Muitos fornecedores de nuvem que oferecem o atestado da auditoria se recusam a listar os objetivos dos controles analisados
A maioria dos profissionais de TI estão familiarizados com o Statement of Auditing Standart, ou SAS, nº 70, do Instituto Americano de Contadores Públicos Certificados. Falando de forma simplificada, é um padrão de auditoria para empresas de serviço relatarem controles usados em operações. Existem dois tipos de auditoria SAS 70, o Tipo I e o Tipo II. O Tipo II é o mais popular porque envolve um nível de teste mínimo para controles específicos. O resultado de uma auditoria SAS 70 Tipo II é, geralmente, um “atestado” emitido pelo auditor e um relatório sobre os “objetivos do controle” que são revisados durante a auditoria.
Diferente dos padrões de prescrição, como o PCI-DSS (Payment Card Industry Data Security Standars), o SAS 70 define o processo – a forma – como uma auditoria é realizada, mas não o critério -o que – incluído naquela auditoria. Com certeza, existe valor em uma auditoria SAS 70 Tipo II, mas a relevância desse valor depende muito dos controles sendo investigados – o que.
Assim como qualquer profissional de TI que já passou por um SAS 70 irá atestar, você pode, simplesmente, remover controles que você não quer que seja avaliado. Não possui segurança integrada ao ciclo de vida do software de desenvolvimento? Não deixe o auditor verificar essa parte. Não faz monitoramento de vulnerabilidade? Risque isso da lista de objetivos.
A prática de “massagear” os objetivos do controle de SAS 70 é uma má notícia para a segurança e, ao contrário dos controles padrão do mundo da contabilidade, não temos os chamados Princípios Contábeis Geralmente Aceitos para risco de TI. E pior, muitos dos modelos que os auditores do SAS 70 usam são baseados em controles desatualizados. Por exemplo, força de senha não importa quando um ataque consegue acesso administrativo ao sistema principal por meio de vulnerabilidades não corrigidas. O valor de um relatório depende dos controles que ele analisa e do espaço que cobre.
Para agravar a situação, vimos fornecedores de nuvem que oferecem o atestado mas se recusam a listar os objetivos dos controles analisados pela auditoria SAS 70. É o mesmo que dizer: “Sim, fomos auditados, mas não, não vamos dizer o que os auditores analisaram”.
Felizmente, muitos profissionais de TI e fornecedores de nuvem mais maduros vêem o absurdo da situação. “Um atestado SAS 70 sem transparência dos objetivos dos controles não serve para nada”, disse Feigenbaum, do Google. Concordamos plenamente. Assim como as avaliações de tecnologia, o valor de uma auditoria se baseia no critérios e nos métodos de teste. Portanto, como garantimos que os controles certos foram analisados? Fazendo uma lista antecipada usando uma fórmula baseada nos padrões.
Leia mais:
Segurança ainda intriga CIOs quanto a computação em nuvem
Como calcular riscos no ambiente em nuvem?
Mercado busca padronização dos serviços em nuvem
