CCAK Certificate of Cloud Auditing Knowledge.

CCAK é a credencial conjunta ISACA / Cloud Security Alliance para auditores de cloud. Abrange governação cloud, CCM, o programa STAR e considerações de auditoria específicas a hiperscalers. A extensão natural para um titular de CISA cujo âmbito passou a ser cloud-first.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

A perspetiva da Cyber Academy

CCAK é a credencial conjunta ISACA / Cloud Security Alliance para auditores de cloud. Abrange governação cloud, CCM, o programa STAR e considerações de auditoria específicas a hiperscalers. A extensão natural para um titular de CISA cujo âmbito passou a ser cloud-first.

O que o CCAK realmente certifica

O Certificate of Cloud Auditing Knowledge é uma credencial conjunta da ISACA e da Cloud Security Alliance e responde a uma lacuna específica. A formação tradicional em auditoria de TI presume que você pode percorrer o data center, inspecionar os tickets de mudança e testar de ponta a ponta controles que a organização possui integralmente. Na nuvem, essa premissa se desfaz. O provedor opera a infraestrutura física, o hipervisor e grandes partes da plataforma, e você nunca os vê. O CCAK é construído em torno de como auditar e dar garantia a esse arranjo: como a responsabilidade pelos controles se reparte entre cliente e provedor, que evidência você consegue de fato obter, e como raciocinar sobre garantia quando você não pode executar o teste por conta própria.

É um certificado de conhecimento e não uma certificação condicionada à experiência, portanto não há um requisito de experiência de vários anos associado a ele, como ocorre com o CISA. Isso o torna acessível mais cedo numa carreira, mas ele é posicionado como complemento de credenciais de auditoria mais aprofundadas, e não como substituto. O leitor natural é alguém que já domina o método de auditoria e agora precisa da camada específica de nuvem por cima.

O que o corpo de conhecimento abrange

O CCAK está ancorado nas próprias ferramentas da CSA, e não na documentação de um único provedor, o que é o que o mantém neutro em relação ao fornecedor. Os principais pontos de referência com os quais os profissionais aprendem a trabalhar incluem:

  • A Cloud Controls Matrix (CCM), o framework de controles da CSA mapeado através dos domínios da nuvem e correlacionado a normas como ISO 27001 e os principais regimes regulatórios. É o catálogo de controles em relação ao qual você avalia um ambiente de nuvem.
  • O Consensus Assessments Initiative Questionnaire (CAIQ), o conjunto padronizado de perguntas que um cliente apresenta a um provedor para entender quais controles da CCM o provedor opera e como.
  • O programa STAR (Security, Trust, Assurance and Risk), o registro de garantia da CSA. O STAR tem níveis que vão da autoavaliação do provedor até a certificação por terceiros, e o CCAK ensina você a ler o que cada nível comprova e o que não comprova.
  • Responsabilidade compartilhada, alocação de controles e considerações de auditoria específicas de cada provedor através dos principais hyperscalers, para que você saiba quais controles você testa, quais o provedor atesta e onde fica a junção entre eles.

Onde o CCAK se situa em relação ao CISA e ao CCSP

Os profissionais confundem regularmente o CCAK com as duas credenciais entre as quais ele se situa, por isso vale a pena traçar a distinção com clareza. O CISA estabelece que você é capaz de auditar sistemas de informação, simplesmente. O CCSP, da (ISC)2, é uma credencial ampla de concepção e arquitetura de segurança de nuvem. O CCAK é mais estreito e mais específico do que qualquer um deles: trata de dar garantia à nuvem, não de construí-la nem de auditar sistemas em geral.

O CCAK comparado a credenciais vizinhas
CredencialFoco principalPostura
CCAKAuditoria e garantia de ambientes de nuvemEspecífico de nuvem, baseado em conhecimento, neutro em relação ao fornecedor
CISAAuditoria de sistemas de informação em geralMétodo de auditoria amplo, condicionado à experiência
CCSPConcepção e proteção da arquitetura de nuvemArquitetura de segurança, não focada em auditoria

Na prática, o emparelhamento mais sólido é CISA mais CCAK. O CISA dá a disciplina de auditoria, os padrões de evidência e a mentalidade de independência; o CCAK fornece a sobrecamada de nuvem, de modo que um titular do CISA cujo escopo passou a ser cloud-first possa avaliar as fronteiras da responsabilidade compartilhada e ler evidência STAR sem reaprender auditoria do zero. Essa é a progressão que o CCAK foi concebido para servir.

Frequently asked questions

01O CCAK é um substituto do CISA?

Não. O CISA estabelece que você é capaz de auditar sistemas de informação e carrega um requisito de experiência. O CCAK é um certificado de conhecimento mais estreito, focado na garantia de nuvem, e não tem tal exigência. Eles são concebidos para serem mantidos em conjunto, com o CISA como base de auditoria e o CCAK como camada de nuvem.

02O CCAK exige experiência profissional?

Não. O CCAK é um certificado de conhecimento, portanto não impõe o requisito de experiência de vários anos que credenciais como o CISA impõem. Isso o torna alcançável mais cedo, embora seja mais útil a quem já domina o método de auditoria.

03Qual é a diferença entre o CCAK e o CSA STAR?

O CCAK certifica o conhecimento de uma pessoa em auditoria de nuvem. O STAR é o programa de garantia da CSA para os serviços de nuvem em si, com níveis que vão da autoavaliação à certificação por terceiros. O CCAK ensina você a avaliar o STAR; o STAR não é concedido a você.

04O CCAK está ligado a um único provedor de nuvem?

Não. O CCAK é neutro em relação ao fornecedor. Ele se apoia em frameworks da CSA como a Cloud Controls Matrix e o CAIQ, e abrange considerações específicas de cada provedor através dos principais hyperscalers em vez de certificá-lo numa única plataforma.

05Como o CCAK difere do CCSP?

O CCSP, da (ISC)2, é uma credencial ampla para conceber e proteger a arquitetura de nuvem. O CCAK trata de auditar e dar garantia a ambientes de nuvem. Um constrói e protege a nuvem, o outro a avalia.

Precisa de mais do que uma definição?

Marque uma chamada de descoberta gratuita de 20 minutos. Identificamos o grupo que transforma este termo numa prática pronta para auditoria.