Programma Rischio e conformità AWS
AWS ha integrato un programma di rischio e conformità in tutta l'organizzazione, che mira a gestire il rischio in tutte le fasi di progettazione e implementazione del servizio, oltre a migliorare e rivalutare continuamente le attività legate al rischio dell'organizzazione. I componenti del programma integrato di rischio e conformità AWS sono trattati in maggior dettaglio nelle sezioni seguenti.
Gestione del rischio aziendale AWS
AWS ha predisposto un programma di gestione del rischio aziendale (BRM) destinato ai reparti aziendali di AWS per fornire al consiglio di amministrazione e ai senior leader di AWS una visione olistica dei principali rischi in AWS. Il programma BRM dimostra una supervisione indipendente del rischio sulle funzioni AWS. In particolare, il programma BRM si occupa di quanto segue:
-
Esegue valutazioni e monitoraggio del rischio delle principali aree funzionali di AWS
-
Identifica e promuove la correzione dei rischi
-
Mantiene un registro dei rischi noti
Per guidare la correzione dei rischi, il programma BRM riporta i risultati dei suoi sforzi e, se necessario, segnala i problemi ai direttori e ai vicepresidenti di tutta l'azienda per informare il processo decisionale aziendale.
Gestione operativa e aziendale
AWS utilizza una combinazione di riunioni e report settimanali, mensili e trimestrali per garantire, tra l'altro, la comunicazione del rischio tra tutti i componenti del processo di gestione del rischio. Inoltre, AWS implementa un processo di escalation per fornire visibilità alla gestione dei rischi ad alta priorità in tutta l'organizzazione. Questi sforzi, tutti insieme, contribuiscono a garantire che il rischio sia gestito in modo coerente con la complessità del modello di business di AWS.
Inoltre, attraverso una struttura di responsabilità a cascata, i vicepresidenti (i proprietari dell'azienda) sono responsabili della supervisione della loro attività. A tal fine, AWS organizza riunioni settimanali per esaminare i parametri operativi e identificare tendenze e rischi chiave prima che abbiano un impatto sull'azienda.
Le leadership esecutiva e di livello senior giocano ruoli importanti nello stabilire i toni di AWS e i suoi valori fondamentali. Ogni dipendente riceve il Codice di condotta aziendale ed etica e i dipendenti completano una formazione periodica. Le verifiche di conformità sono eseguite in modo che i dipendenti comprendano e seguano le policy stabilite.
La struttura organizzativa di AWS offre un framework per la pianificazione, l'esecuzione e il controllo delle operazioni aziendali. La struttura organizzativa comprende ruoli e responsabilità in modo tale da disporre di personale adeguato, favorire l'efficienza delle operazioni e ottenere la segregazione dei compiti. La direzione, inoltre, ha definito le linee opportune per il personale più importante. Le verifiche condotte dall'azienda durante la procedura di assunzione prevedono la convalida dell'istruzione, degli impieghi precedenti e, in alcuni casi, dei precedenti penali, nei limiti di quanto ammesso dalle leggi e dai regolamenti in materia e in modo commisurato alla posizione del dipendente e al suo livello di accesso alle strutture AWS. L'azienda segue una procedura di formazione iniziale strutturata che consente ai nuovi dipendenti di acquisire familiarità con strumenti, processi, sistemi, policy e procedure Amazon.
Ambiente di controllo e automazione
AWS implementa i controlli di sicurezza come elemento fondamentale per gestire il rischio in tutta l'organizzazione. L'ambiente di controllo AWS è composto da standard, processi e strutture che forniscono la base per l'implementazione di una serie minima di requisiti di sicurezza in AWS.
Sebbene i processi e gli standard inclusi nell'ambiente di controllo AWS siano autonomi, AWS sfrutta anche aspetti dell'ambiente di controllo di Amazon in generale. Gli strumenti impiegati comprendono:
-
Strumenti utilizzati in tutte le attività Amazon, ad esempio quello che gestisce la separazione delle attività
-
Alcune funzioni aziendali a livello di Amazon, come quelle legali, delle risorse umane e finanziarie
Nelle istanze in cui AWS sfrutta l'ambiente di controllo generale di Amazon, gli standard e i processi che governano questi meccanismi sono personalizzati specificamente per il business AWS. Ciò significa che le aspettative per il loro uso e applicazione all'interno dell'ambiente di controllo AWS possono differire dalle aspettative per il loro uso e applicazione all'interno dell'ambiente Amazon in generale. L'ambiente di controllo AWS funge da base per fornire in modo sicuro le offerte dei servizi AWS.
L'automazione del controllo è un modo per AWS di ridurre l'intervento umano in alcuni processi ricorrenti che comprendono l'ambiente di controllo AWS. È fondamentale per un'efficace implementazione del controllo della sicurezza delle informazioni e per la gestione dei rischi associata. L'automazione del controllo cerca di ridurre in modo proattivo le potenziali incongruenze nell'esecuzione del processo che potrebbero insorgere a causa della natura imperfetta degli esseri umani che conducono un processo ripetitivo. Attraverso l'automazione del controllo, le potenziali deviazioni dal processo vengono eliminate. Ciò fornisce maggiori livelli di garanzia che il controllo verrà applicato come previsto.
I team di progettazione di AWS in tutte le funzioni di sicurezza sono responsabili della progettazione dell'ambiente di controllo AWS per supportare maggiori livelli di automazione del controllo, ove possibile. Esempi di controlli automatici in AWS includono:
-
Governance e supervisione: controllo delle versioni e approvazione delle policy
-
Gestione del personale: erogazione automatizzata della formazione, licenziamento rapido dei dipendenti
-
Gestione dello sviluppo e della configurazione: pipeline di implementazione del codice, scansione del codice, backup del codice, test di implementazione integrati
-
Gestione di identità e accesso: segregazione automatizzata dei compiti, revisioni degli accessi, gestione delle autorizzazioni
-
Monitoraggio e registrazione: raccolta e correlazione dei registri automatizzate, allarmi
-
Sicurezza fisica: processi automatizzati relativi ai data center AWS, tra cui gestione dell'hardware, formazione sulla sicurezza dei data center, allarmi di accesso e gestione degli accessi fisici
-
Scansione e gestione delle patch: scansione automatizzata delle vulnerabilità, gestione e implementazione delle patch
Valutazione dei controlli e monitoraggio continuo
AWS implementa una serie di attività prima e dopo l'implementazione del servizio per ridurre ulteriormente il rischio all'interno dell'ambiente AWS. Queste attività integrano i requisiti di sicurezza e conformità durante la progettazione e lo sviluppo di ciascun servizio AWS e quindi convalidano che i servizi funzionino in modo sicuro dopo che sono stati trasferiti in produzione (avviati).
Le attività di gestione del rischio e della conformità comprendono due attività precedenti all'avvio e due attività successive all'avvio. Le attività precedenti all'avvio sono:
-
Revisione della gestione del rischio di sicurezza dell'applicazione AWS per verificare che i rischi per la sicurezza siano stati identificati e attenuati
-
Revisione della fattibilità dell'architettura per aiutare i clienti a garantire l'allineamento con i regimi di conformità
Al momento della sua implementazione, un servizio sarà stato sottoposto a rigorose valutazioni secondo requisiti di sicurezza dettagliati per soddisfare l'elevato livello di sicurezza di AWS. Le attività successive all'avvio sono:
-
Revisione continua della sicurezza delle applicazioni AWS per garantire il mantenimento della posizione di sicurezza del servizio
-
Analisi continua della gestione delle vulnerabilità
Queste valutazioni di controllo e il monitoraggio continuo permettono ai clienti regolamentati di creare con sicurezza soluzioni conformi sui servizi AWS. Per un elenco di servizi nell'ambito dei vari programmi di conformità, consulta la pagina Web Servizi AWS coperti dal programma di compliance
Certificazioni AWS, programmi, rapporti e attestazioni di terze parti
AWS viene regolarmente sottoposto a verifiche di attestazione indipendenti di terze parti per garantire che le attività di controllo funzionino come previsto. Più specificamente, AWS è sottoposto a una verifica in base a una varietà di framework di sicurezza globali e regionali che dipendono dalla regione e dal settore. AWS partecipa a oltre 50 diversi programmi di verifica.
I risultati di queste verifiche sono documentati dall'ente di valutazione e resi disponibili per tutti i clienti AWS tramite AWS Artifact
A seconda dei requisiti normativi o contrattuali locali di un paese o settore, AWS può anche sottoporsi a verifiche direttamente con clienti o revisori governativi. Queste verifiche forniscono una supervisione aggiuntiva dell'ambiente di controllo AWS per garantire che i clienti dispongano degli strumenti necessari per operare in modo sicuro, conforme e basato sul rischio utilizzando i servizi AWS.
Per informazioni più dettagliate sui programmi di certificazione AWS, i report e gli attestati di terze parti, visita la pagina web del Programmi per la conformità di AWS
Cloud Security Alliance
AWS partecipa all'autovalutazione volontaria Cloud Security Alliance (CSA), Trust & Assurance Registry (STAR) per documentare la conformità alle best practice pubblicate da CSA. CSA
Sono disponibili due risorse per i clienti che documentano l'allineamento di AWS al CSA CAIQ. Il primo è il whitepaper CSA CAIQ
