basa en una auditoría / evaluación continua de las propiedades de seguridad
relevantes.
Se construye en base a las siguientes prácticas / estándares de CSA:
Cloud Controls Matrix (CCM)
Cloud Trust Protocol (CTP)
CloudAudit (A6)
https://cloudsecurityalliance.org/star/continuous/
16. El esquema de Certificación Abierto (OCF)
Relación actual entre niveles
17. La Matriz de Control de Nube (CCM)
Matriz de Controles para evaluar la gestión de la seguridad de los servicios de
Cloud Computing.
Alineamiento con los principales estándares y regulaciones en materia de
seguridad de la información: ISO 27001/27002, ISACA COBIT, PCI, NIST, Jericho
Forum and NERC CIP
https://cloudsecurityalliance.org/research/ccm/
18. La Matriz de Control de Nube (CCM)
Está diseñado específicamente para proporcionar los principios de seguridad para
guiar a los proveedores de la nube y para ayudar a los clientes en la nube a evaluar
el riesgo general de seguridad de un proveedor de la nube.
CSA Cloud Controls Matrix (CCM) mapea con otros estándares de seguridad
aceptados por la industria, los reglamentos, y controla los marcos como la ISO
27001/27002, ISACA COBIT, PCI, NIST, Jericho, NERC CIP, ENISA, COPPA,
HIPAA/HITECH, AICPA 2014 Trust Services Criteria, etc.
19. El Modelo de Capacidad de Gestión
• Modelo de Madurez
• Pero también incorpora características de Hoja de Ruta (Roadmap)
• Evaluación Matricial
• (5 niveles x 3 estadíos = 15 grados de “cumplimiento”)
• Permite categorizar el nivel de “cumplimiento” del sistema bajo auditoría
• Pero mas importante, permite identificar cual es el esfuerzo y el criterio necesarios para avanzar.
20. El Modelo de Capacidad de Gestión
Los niveles de puntaje
Puntaje Descripción
1 a 3 Sin perspectiva o marco formal definido
4 a 6 Visión Reactiva
7 a 9 Visión Proactiva
10 a 12 Perspectiva de Mejora Continua
13 a 15 Perspectiva Optimizada o de Innovación
21. El Modelo de Capacidad de Gestión
Puntajes
1 a 3 4 a 6 7 a 9 10 a 12 13 a 15
Sin Perspectiva
Formal
Reactivo Proactivo Mejorado Optimizado
Definido
1. No ha evidencia de
sistema para gestionar el
área de control
4. Existe evidencia de un
sistema que cubre los
aspectos claves del área de
control
7. Existe evidencia de un
sistema robusto que cubre
las operaciones de rutina
en el área de control
10. Existe Evidencia de que
el sistema es capaz de
manejar eventos y
contingencias además de la
operación de rutina
13. Los responsables
pueden demostrar que
verifican de manera activa
las mejores practicas de la
industria para aplicarlas al
área de control
Administrado
2. Existe evidencia de un
sistema documenta o una
forma aceptada de trabajo
5. Existe un dueño
identificado para el área de
control que comprende el
alcance de su
responsabilidad
8. Existe evidencia de que
el área de control se
monitorea de manera
activa, con acciones de
respuesta
11. Se considera la
información de diferentes
fuentes a los efectos de
decidir la mejor manera de
gestionar el riesgo.
14. Los responsables del
área de control comparten
de manera activa las
mejores practicas para
soportar la mejora en otras
áreas
Efectivo
3. Existe evidencia de que
la forma de trabajo se sigue
de manera consistente
6. Existe evidencia de que
el sistema se comprende y
ejecuta de manera habitual
9. Existe evidencia que el
personal critico se
encuentra entrenada para
operar de manera efectiva
el área de control
12. Existe evidencia de que
las información de
diferentes orígenes es
monitoreada y medida y se
toma en cuenta para la
mejora en el área de
control
15. Los cambios en el área
de control se evalúan
contra los objetivos
estratégicos de la
organización.
22. El Proceso de Certificación CSA-STAR
• Alcance variable
• Se auditan los controles definidos por la entidad auditada
• Evaluación sobre los 16 dominios de la CCM
• Acumulativo
• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)
• Estado de Cumplimiento Granular
• PASS/FAIL vs Puntaje (en una escala de 15 puntos)
• La letra chica
• El puntaje mas bajo para cada uno de los dominios se representa en el puntaje final
• El promedio de todos los puntajes provee el puntaje del nivel de madurez
24. El Proceso de Certificación CSA-STAR
REQUERIMIENTOS
• Es necesario que la entidad auditada se encuentre certificada en ISO27001
• Para que la auditoría de CSA-STAR resulte en una certificación, el certificado ISO27001 debe estar vigente
• El alcance de la certificación de CSA-STAR puede diferir del alcance de ISO27001
• Pero es imprescindible que sea un subconjunto del mismo del alcance del anterior
• Los requerimientos de auditoría de CSA-STAR son los mismos que para ISO27001
• Esto es, que si para la auditoría de ISO27001 se necesitan 5 días, se necesitarán 5 días MÁS para auditar CSA-STAR
• Para llegar a un nivel, todos los anteriores deben cumplirse (concepto de madurez)
• Los certificados pueden tener ciclos diferentes
• De nuevo, ¿Es necesario decir que el certificado debe encontrarse vigente?
25. ¿Por qué y para qué certificar?
… Tengo que explicarlo?
26. Los 10 Tips para implementar CSA-STAR
El compromiso de la alta dirección
es vital para que el sistema sea
introducido con éxito. Asegúrese de
que los altos directivos sean
activamente responsables,
participen, aprueben los recursos y
estén de acuerdo con los procesos
clave.
Asegúrese de que toda su empresa
está comprometida y entienda la
importancia de la seguridad en la
nube y comprométala con una
estrategia de comunicaciones
sólida.
Establecer un equipo de
implementación competente y bien
informado para obtener los mejores
resultados, compartiendo roles y
responsabilidades.
Descargue la matriz de control de la
nube (CCM) de la CSA.
Revise los sistemas y procesos que
tiene en su lugar en este momento.
A continuación, compararlos con
los requisitos de la CCM. Obtenga
comentarios de los clientes sobre
sus procesos y servicios actuales.
Asegúrese de que su alcance esté
alineado con los procesos críticos
del cliente e implementar todos los
controles relevantes dentro de la
matriz.
Benchmark su capacidad actual
contra el modelo de madurez y ver
dónde hay oportunidades para
mejorar.
Definir claramente un plan bien
comunicado de actividades y
plazos. Estar seguro que todos los
entienden y su papel para lograrlos.
Capacitar a su personal para llevar a
cabo auditorías internas, lo que
puede proporcionar información
valiosa y oportunidades de mejora.
Revise regularmente sus controles
para asegurarse de que siguen
siendo apropiados, eficaces y
ofrecen mejoras continuas.
Lanzado en 2011, el CSA STAR es el primer paso para mejorar la transparencia y la seguridad en la nube.
Al igual que con todas las normas de sistemas de gestión, ISO/IEC 27001 ha sido escrita de tal manera que se pueda aplicar a cualquier organización, grande o pequeña, en todas las industrias. Sin embargo, se considera que existen requisitos especiales específicos para cloud computing que o bien no están cubiertos o que necesitan ser cubiertos con mayor precisión.
By adopting CSA STAR Certification as an extension of your ISO/IEC 27001 Information Security Management System,
you’ll be sending a clear message to existing and potential customers that your security systems are robust and have
addressed the specific issues critical to cloud security.
Aunque no hay obligaciones regulatorias, la certificación STAR permitirá:
Visibilidad completa de la alta dirección para evaluar la eficacia de su sistema de gestión en relación con las expectativas de la norma internacional y la industria de seguridad en la nube
Una auditoría adaptada que reflejará cómo los objetivos de la organización están orientados a la optimización de los servicios en la nube
Una organización para demostrar los niveles de progreso y el desempeño a través de un reconocimiento validado independientemente por un organismo de certificación externo
Las organizaciones pueden comparar sus resultados con su competencia
La certificación STAR dará a los potenciales clientes de la organización certificada una mayor comprensión del nivel de los controles en funcionamiento, así como poner de relieve las áreas en las que una organización puede desear enfocarse
Un camino aplicable en cualquier geografía para gestionar requerimientos legales con las mejores
prácticas globales basadas en la confianza. Por ejemplo, esperamos que los Gobiernos sean firmes implementadores del OCF de CSA para plantear sus propias necesidades particulares como
la capa más alta de las necesidades de Gobierno, Riesgo y Cumplimento (en adelante GRC), y proporcionar una certificación ágil para los usuarios de servicios en la nube del sector público.
Una guía explícita para proveedores sobre cómo usar las herramientas GRC Stack para certificaciones múltiples. Por ejemplo, la documentación de definición de alcance articulará las razones por las que un proveedor puede seguir el camino de la certificación ISO 27001 que incorpore la CSA Cloud Control Matrix (en adelante CCM).
Un “esquema de reconocimiento” que podría permitir a CSA soportar ISO, AICPA y potencialmente otros esquemas que incorporen Propiedad Intelectual de CSA dentro de sus certificaciones o marcos de certificación.
El OCF se estructura en 3 NIVELES de CONFIANZA, cada uno de los cuales proporciona un incremento gradual en los niveles de visibilidad y transparencia en las operaciones del Proveedor de Servicios en la Nube y un nivel mayor de seguridad en el cliente de servicios en la Nube.
CSA STAR Self-Assessment is a complimentary offering that documents the security controls provided by various cloud computing offerings, thereby helping users assess the security of cloud providers they currently use or are considering using. Cloud providers either submit a completed The Consensus Assessments Initiative Questionnaire (CAIQ), or to submit a report documenting compliance with Cloud Controls Matrix (CCM). This information then becomes publicly available, promoting industry transparency and providing customer visibility into specific provider security practices.
CSA STAR Self-Assessment es una oferta complementaria que documenta los controles de seguridad proporcionados por diversas ofertas de cloud computing, ayudando así a los usuarios a evaluar la seguridad de los proveedores de la nube que actualmente utilizan o están considerando usar. Los proveedores de la nube someten un Cuestionario de la Iniciativa de Evaluación del Consenso (CAIQ), o presentan un informe que documenta el cumplimiento con la Matriz de Control de Nube (MCP). Esta información se vuelve disponible públicamente, promoviendo la transparencia de la industria y proporcionando visibilidad del cliente en las prácticas específicas de seguridad del proveedor.
CSA STAR CERTICATION: Evaluación de terceros basada en ISO27001 + CCM
The CSA STAR Certification is a rigorous third-party independent assessment of the security of a cloud service provider. The technology-neutral certification leverages the requirements of the ISO/IEC 27001:2005 management system standard together with the CSA Cloud Controls Matrix.
La certificación CSA STAR es una evaluación independiente riguroso de terceros de la seguridad de un proveedor de servicios en la nube. La certificación de tecnología neutral aprovecha los requisitos del estándar del sistema de gestión ISO / IEC 27001: 2005 junto con la Matriz de Control de Nube de CSA.
ATTESTACIÓN STAR DE CSA: Evaluación de terceros basada en AICPA SOC2 + CCM
C-STAR: Evaluación de terceros basada en la seguridad china Estándar de certificación (GB / T 22080) + CCM
CSA STAR Attestation is a collaboration between CSA and the AICPA to provide guidelines for CPAs to conduct SOC 2 engagements using criteria from the AICPA (Trust Service Principles, AT 101) and the CSA Cloud Controls Matrix. STAR Attestation provides for rigorous third party independent assessments of cloud providers.
La certificación CSA STAR es una colaboración entre CSA y la AICPA para proporcionar pautas para que los CPA lleven a cabo compromisos SOC 2 usando los criterios de AICPA (Principios del Servicio de Fideicomiso, AT 101) y la Matriz de Control de Nube de la CSA. STAR Attestation proporciona rigurosas evaluaciones independientes de terceros de los proveedores de la nube.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Desde el punto de vista de la "garantía", el Nivel 1 de OCF proporciona una garantía de buena a moderada, el Nivel 2 de OCF proporciona un alto grado de seguridad y el Nivel 3 de OCF proporciona una seguridad muy alta.
Desde la perspectiva de la "transparencia", el Nivel 1 de la OCF proporciona una buena transparencia, el Nivel 2 de la OCF proporciona una transparencia baja a alta y el Nivel 3 de la OCF proporciona una transparencia muy alta.
El CSA CCM ofrece un marco de controles que da comprensión detallada de los conceptos de seguridad y los principios que están alineados con la GUIA CSA en los 14 dominios.
El CSA CCM fortalece entornos de control de seguridad de información existentes, haciendo hincapié en los requisitos de control de seguridad de información de negocio, reduce e identifica las amenazas de seguridad consistentes y vulnerabilidades en la nube, proporciona seguridad estandarizada y gestión del riesgo operacional, y trata de normalizar las expectativas de seguridad, taxonomía de la nube y terminología, y las medidas de seguridad implementadas en la nube.
El CSA CCM ofrece un marco de controles que da comprensión detallada de los conceptos de seguridad y los principios que están alineados con la GUIA CSA en los 14 dominios.
El CSA CCM fortalece entornos de control de seguridad de información existentes, haciendo hincapié en los requisitos de control de seguridad de información de negocio, reduce e identifica las amenazas de seguridad consistentes y vulnerabilidades en la nube, proporciona seguridad estandarizada y gestión del riesgo operacional, y trata de normalizar las expectativas de seguridad, taxonomía de la nube y terminología, y las medidas de seguridad implementadas en la nube.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
Currently under development, CSA STAR Continuous Monitoring enables automation of the current security practices of cloud providers. Providers publish their security practices according to CSA formatting and specifications, and customers and tool vendors can retrieve and present this information in a variety of contexts.
Actualmente en desarrollo, CSA STAR Continuous Monitoring permite la automatización de las prácticas actuales de seguridad de los proveedores de la nube. Los proveedores publican sus prácticas de seguridad de acuerdo con el formato y las especificaciones de CSA, y los clientes y proveedores de herramientas pueden recuperar y presentar esta información en una variedad de contextos.
El CSA STARWatch es una herramienta de gestión basada en la web Cloud GRC. Está desarrollado para ayudar a las organizaciones a gestionar la creación e implementación de sus políticas de seguridad en la nube para toda la empresa. STARWatch puede utilizarse como un portal de gestión del conocimiento para ayudar a mantener a los profesionales y auditores de la nube alineados con respecto a la postura de seguridad en la nube de la organización
La versión actual de la herramienta STARWatch de CSA proporciona una forma de simplificar la recopilación de información de auditoría respectiva al CAIQ y al CCM. Se añadirán funciones adicionales para:
• Automatización de la recopilación de los requisitos de la CSC
• Implementación de CloudAudit para agilizar e incrementar la frecuencia de recolección de información de auditoría
• Creación de perfiles de riesgo de CSC
• Mapeo de los requisitos y perfiles de riesgo de CSC a una oferta de nubes adecuada
• Provisión de métricas para apoyar la medición de SLAs
• Asignación de controles de CCM y requisitos de PLA a SLOs y propiedades
• Comparar servicios basados en requisitos establecidos y perfiles de riesgo
• Aprovechamiento de la plataforma de corretaje certificado federado desarrollada por el proyecto Cloud For Europe