Apakah Consensus Assessments Initiative Questionnaire (CAIQ)?
Consensus Assessments Initiative Questionnaire (CAIQ) adalah survei yang disediakan oleh Cloud Security Alliance (CSA) untuk konsumen cloud dan auditor guna menilai kemampuan keamanan dari penyedia layanan cloud. CAIQ dikembangkan untuk menciptakan standar industri yang diterima secara luas guna mendokumentasikan kontrol keamanan dalam aplikasi *infrastructure-as-a-service*, *platform-as-a-service*, dan *software-as-a-service*.
CAIQ berisi serangkaian pertanyaan *control-assertion* ya atau tidak yang dapat disesuaikan dengan kebutuhan spesifik pelanggan cloud. CAIQ dirancang untuk digunakan bersama dengan CSA Guidance dan Cloud Controls Matrix (CCM) dari CSA. CAIQ merupakan bagian dari tumpukan tata kelola, manajemen risiko, dan kepatuhan CSA.
Kuesioner ini dirancang untuk mendukung organisasi saat mereka berinteraksi dengan penyedia cloud selama proses penilaian, dengan memberikan pertanyaan spesifik yang dapat diajukan mengenai operasi dan proses penyedia layanan.
Penyedia layanan cloud dapat menggunakan CAIQ untuk menggambarkan kemampuan dan postur keamanan mereka kepada pelanggan, baik secara publik maupun pribadi, dengan cara yang terstandar menggunakan istilah dan deskripsi yang dianggap sebagai praktik terbaik oleh CSA.
Menyelesaikan kuesioner CAIQ biasanya memakan waktu beberapa jam dan dianggap sebagai proses penyaringan tingkat pertama; proses peninjauan penyedia yang lebih intensif dianjurkan.
Berbagi Data CAIQ
Berbagi data atau hasil CAIQ dilakukan melalui registri online CSA untuk kontrol keamanan, yaitu Security, Trust and Assurance Registry (STAR), menggunakan STARWatch, sebuah aplikasi *software-as-a-service* yang dikembangkan oleh CSA. Aplikasi ini memberikan organisasi cara terpusat untuk mengelola dan menjaga integritas proses peninjauan dan penilaian vendor.
Selain itu, STARWatch mencakup akses ke lebih dari 200 penilaian CSA STAR untuk membantu organisasi menghemat waktu dalam penelitian sehingga mereka dapat membuat keputusan bisnis lebih cepat. CSA STAR adalah program untuk jaminan keamanan di cloud. STAR mencakup prinsip-prinsip utama transparansi, audit yang ketat, dan harmonisasi standar.
STARWatch menyajikan konten standar de facto CSA, *Cloud Control Matrix* dan CAIQ, dalam format basis data sehingga pengguna dapat mengelola kepatuhan layanan cloud dengan praktik terbaik CSA.
STARWatch ditujukan untuk memberikan pengguna cloud, penyedia layanan, auditor, dan penyedia keamanan jaminan dan kepatuhan sesuai permintaan. Aplikasi STARWatch memungkinkan berbagi dan peninjauan sejawat terhadap penilaian keamanan layanan cloud.
Manfaat CAIQ
CAIQ dirancang untuk membantu mengatasi salah satu kekhawatiran utama perusahaan ketika beralih ke cloud: kurangnya transparansi tentang teknologi dan taktik yang diterapkan penyedia cloud terkait perlindungan data dan manajemen risiko, serta bagaimana cara mereka menerapkannya.
Kuesioner CAIQ dapat disesuaikan untuk memenuhi kebutuhan masing-masing pelanggan cloud dan membantu organisasi membangun proses penilaian yang diperlukan saat bekerja dengan penyedia cloud.
Organisasi dapat menggunakan informasi dari CAIQ untuk menyusun RFP (Request for Proposal) yang kuat dan memverifikasi jawaban yang diberikan vendor selama wawancara tinjauan RFP. Dengan CAIQ, penyedia dapat menunjukkan sejauh mana kontrol mereka, serta memberikan respons standar untuk RFP.
Langkah Berikutnya Setelah CAIQ
Program CSA STAR terdiri dari tiga tingkat jaminan (*self-assessment*, sertifikasi pihak ketiga, dan audit berkelanjutan) berdasarkan:
- CAIQ;
- CSA Cloud Controls Matrix (CCM); dan
- Kode Etik CSA untuk GDPR.
Organisasi sebaiknya menggunakan CAIQ sebagai filter tingkat pertama, karena penyedia hanya diminta untuk memberikan jawaban ya atau tidak. Setelah lulus tes tersebut, perusahaan harus meminta vendor memberikan demonstrasi yang lebih spesifik tentang kontrol yang paling penting bagi mereka.
Perusahaan harus mendiskusikan kebutuhan dan prioritas mereka dengan penyedia cloud calon mitra untuk memastikan bahwa kontrol keamanan yang dimiliki vendor sesuai dengan kebutuhan mereka. Diskusi ini harus berlangsung secara berkelanjutan karena kebutuhan bisnis selalu berubah.
CCM memberikan organisasi struktur, detail, dan kejelasan yang diperlukan terkait keamanan cloud. Saat ini, CCM dianggap sebagai standar de facto untuk jaminan keamanan dan kepatuhan cloud.
Kode Etik CSA untuk Kepatuhan GDPR dibuat oleh pakar industri dan perwakilan dari otoritas perlindungan data nasional Uni Eropa untuk membantu perusahaan mematuhi regulasi privasi data GDPR di Uni Eropa. Kode ini mencakup semua persyaratan yang harus dipenuhi penyedia layanan cloud untuk mematuhi GDPR.
Selain itu, registri publik program STAR menyediakan cara untuk mendokumentasikan kontrol keamanan dan privasi yang disediakan oleh penawaran komputasi cloud populer. Organisasi harus menggunakan registri ini untuk menilai penyedia cloud, penyedia keamanan, serta firma layanan penilaian dan konsultasi agar dapat membuat keputusan pengadaan terbaik.