A perspetiva da Cyber Academy
CCAK é a credencial conjunta ISACA / Cloud Security Alliance para auditores de cloud. Abrange governação cloud, CCM, o programa STAR e considerações de auditoria específicas a hiperscalers. A extensão natural para um titular de CISA cujo âmbito passou a ser cloud-first.
O que o CCAK realmente certifica
O Certificate of Cloud Auditing Knowledge é uma credencial conjunta da ISACA e da Cloud Security Alliance e responde a uma lacuna específica. A formação tradicional em auditoria de TI presume que você pode percorrer o data center, inspecionar os tickets de mudança e testar de ponta a ponta controles que a organização possui integralmente. Na nuvem, essa premissa se desfaz. O provedor opera a infraestrutura física, o hipervisor e grandes partes da plataforma, e você nunca os vê. O CCAK é construído em torno de como auditar e dar garantia a esse arranjo: como a responsabilidade pelos controles se reparte entre cliente e provedor, que evidência você consegue de fato obter, e como raciocinar sobre garantia quando você não pode executar o teste por conta própria.
É um certificado de conhecimento e não uma certificação condicionada à experiência, portanto não há um requisito de experiência de vários anos associado a ele, como ocorre com o CISA. Isso o torna acessível mais cedo numa carreira, mas ele é posicionado como complemento de credenciais de auditoria mais aprofundadas, e não como substituto. O leitor natural é alguém que já domina o método de auditoria e agora precisa da camada específica de nuvem por cima.
O que o corpo de conhecimento abrange
O CCAK está ancorado nas próprias ferramentas da CSA, e não na documentação de um único provedor, o que é o que o mantém neutro em relação ao fornecedor. Os principais pontos de referência com os quais os profissionais aprendem a trabalhar incluem:
- A Cloud Controls Matrix (CCM), o framework de controles da CSA mapeado através dos domínios da nuvem e correlacionado a normas como ISO 27001 e os principais regimes regulatórios. É o catálogo de controles em relação ao qual você avalia um ambiente de nuvem.
- O Consensus Assessments Initiative Questionnaire (CAIQ), o conjunto padronizado de perguntas que um cliente apresenta a um provedor para entender quais controles da CCM o provedor opera e como.
- O programa STAR (Security, Trust, Assurance and Risk), o registro de garantia da CSA. O STAR tem níveis que vão da autoavaliação do provedor até a certificação por terceiros, e o CCAK ensina você a ler o que cada nível comprova e o que não comprova.
- Responsabilidade compartilhada, alocação de controles e considerações de auditoria específicas de cada provedor através dos principais hyperscalers, para que você saiba quais controles você testa, quais o provedor atesta e onde fica a junção entre eles.
Onde o CCAK se situa em relação ao CISA e ao CCSP
Os profissionais confundem regularmente o CCAK com as duas credenciais entre as quais ele se situa, por isso vale a pena traçar a distinção com clareza. O CISA estabelece que você é capaz de auditar sistemas de informação, simplesmente. O CCSP, da (ISC)2, é uma credencial ampla de concepção e arquitetura de segurança de nuvem. O CCAK é mais estreito e mais específico do que qualquer um deles: trata de dar garantia à nuvem, não de construí-la nem de auditar sistemas em geral.
| Credencial | Foco principal | Postura |
|---|---|---|
| CCAK | Auditoria e garantia de ambientes de nuvem | Específico de nuvem, baseado em conhecimento, neutro em relação ao fornecedor |
| CISA | Auditoria de sistemas de informação em geral | Método de auditoria amplo, condicionado à experiência |
| CCSP | Concepção e proteção da arquitetura de nuvem | Arquitetura de segurança, não focada em auditoria |
Na prática, o emparelhamento mais sólido é CISA mais CCAK. O CISA dá a disciplina de auditoria, os padrões de evidência e a mentalidade de independência; o CCAK fornece a sobrecamada de nuvem, de modo que um titular do CISA cujo escopo passou a ser cloud-first possa avaliar as fronteiras da responsabilidade compartilhada e ler evidência STAR sem reaprender auditoria do zero. Essa é a progressão que o CCAK foi concebido para servir.
Frequently asked questions
01O CCAK é um substituto do CISA?
Não. O CISA estabelece que você é capaz de auditar sistemas de informação e carrega um requisito de experiência. O CCAK é um certificado de conhecimento mais estreito, focado na garantia de nuvem, e não tem tal exigência. Eles são concebidos para serem mantidos em conjunto, com o CISA como base de auditoria e o CCAK como camada de nuvem.
02O CCAK exige experiência profissional?
Não. O CCAK é um certificado de conhecimento, portanto não impõe o requisito de experiência de vários anos que credenciais como o CISA impõem. Isso o torna alcançável mais cedo, embora seja mais útil a quem já domina o método de auditoria.
03Qual é a diferença entre o CCAK e o CSA STAR?
O CCAK certifica o conhecimento de uma pessoa em auditoria de nuvem. O STAR é o programa de garantia da CSA para os serviços de nuvem em si, com níveis que vão da autoavaliação à certificação por terceiros. O CCAK ensina você a avaliar o STAR; o STAR não é concedido a você.
04O CCAK está ligado a um único provedor de nuvem?
Não. O CCAK é neutro em relação ao fornecedor. Ele se apoia em frameworks da CSA como a Cloud Controls Matrix e o CAIQ, e abrange considerações específicas de cada provedor através dos principais hyperscalers em vez de certificá-lo numa única plataforma.
05Como o CCAK difere do CCSP?
O CCSP, da (ISC)2, é uma credencial ampla para conceber e proteger a arquitetura de nuvem. O CCAK trata de auditar e dar garantia a ambientes de nuvem. Um constrói e protege a nuvem, o outro a avalia.