Usar controles para gerenciar riscos

Last reviewed 2023-08-08 UTC

Neste documento no Framework da arquitetura do Google Cloud, descrevemos as práticas recomendadas para gerenciar riscos em uma implantação em nuvem. Realize uma análise cuidadosa dos riscos que se aplicam à sua organização para determinar os controles de segurança necessários. Conclua a análise de risco antes de implantar cargas de trabalho no Google Cloud e, regularmente, posteriormente, conforme as necessidades da sua empresa, os requisitos regulamentares e as ameaças relevantes para sua organização mudarem.

Identificar riscos para sua organização

Antes de criar e implantar recursos no Google Cloud, conclua uma avaliação de risco para determinar quais recursos de segurança são necessários para atender aos requisitos de segurança internos e externos e regulatórios. Sua avaliação de riscos fornece um catálogo de riscos relevantes para você e informa a capacidade da sua organização de detectar e combater ameaças de segurança.

Os riscos em um ambiente de nuvem são diferentes dos riscos em um ambiente local devido ao acordo de responsabilidade compartilhada que você insere com o provedor de nuvem. Por exemplo, em um ambiente local, é preciso reduzir as vulnerabilidades para a pilha de hardware. Por outro lado, em um ambiente de nuvem, esses riscos são assumidos pelo provedor de nuvem.

Além disso, os riscos serão diferentes dependendo de como você planeja usar o Google Cloud. Você está transferindo algumas das cargas de trabalho para o Google Cloud ou todas elas? Você está usando o Google Cloud apenas para recuperação de desastres? Você está configurando um ambiente de nuvem híbrida?

Recomendamos que você use um framework de avaliação de risco padrão do setor que se aplique a ambientes de nuvem e aos seus requisitos regulamentares. Por exemplo, a Cloud Security Alliance (CSA) fornece a matriz de controles do Cloud (CCM, na sigla em inglês). Além disso, há modelos de ameaça, como a estimativa de ameaça do aplicativo OWASP, que oferecem uma lista de possíveis lacunas e que sugerem ações para corrigir as lacunas encontradas de dados. Consulte nosso diretório de parceiros para ver uma lista de especialistas em avaliações de risco do Google Cloud.

Para ajudar a catalogar seus riscos, considere o Gerenciador de Risco, que faz parte do Programa de Proteção de Risco. Esse programa está em pré-lançamento. O Gerenciador de Risco verifica suas cargas de trabalho para ajudar você a entender os riscos da sua empresa. Os relatórios detalhados fornecem um valor de referência de segurança. Além disso, é possível usar os relatórios do Gerenciador de Risco para comparar seus riscos com os riscos descritos no Comparativo de mercado do Center for Internet Security (CIS).

Depois de catalogar seus riscos, você precisa determinar como resolvê-los, ou seja, se quer aceitá-los, evitá-los, transferi-los ou mitigá-los. A seção a seguir descreve os controles de mitigação.

Reduza seus riscos

É possível reduzir os riscos usando controles técnicos, proteções contratuais e verificações ou atestados de terceiros. A tabela a seguir lista como você pode usar essas mitigações quando adotar novos serviços de nuvem pública.

MitigaçãoDescrição
Controles técnicos Os controles técnicos se referem aos recursos e tecnologias usados para proteger o ambiente. Eles incluem controles de segurança na nuvem integrados, como firewalls e geração de registros. Os controles técnicos também podem incluir o uso de ferramentas de terceiros para reforçar ou apoiar sua estratégia de segurança.

Existem duas categorias de controles técnicos:
  • O Google Cloud inclui vários controles de segurança para reduzir os riscos que se aplicam a você. Por exemplo, se você tem um ambiente local, pode usar o Cloud VPN e o Cloud Interconnect para proteger a conexão entre o ambiente local e seus recursos da nuvem.
  • O Google conta com recursos robustos de controle e auditoria internos para proteger os dados dos clientes contra acesso interno. Nossos registros de auditoria oferecem aos clientes registros quase em tempo real do acesso do administrador do Google no Google Cloud.
Proteções contratuais As proteções contratuais se referem aos compromissos jurídicos assumidos por nós com relação aos serviços do Google Cloud.

O Google tem o compromisso de manter e expandir nosso portfólio de conformidade. O documento do Adendo sobre processamento de dados do Cloud (CDPA) define nosso compromisso de manter as certificações ISO 27001, 27017 e 27018 e atualizar os relatórios SOC 2 e SOC 3 a cada 12 meses.

O documento DPST também descreve os controles de acesso disponíveis para limitar o acesso de engenheiros de suporte do Google aos ambientes dos clientes e descreve nossos registros rigorosos e aprovação.

Recomendamos que você revise os controles contratuais do Google Cloud com seus especialistas jurídicos e regulamentares e verifique se eles atendem aos requisitos. Se você precisar de mais informações, entre em contato com o representante técnico da conta.
Verificações ou atestados de terceiros Verificações ou atestados de terceiros se referem a um fornecedor terceirizado auditar o provedor de nuvem para garantir que ele atenda aos requisitos de conformidade. Por exemplo, o Google foi auditado por um terceiro para garantir a conformidade com a ISO 27017.

Veja as certificações e os atestados do Google Cloud na Central de recursos de conformidade.

A seguir

Saiba mais sobre gerenciamento de riscos com os seguintes recursos: