CCAK Certificate of Cloud Auditing Knowledge.

CCAK è la credenziale congiunta ISACA / Cloud Security Alliance per i revisori cloud. Copre la governance cloud, il CCM, il programma STAR e le considerazioni di audit specifiche degli hyperscaler. L'estensione naturale per chi detiene il CISA e opera in ambienti cloud-first.

By Christophe Mazzola, Practicing CISO · Founder of Cyber AcademyCertifications & credentialsAll entries

Il punto di vista di Cyber Academy

CCAK è la credenziale congiunta ISACA / Cloud Security Alliance per i revisori cloud. Copre la governance cloud, il CCM, il programma STAR e le considerazioni di audit specifiche degli hyperscaler. L'estensione naturale per chi detiene il CISA e opera in ambienti cloud-first.

Cosa certifica davvero il CCAK

Il Certificate of Cloud Auditing Knowledge è una credenziale congiunta di ISACA e Cloud Security Alliance e risponde a una lacuna precisa. La formazione tradizionale in audit IT presuppone che tu possa percorrere il data center, esaminare i ticket di change e testare end to end i controlli che l'organizzazione possiede interamente. Nel cloud questo presupposto crolla. Il fornitore gestisce l'infrastruttura fisica, l'hypervisor e gran parte della piattaforma, e tu non li vedi mai. Il CCAK è costruito attorno a come auditare e dare assurance a questo assetto: come si ripartisce la responsabilità dei controlli tra cliente e fornitore, quali evidenze puoi ottenere davvero, e come ragionare sull'assurance quando non puoi eseguire tu stesso il test.

È un certificato di conoscenze più che una certificazione vincolata all'esperienza, quindi non ha associato un requisito di esperienza pluriennale come accade per il CISA. Questo lo rende accessibile prima nella carriera, ma è posizionato come complemento di credenziali di audit più approfondite anziché come sostituto. Il lettore naturale è qualcuno che padroneggia già il metodo di audit e ora ha bisogno dello strato specifico del cloud al di sopra.

Cosa copre il corpo di conoscenze

Il CCAK è ancorato agli strumenti propri della CSA anziché alla documentazione di un singolo fornitore, ed è ciò che lo mantiene neutrale rispetto al vendor. I principali punti di riferimento con cui i professionisti imparano a lavorare includono:

  • La Cloud Controls Matrix (CCM), il framework di controlli della CSA mappato attraverso i domini del cloud e messo in corrispondenza con norme come ISO 27001 e i principali regimi regolatori. È il catalogo di controlli rispetto al quale valuti un ambiente cloud.
  • Il Consensus Assessments Initiative Questionnaire (CAIQ), l'insieme standardizzato di domande che un cliente pone a un fornitore per capire quali controlli della CCM il fornitore gestisce e come.
  • Il programma STAR (Security, Trust, Assurance and Risk), il registro di assurance della CSA. STAR ha livelli che vanno dall'autovalutazione del fornitore fino alla certificazione da parte di terzi, e il CCAK ti insegna a leggere cosa ciascun livello dimostra e cosa non dimostra.
  • La responsabilità condivisa, l'allocazione dei controlli e le considerazioni di audit specifiche di ciascun fornitore attraverso i principali hyperscaler, così da sapere quali controlli testi tu, quali il fornitore attesta e dove si trova la giunzione tra i due.

Dove si colloca il CCAK rispetto a CISA e CCSP

I professionisti confondono regolarmente il CCAK con le due credenziali tra cui si trova, quindi vale la pena tracciare la distinzione in modo netto. Il CISA stabilisce che sei in grado di auditare i sistemi informativi, punto. Il CCSP, di (ISC)2, è una credenziale ampia di progettazione e architettura della sicurezza cloud. Il CCAK è più ristretto e più specifico di entrambi: riguarda l'assurance del cloud, non la sua costruzione e non l'audit dei sistemi in generale.

Il CCAK a confronto con le credenziali vicine
CredenzialeFocus principalePostura
CCAKAudit e assurance di ambienti cloudSpecifico del cloud, basato sulle conoscenze, neutrale rispetto al vendor
CISAAudit dei sistemi informativi in generaleMetodo di audit ampio, vincolato all'esperienza
CCSPProgettazione e messa in sicurezza dell'architettura cloudArchitettura di sicurezza, non incentrata sull'audit

In pratica l'abbinamento più solido è CISA più CCAK. Il CISA fornisce la disciplina di audit, gli standard di evidenza e la mentalità di indipendenza; il CCAK aggiunge lo strato cloud, così che un titolare del CISA il cui perimetro è diventato cloud-first possa valutare i confini della responsabilità condivisa e leggere le evidenze STAR senza riapprendere l'audit da zero. È la progressione che il CCAK è concepito per servire.

Frequently asked questions

01Il CCAK è un sostituto del CISA?

No. Il CISA stabilisce che sei in grado di auditare i sistemi informativi e comporta un requisito di esperienza. Il CCAK è un certificato di conoscenze più ristretto, incentrato sull'assurance del cloud, e non ha tale vincolo. Sono concepiti per essere detenuti insieme, con il CISA come fondamento di audit e il CCAK come strato cloud.

02Il CCAK richiede esperienza lavorativa?

No. Il CCAK è un certificato di conoscenze, quindi non impone il requisito di esperienza pluriennale che credenziali come il CISA impongono. Questo lo rende raggiungibile prima, anche se è più utile a chi padroneggia già il metodo di audit.

03Qual è la differenza tra il CCAK e CSA STAR?

Il CCAK certifica le conoscenze di una persona in materia di audit del cloud. STAR è il programma di assurance della CSA per i servizi cloud stessi, con livelli che vanno dall'autovalutazione alla certificazione da parte di terzi. Il CCAK ti insegna a valutare STAR; STAR non viene rilasciato a te.

04Il CCAK è legato a un solo fornitore cloud?

No. Il CCAK è neutrale rispetto al vendor. Si fonda su framework della CSA come la Cloud Controls Matrix e il CAIQ, e copre considerazioni specifiche di ciascun fornitore attraverso i principali hyperscaler anziché certificarti su un'unica piattaforma.

05In cosa differisce il CCAK dal CCSP?

Il CCSP, di (ISC)2, è una credenziale ampia per progettare e mettere in sicurezza l'architettura cloud. Il CCAK riguarda l'audit e l'assurance degli ambienti cloud. Uno costruisce e mette in sicurezza il cloud, l'altro lo valuta.

Hai bisogno di più di una definizione?

Prenota una chiamata di discovery gratuita di 20 minuti. Mappiamo la coorte che trasforma questo termine in una pratica pronta per l'audit.