Início
Estudos de caso
Conformidade de segurança no IBM Hybrid Cloud
Avaliação de conformidade de segurança em escala
A plataforma de nuvem híbrida interna da IBM foi criada para hospedar milhares de aplicativos internos que executam os negócios da IBM. O catálogo da IBM Cloud contém centenas de serviços prontos para uso. As equipes de aplicativos utilizam serviços de nuvem totalmente gerenciados em vez de hospedar seus próprios serviços. Os bancos de dados IBM Cloud, por exemplo, podem oferecer backup, restauração e atualizações de versão sob demanda ou em planejamento automático.
Mas o uso de serviços em nuvem não simplificou o rastreamento dos requisitos de conformidade corporativa. As instâncias de serviços de nuvem criadas pelas equipes de aplicativos atendem à conformidade de segurança? Os serviços estão configurados para atender às diretrizes de segurança corporativa? As versões de software são consumidas nos níveis de patch de segurança necessários? Esses são os mesmos problemas gerenciados nos data centers locais da IBM.
Controles automatizados estendidos para atender aos requisitos da IBM
A nuvem híbrida da IBM oferece uma plataforma para diversas equipes de desenvolvimento de aplicativos. A plataforma e as equipes de aplicativos compartilham a carga operacional. A conformidade do aplicativo foi inicialmente definida usando uma lista de verificação por escrito, reuniões e e-mails. O feedback e a ajuda eram extremamente limitados.
O IBM Cloud Security and Compliance Center (SCC) disponibilizou controles automatizados coletados em perfis. A equipe da CIO Hybrid Cloud Platform selecionou um perfil que atendeu de perto seus requisitos, ativou as varreduras e abriu o painel de controles de conformidade em tempo real. Os controles são projetados de tal forma que a equipe conseguiu visualizar sua postura de conformidade de segurança quando a primeira verificação foi concluída
Com o tempo, a equipe do CIO Hybrid Cloud Platform criou um perfil personalizado que atendeu aos seus requisitos comerciais exclusivos. Os resultados de conformidade são registrados em “varreduras” e disponibilizados para as equipes de aplicação. Todas as contas da equipe da CIO Hybrid Cloud Platform foram configuradas com a configuração apropriada do SCC e verificações automáticas.
É informativo comparar os processos de conformidade antes e depois do SCC:
- Antes: documentação e requisitos escritos a mão
Depois: controles detalhados que codificam com precisão os requisitos
- Antes: Inspeção manual do ambiente e dos recursos da conta
Depois: Verificações automáticas relatam resultados que suportam a preparação para auditoria
- Antes: reuniões de feedback, e-mails e documentos manuscritos
Depois: resultados de varredura inequívocos, gerados por máquina, com explicações claras dos problemas e, muitas vezes, com etapas de remediação
O SCC apresenta um painel em que os resultados de conformidade de segurança são relatados. Os controles exibidos são claros e concisos para ajudar as equipes de aplicativos a identificar os controles com falha e fazer as alterações necessárias nos recursos do aplicativo para resolver os problemas. Varreduras recorrentes produzem automaticamente relatórios atualizados. Isso permite que as equipes de aplicação observem o impacto das mudanças. Isso eliminou a necessidade de notificações por e-mail de aplicação central e reuniões de status. Em julho de 2024, uma revisão dos controles SCC estabelecidos para a equipe de plataforma de nuvem híbrida de CIOs mostrou uma leitura do painel SCC de 91% de aprovação, uma melhoria de 52% na conformidade de aplicativos corporativos em relação a uma leitura anterior de 60% do painel de dados SCC em junho de 2023.1
A lista de controles é revisada regularmente pela equipe da CIO Hybrid Cloud Platform de acordo com os padrões de conformidade corporativos e do setor. Os requisitos de conformidade estão em constante mudança. A definição da política como código com auditoria automática posiciona a equipe da plataforma de nuvem híbrida da CIO para lidar com as mudanças nos padrões de conformidade de segurança.
1 Os dados de desempenho de conformidade de segurança da equipe da CIO Hybrid Cloud Platform foram obtidos por meio do painel do IBM Security and Compliance Center nas datas de 19 de junho de 2023 e 26 de julho de 2024.
A organização da diretora executiva de TI lidera a estratégia de TI interna da IBM e é responsável por entregar, proteger, modernizar e dar suporte às soluções de TI que funcionários, clientes e parceiros da IBM utilizam para realizar seus trabalhos todos os dias. A estratégia da CIO organization engloba a criação de uma plataforma de TI adaptativa que facilite o acesso à TI em toda a empresa, acelere a solução de problemas e sirva como um mecanismo de inovação para a IBM, catalisando o crescimento dos negócios.
Legal
© Copyright IBM Corporation 2024. IBM, o logotipo IBM e IBM Cloud são marcas comerciais ou marcas registradas da IBM Corp. nos Estados Unidos e/ou em outros países. Este documento é apresentado aqui como na data da primeira publicação e pode ser alterado pela IBM a qualquer momento. Nem todas as ofertas estão disponíveis em todos os países onde a IBM opera.
Os exemplos de clientes são ilustrações de como esses clientes utilizaram os produtos IBM e os resultados que podem ter alcançado. O desempenho, o custo e a economia reais ou outros resultados em outros ambientes operacionais podem variar.