Programa de conformidade e gerenciamento de riscos da AWS - Amazon Web Services: programa de conformidade e gerenciamento de riscos
Gerenciamento de riscos de negócios da AWSGerenciamento operacional e de negócios Ambiente de controle e automaçãoAvaliação de controles e monitoramento contínuo Certificações, programas, relatórios e declarações de terceiros da AWSCloud Security Alliance

Programa de conformidade e gerenciamento de riscos da AWS

A AWS integrou um programa de conformidade e gerenciamento de riscos em toda a organização. Este programa visa gerenciar riscos em todas as fases do design e implantação de serviços, e melhorar e reavaliar continuamente as atividades relacionadas a riscos da organização. Os componentes do programa integrado de conformidade e gerenciamento de riscos da AWS são detalhados nas seções a seguir.

Gerenciamento de riscos de negócios da AWS

A AWS tem um programa de gerenciamento de riscos de negócios (BRM) que faz parceria com as unidades de negócios da AWS para fornecer ao conselho de administração e à liderança sênior da AWS uma visão holística dos principais riscos em toda a AWS. O programa BRM demonstra supervisão de risco independente sobre as funções da AWS. O programa BRM faz o seguinte:

  • Realiza avaliações e monitoramento de riscos das principais áreas funcionais da AWS.

  • Identifica e conduz a correção de riscos.

  • Mantém um registro de riscos conhecidos.

Para conduzir a remediação de riscos, o programa BRM relata os resultados de seus esforços e encaminha, quando necessário, para diretores e vice-presidentes da empresa a fim de informar a tomada de decisões de negócios.

Gerenciamento operacional e de negócios

A AWS usa uma combinação de reuniões e relatórios semanais, mensais e trimestrais para, entre outras coisas, garantir a comunicação de riscos em todos os componentes do processo de gerenciamento de riscos. Além disso, a AWS implementa um processo de escalação para fornecer visibilidade ao gerenciamento dos riscos de alta prioridade em toda a organização. Esses esforços, em conjunto, ajudam a garantir que o risco seja gerenciado de forma consistente com a complexidade do modelo de negócios da AWS.

Além disso, por meio de uma estrutura de responsabilidade em cascata, os vice-presidentes (proprietários de empresas) são responsáveis pela supervisão dos negócios. Para isso, a AWS realiza reuniões semanais para analisar métricas operacionais e identificar as principais tendências e riscos antes que isso afete os negócios.

As lideranças executiva e sênior têm um papel importante na definição de valores centrais e do tom da AWS. Cada funcionário recebe o código de conduta e ética nos negócios da empresa, bem como realiza treinamentos periódicos. As auditorias de conformidade são realizadas para que os funcionários entendam e sigam as políticas estabelecidas.

A AWS fornece uma estrutura organizacional para planejar, executar e controlar as operações de negócios. A estrutura organizacional atribui funções e responsabilidades para fornecer uma equipe adequada, eficiência das operações e a segregação de funções. A gerência também estabeleceu linhas apropriadas de subordinação para a equipe principal. Os processos de verificação de contratação da empresa incluem educação, empregos anteriores e, em alguns casos, verificações de histórico na forma permitida pela legislação e pelas regulamentações trabalhistas, de acordo com o cargo do funcionário e com o nível de acesso a recursos da AWS. A empresa segue um processo estruturado de ambientação para familiarizar novos funcionários com ferramentas, processos, sistemas, políticas e procedimentos da Amazon.

Ambiente de controle e automação

A AWS implementa controles de segurança como um elemento fundamental para gerenciar riscos em toda a organização. O ambiente de controle da AWS é composto pelos padrões, processos e estruturas que fornecem a base para implementar um conjunto mínimo de requisitos de segurança em toda a AWS.

Embora os processos e padrões incluídos como parte do ambiente de controle da AWS sejam independentes, a AWS também aproveita aspectos do ambiente de controle geral da Amazon. As ferramentas utilizadas incluem:

  • Ferramentas usadas em todos os negócios da Amazon, como a ferramenta que gerencia a separação de tarefas.

  • Certas funções de negócios em toda a Amazon, como jurídico, recursos humanos e finanças.

Nos casos em que a AWS utiliza o ambiente de controle geral da Amazon, os padrões e processos que regem esses mecanismos são personalizados especificamente para os negócios da AWS. Isso significa que as expectativas de uso e aplicação no ambiente de controle da AWS podem diferir das expectativas para uso e aplicação no ambiente geral da Amazon. Em última análise, o ambiente de controle da AWS atua como a base para a entrega segura de ofertas de serviços da AWS.

A automação de controle é uma forma da AWS reduzir a intervenção humana em determinados processos recorrentes que compõem o ambiente de controle da AWS. Ela é fundamental para a implementação eficaz do controle de segurança da informação e o gerenciamento associado de riscos. A automação de controle busca minimizar proativamente possíveis inconsistências na execução do processo que podem surgir devido à natureza falha dos seres humanos que conduzem um processo repetitivo. Por meio da automação de controle, os possíveis desvios do processo são eliminados. Isso fornece maiores níveis de garantia de que um controle será aplicado conforme projetado.

As equipes de engenharia da AWS em todas as funções de segurança são responsáveis pela engenharia do ambiente de controle da AWS para oferecer suporte a níveis maiores de automação de controle sempre que possível. Exemplos de controles automatizados na AWS incluem:

  • Governança e supervisão: versionamento e aprovação de políticas.

  • Gestão de pessoal: entrega automatizada de treinamento, rescisão rápida de funcionários.

  • Gerenciamento de configuração e desenvolvimento: pipelines de implantação de código, verificação de código, backup de código, teste de implantação integrada.

  • Gerenciamento de identidade e acesso: segregação automatizada de funções, revisões de acesso, gerenciamento de permissões.

  • Monitoramento e registro: coleta e correlação automatizadas de registros, alarmes.

  • Segurança física: processos automatizados relacionados a datacenters da AWS, incluindo gerenciamento de hardware, treinamento de segurança de datacenter, alarmes de acesso e gerenciamento de acesso físico.

  • Verificação e gerenciamento de patches: verificação automatizada de vulnerabilidades, gerenciamento de patches e implantação.

Avaliação de controles e monitoramento contínuo

A AWS implementa uma variedade de atividades antes e depois da implantação do serviço para reduzir ainda mais o risco no ambiente da AWS. Essas atividades integram requisitos de segurança e conformidade durante o projeto e o desenvolvimento de cada serviço da AWS e validam se os serviços estão operando com segurança depois de serem movidos para produção (lançados).

As atividades de gerenciamento de riscos e conformidade incluem duas atividades de pré-lançamento e duas de pós-lançamento. As atividades de pré-lançamento são:

  • Análise do gerenciamento de riscos de segurança de aplicações da AWS para validar se os riscos foram identificados e mitigados.

  • Revisão da prontidão da arquitetura para ajudar os clientes a garantir a conformidade com os regimes.

No momento de sua implantação, um serviço deverá ter passado por avaliações rigorosas em relação aos requisitos de segurança detalhados para atender aos altos padrões de segurança da AWS. As atividades pós-lançamento são:

  • Análise contínua da segurança de aplicações da AWS para garantir que os procedimentos de segurança do serviço sejam mantidos.

  • Verificação contínua do gerenciamento de vulnerabilidades.

Essas avaliações de controle e o monitoramento contínuo permitem que os clientes regulamentados criem com confiança soluções em conformidade nos serviços da AWS. Para obter uma lista de serviços no escopo de vários programas de conformidade, consulte a página da Web Serviços da AWS no escopo.

Certificações, programas, relatórios e declarações de terceiros da AWS

A AWS passa regularmente por auditorias independentes de certificação de terceiros para garantir que as atividades de controle operem conforme o esperado. Mais especificamente, a AWS é auditada em relação a uma variedade de estruturas de segurança globais e regionais, de acordo com a região e o setor. A AWS participa de mais de 50 programas de auditoria diferentes.

Os resultados dessas auditorias são documentados pelo órgão avaliador e disponibilizados para todos os clientes da AWS por meio do AWS Artifact. O AWS Artifact é um portal de autoatendimento gratuito para acesso sob demanda a relatórios de conformidade da AWS. Quando novos relatórios são publicados, eles são disponibilizados no AWS Artifact, permitindo que os clientes monitorem continuamente a segurança e a conformidade da AWS com acesso imediato a novos relatórios.

Dependendo dos requisitos regulatórios ou contratuais locais de um país ou setor, a AWS também pode passar por auditorias diretamente com clientes ou auditores governamentais. Essas auditorias fornecem supervisão adicional do ambiente de controle da AWS para garantir que os clientes tenham as ferramentas necessárias para operar com confiança, em conformidade e com base em riscos usando os serviços da AWS.

Para obter informações mais detalhadas sobre os programas de certificação da AWS, relatórios e declarações de terceiros, visite a página do Programas de conformidade da AWS na Web. Você também pode visitar a página da Web Serviços da AWS no escopo para obter informações específicas do serviço.

Cloud Security Alliance

A AWS participa da autoavaliação voluntária Security, Trust & Assurance Registry (STAR – Registro de segurança, confiança e garantia) da Cloud Security Alliance (CSA) para documentar a conformidade com as práticas recomendadas publicadas pela CSA. A CSA é “a organização líder mundial dedicada a definir e aumentar a conscientização sobre as práticas recomendadas para ajudar a garantir um ambiente de computação em nuvem seguro”. O Consensus Assessments Initiative Questionnaire (CAIQ – Questionário da iniciativa de avaliações de consenso) da CSA fornece um conjunto de perguntas que ela antecipa que um cliente e/ou auditor de nuvem faria a um provedor de nuvem. Ele fornece uma série de perguntas sobre segurança, controle e processo, que podem ser usadas de diversas formas, incluindo avaliação de segurança e seleção de provedor de nuvem.

Há dois recursos disponíveis para os clientes que documentam o alinhamento da AWS com o CAIQ da CSA. O primeiro é o whitepaper CSA CAIQ e o segundo é um mapeamento de controle mais detalhado para nossos controles SOC-2 que está disponível via AWS Artifact. Para obter mais informações sobre a participação da AWS no CAIQ da CSA, consulte o site do AWS CSA.