No final de 2017 a Microsoft apresentou o Microsoft Compliance Manager (MCM), uma ferramenta destinada a analisar a conformidade das empresas com determinados regulamentos ou normas, no que se refere à utilização do Office 365 e outras plataformas Cloud da Microsoft. Este portal está disponível gratuitamente para clientes com uma subscrição activa de um destes serviços.
Através do MCM, as empresas podem ir monitorizando o progresso da implementação dos controlos, que tanto podem ser criados pela Microsoft, como pelo próprio cliente.
Pode-se aceder ao MCM em https://servicetrust.microsoft.com/ComplianceManager, fazendo login com a conta institucional. Neste momento ainda se encontra em fase de Preview, estando previsto para o 2ª trimestre de 2018 estar disponível em General Availability.
Home Page e Dashboard
O MCM organiza-se por assessments, representados no ecrâ inicial pelos cartões com o nome da plataforma a ser avaliada. Cada assessment diz respeito a um produto da cloud Microsoft Microsoft (por enquanto ainda está disponível o Office 365) e o(s) conjunto(s)s de normas/regulamentos cuja implementação queremos avaliar.
Nesta fase de Preview, os regulamentos/normas disponíveis são os seguintes:
- GDPR destinado a regulamentar a protecção de dados
- ISO 27001 relativamente à segurança da informação
- ISO 27018 referente à protecção de dados pessoais em cloud computing
Cada cartão mostra desde logo um indicador do estado para os controlos geridos pela Microsoft e pelo cliente. Clicando no nome, temos acesso à informação detalhada acerca das normas que se aplicam ao serviço cloud seleccionado, para a regulamentação em causa.
Podemos adicionar mais assessements, clicando em Add Assessment:
E de seguida selecionando que normas/regulamentos queremos avaliar a conformidade:
Mais uma vez, por estarmos em fase de preview as opções são ainda limitadas, mas como a Microsoft faz questão de salientar nos próprios menus em breve haverão mais possibilidades de soluções Cloud a serem avaliadas, e de normas contra as quais as avaliar.
Assessment
No topo do ecrã existe um resumo do assessment, com o número de controlos que já foram avaliados, os status, e os utilizadores designados para a avaliação dos controlos.
Dentro do assessment escolhido, o ecrã encontra-se dividido em três secções principais:
- Office 365 in-Scope Cloud Services
- Microsoft Managed Controls
- Customer Managed Controls
A secção Office 365 in-Scope Cloud Services consiste na lista dos serviços Cloud que entram neste assessment. Neste caso, e uma vez que estamos a falar do Office 365, os serviços são os seguintes:
A 2ª secção, Microsoft Managed Controls possui detalhes sobre a implementação dos controlos pelos quais a Microsoft é responsável, incluindo informação sobre quando foi feita a implementação, de como foi testado por um auditor independente e qual o resultado desse teste:
A secção Customer Managed Controls possui detalhes sobre a implementação de controlos pelos quais o cliente é responsável. O cliente tem também acesso a recomendações da Microsoft sobre como implementar os controlos em questão, e possibilidade de assignar a tarefa de implementação a utilizadores especíificos. Estes utilizadores podem criar então planos de teste, recomendar acções, documentar detalhes de implementação e obter e fazer upload de informação relevante.
Como o acesso a esta plataforma é role-based, cada utilizador apenas vê as tarefas que lhe foram assignadas, indo ao separador Action Items:
Como referimos anteriormente, apesar de nesta fase de preview a única solução cloud disponível ser o Office 365, para breve estão previstos outros produtos cloud Microsoft, como se pode ver por este menu:
O MCM permite também exportar relatórios com os detalhes de implementação e avaliação, e com links para os documentos relevantes. Estes relatórios podem depois ser fornecidos a auditores ou entidades reguladoras quando necessário:
Apesar de ainda limitada a uma plataforma cloud (Office 365), esta parece ser uma plataforma de grande valor tanto para os gestores de conformidade, como para todos os intervenientes no processo de implementação e avaliação de controlos.
O que nós dizemos
Numa altura em que a introdução do novo regulamento geral de proteção de dados se encontra iminente (25/05/2018), uma ferramenta que analisa a conformidade de plataformas cloud tão utilizadas como o Office 365 é sempre de louvar e pode facilitar o trabalho de todos envolvidos no processo de avaliação de conformidade. O facto de ainda estar em fase de Preview limita ainda a sua utilidade e eficácia, e caso a Microsoft decida expandir a área de ação desta ferramenta para plataformas Microsoft não cloud, então estaremos perante um produto verdadeiramente completo e competitivo.
|