CyberGRX
A metodologia de avaliação cyberGRX identifica o risco inerente e residual e usa a análise de ameaças quase em tempo real e a validação de evidências independentes para fornecer aos clientes uma visão holística de sua postura de risco cibernético de terceiros.
A CyberGRX é a primeira e maior troca de riscos colaborativa do mundo. A metodologia analítica da CyberGRX cria inteligência contra ameaças e modelos de risco sofisticados a partir de apenas uma avaliação validada. Com insights sobre o risco entre segurança e privacidade de dados, a avaliação do CyberGRX apresenta não apenas insights aprofundados sobre o risco residual, mas combina a modelagem de cenário de ataque e o MITRE ATT&cadeia de abate CK para monitorar táticas e técnicas em evolução no cenário de ameaças.
Microsoft e CyberGRX
A CyberGRX, utilizando seus parceiros estratégicos Deloitte e Touche e KPMG, validou e relatou sobre a avaliação do Microsoft Cloud, que consiste em mais de 1.000 perguntas de segurança e respostas correspondentes da Microsoft. O CyberGRX aborda riscos inerentes, inteligência de ameaças específica do setor e cenários de ataque do mundo real. Isso oferece aos clientes a capacidade de validar a postura de segurança da Microsoft com evidências externas, a fim de gerar resultados focados no risco, em oposição à conformidade simples.
A Microsoft entende a necessidade de nossos clientes usarem veículos eficientes que ajudarão sua organização a avaliar rapidamente o risco, para incluir a avaliação de riscos potenciais que eles podem assumir devido ao uso de terceiros para serviços importantes, como nós. Como um dos maiores provedores de serviços de nuvem do mundo, a Microsoft entende que nossa base de clientes é vasta e diversificada e que esses clientes têm prioridades variadas e vêm de vários setores. O dimensionamento para essas diversas necessidades exige que a Microsoft procure métodos eficazes para ampliar e ampliar nossa capacidade de compartilhar conhecimentos importantes que ajudarão todos os clientes com suas prioridades de segurança e independentemente de quais serviços do Microsoft Cloud eles usam. Colaborar com empresas de avaliação de terceiros como a CyberGRX é uma maneira de ajudar nossos clientes a serem mais ágeis em sua busca por avaliação de risco.
O modelo da CyberGRX oferece às organizações interessadas na implementação do controle de segurança do Microsoft Cloud a capacidade de selecionar os controles nos quais estão mais interessadas e fornece respostas validadas para sua revisão. A Microsoft se beneficia desse modelo, pois também podemos ser ágeis em nossa capacidade de fornecer atualizações, e nossas respostas estão disponíveis para qualquer membro da exchange CyberGRX, fornecendo mais acesso do cliente a essas informações-chave. Em suma, o CyberGRX ajuda a Microsoft a alcançar mais clientes com necessidades de avaliação de risco e reforça nosso compromisso com transparência e segurança.
Além disso, os clientes podem usar o recurso Mapper da Estrutura da CyberGRX para mapear nossos controles de avaliação e respostas a padrões e estruturas conhecidos do setor, como NIST 800-53, NIST Cybersecurity Framework (CSF), ISO 27001, PCI DSS, HIPAA, tudo isso pode reduzir significativamente sua carga de diligência.
Plataformas de nuvem no escopo da Microsoft & serviços no escopo
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
Para obter uma lista completa do Microsoft serviços online no escopo de auditoria cyberGRX, consulte:
- Ofertas de conformidade do Microsoft Azure ou o relatório de atestado do Azure SOC 2 Tipo 2.
- Azure DevOps Services,
- Office 365 documentação do SOC 2.
Office 365 e CyberGRX
ambientes Office 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Esta seção aborda os seguintes ambientes de Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Office 365 e serviços no escopo
Use a seguinte tabela para determinar a aplicabilidade para seus serviços e assinatura do Office 365:
Aplicabilidade | Serviços no escopo |
---|---|
Comercial | Cortana, Caixa de bloqueio do cliente, Arquivamento do Exchange Online, Proteção do Exchange Online, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (incluindo Reservas, Listas e Turnos), Microsoft To-Do, Microsoft Defender para Office 365, vídeo Office 365, Office para a Web, OneDrive for Business, Project, SharePoint Online, Skype for Business Online, Sway, quadro de dados, Viva Engage |
Auditorias, relatórios e certificados
Para acessar um relatório de avaliação gratuita do CyberGRX do Microsoft Cloud, preencha esse formulário.
Como implementar
- Casos de uso financeiro: use visão geral de casos, tutoriais e outros recursos para criar soluções do Microsoft Cloud para serviços financeiros.
- Regulamentação dos serviços financeiros dos EUA: como os serviços online da Microsoft se alinham às principais expectativas normativas para instituições financeiras dos EUA.
Perguntas frequentes
Para obter detalhes sobre como a metodologia de validação do CyberGRX, o modelo de pontuação de maturidade e outras áreas relacionadas, confira as perguntas frequentes sobre avaliação de segurança.