Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
A metodologia de avaliação cyberGRX identifica o risco inerente e residual. Utiliza a análise de ameaças quase em tempo real e a validação de provas independentes para fornecer aos clientes uma visão holística da sua postura de risco cibernético de terceiros.
A CyberGRX é a primeira e maior troca de riscos colaborativa do mundo. A metodologia analítica da CyberGRX cria informações sobre ameaças e modelos de risco sofisticados a partir de apenas uma avaliação validada. Com informações sobre o risco em matéria de segurança e privacidade de dados, a avaliação cyberGRX apresenta informações não só aprofundadas sobre o risco residual, como combina a modelação de cenários de ataque e a cadeia de eliminação mitre att&CK para monitorizar as táticas e técnicas em evolução no cenário de ameaças.
Microsoft e CyberGRX
A CyberGRX, que utiliza os seus parceiros estratégicos Deloitte e Touche e KPMG, validou e reportou a avaliação da Microsoft Cloud, que consiste em mais de 1000 perguntas de segurança e respostas correspondentes da Microsoft. O CyberGRX aborda cenários de risco inerentes, informações sobre ameaças específicas da indústria e cenários de ataques do mundo real. Esta abordagem dá aos clientes a capacidade de validar a postura de segurança da Microsoft com provas externas para gerar resultados que se focam no risco, em oposição à simples conformidade.
A Microsoft compreende a necessidade que os nossos clientes têm de utilizar veículos eficientes para ajudar a sua organização a avaliar rapidamente os riscos, incluindo a avaliação de potenciais riscos que possam assumir devido à utilização de terceiros para serviços-chave, como nós. Como um dos maiores fornecedores de serviços cloud do mundo, a Microsoft compreende que a nossa base de clientes é vasta e diversificada e que estes clientes têm prioridades variadas e provêm de vários setores. O dimensionamento para estas diversas necessidades requer que a Microsoft procure métodos eficazes para alargar e ampliar a nossa capacidade de partilhar conhecimentos fundamentais para ajudar todos os clientes com as suas prioridades de segurança, independentemente dos serviços Cloud da Microsoft que utilizam. Colaborar com empresas de avaliação de terceiros como a CyberGRX é uma forma de ajudarmos os nossos clientes a serem mais ágeis na sua prossecução da avaliação de riscos.
O modelo do CyberGRX dá às organizações interessadas na implementação do controlo de segurança da Microsoft Cloud a capacidade de selecionar os controlos em que estão mais interessados e fornece respostas validadas para a revisão. A Microsoft beneficia deste modelo, uma vez que também podemos ser ágeis na nossa capacidade de fornecer atualizações e as nossas respostas estão disponíveis para qualquer membro do exchange CyberGRX, fornecendo mais acesso de cliente a estas informações importantes. Em suma, o CyberGRX ajuda a Microsoft a alcançar mais clientes com necessidades de avaliação de riscos e sublinha o nosso compromisso com a transparência e a segurança.
Além disso, os clientes podem utilizar a funcionalidade Framework Mapper da CyberGRX para mapear os nossos controlos e respostas de avaliação para padrões e arquiteturas da indústria bem conhecidos, como NIST 800-53, NIST Cybersecurity Framework (CSF),ISO 27001, PCI DSS, HIPAA, todos os quais podem reduzir significativamente a sua carga de diligência.
Plataformas e serviços na cloud no âmbito da Microsoft
- Azure
- Dynamics 365
- Microsoft 365
- Power Platform
Para obter uma lista completa dos serviços online da Microsoft no âmbito de auditoria CyberGRX, veja:
- A Microsoft Azure ofertas de conformidade ou o relatório de atestado soc 2 do Azure.
- Azure DevOps Services.
- Documentação do Microsoft 365 SOC 2.
Microsoft 365 (Office 365) e CyberGRX
Ambientes do Microsoft 365
O Microsoft Office 365 é uma plataforma em nuvem de hiperescala de vários locatários e uma experiência integrada de aplicativos e serviços disponíveis para clientes em várias regiões no mundo todo. A maioria dos serviços do Office 365 permite que os clientes especifiquem a região onde os dados do cliente estão localizados. A Microsoft pode replicar dados do cliente para outras regiões dentro da mesma área geográfica (por exemplo, os Estados Unidos) para resiliência de dados, mas a Microsoft não replicará dados do cliente fora da área geográfica escolhida.
Essa seção aborda os seguintes ambientes do Office 365:
- Software cliente (Cliente): software cliente comercial em execução em dispositivos do cliente.
- Office 365 (Comercial): o serviço público comercial em nuvem do Office 365 disponível globalmente.
- Nuvem da Comunidade do Office 365 Government (GCC): o serviço em nuvem do Office 365 GCC está disponível para governos federais, estaduais, locais e tribais dos Estados Unidos, assim como prestadores de serviços que armazenam ou processam dados em nome do governo dos EUA.
- Nuvem da Comunidade do Office 365 Government – Alto (GCC High): o serviço em nuvem do Office 365 GCC High foi projetado de acordo com as Diretrizes de Segurança de Nível 4 do Departamento de Defesa (DoD) e suporta informações federais e de defesa rigorosamente regulamentadas. Esse ambiente é usado por agências federais, pela Base Industrial de Defesa (DIBs), e por empreiteiras governamentais.
- Office 365 DoD (DoD): o serviço de nuvem do Office 365 DoD foi projetado de acordo com as Diretrizes de Segurança de Nível 5 das Exigências do DoD e apóia os rígidos regulamentos federais e de defesa. Esse ambiente se destina ao uso exclusivo do Departamento de Defesa dos EUA.
Use esta seção para ajudar a cumprir suas obrigações de conformidade em setores regulamentados e mercados globais. Para descobrir quais serviços estão disponíveis em quais regiões, consulte Informações de disponibilidade internacional e o artigo Onde os dados do seu cliente do Microsoft 365 são armazenados. Para obter mais informações sobre o ambiente de nuvem do Office 365 Government, consulte o artigo Nuvem do Office 365 Government.
Sua organização é totalmente responsável por garantir o cumprimento de todas as leis e regulamentos aplicáveis. As informações fornecidas nesta seção não constituem aconselhamento jurídico e você deve consultar os consultores jurídicos para quaisquer questões relativas à conformidade regulamentar da sua organização.
Aplicabilidade do Microsoft 365 e serviços no âmbito
Utilize a tabela seguinte para determinar a aplicabilidade dos serviços e subscrições do Microsoft 365:
| Aplicabilidade | Serviços no escopo |
|---|---|
| Comercial | Cortana, Customer Lockbox, Arquivamento do Exchange Online, Proteção do Exchange Online, Exchange Online, Kaizala Pro, Microsoft Bookings, Microsoft Forms, Microsoft MyAnalytics, Microsoft Planner, Microsoft StaffHub, Microsoft Stream, Microsoft Teams (incluindo Bookings, Lists e Shifts), Microsoft To-Do, Microsoft Defender para o Microsoft 365, Vídeos do Microsoft 365, Office para a Web, OneDrive, Project, SharePoint Online, Skype for Business Online, Sway, Whiteboard Viva Engage |
Auditorias, relatórios e certificados
Para obter um relatório de avaliação do CyberGRX gratuito da Microsoft Cloud, preencha este formulário.
Como implementar
- Casos de utilização financeira: utilize descrições de casos, tutoriais e outros recursos para criar soluções da Microsoft Cloud para serviços financeiros.
- Regulamentação dos serviços financeiros dos EUA: como os serviços online da Microsoft se alinham às principais expectativas normativas para instituições financeiras dos EUA.
Perguntas frequentes
Para obter detalhes sobre como a metodologia de validação do CyberGRX, o modelo de classificação de maturidade e outras áreas relacionadas, veja as FAQ da Avaliação de Segurança.