وظائف أمان السحابة
الوظائف هي مهام ومسؤوليات أساسية للمؤسسة. بمعنى آخر، الدالات هي "المهام التي يجب القيام بها".
توفر هذه المقالة ملخصا للوظائف التنظيمية المطلوبة لإدارة مخاطر أمان المعلومات في المؤسسة. تشكل هذه الأدوار والمسؤوليات الجزء البشري من نظام الأمان عبر الإنترنت الشامل.
الأمان هو رياضة جماعية
يحتاج الأفراد في فريق الأمان إلى العمل معا ورؤية بعضهم البعض كأجزاء لا يتجزأ من المؤسسة بأكملها. كما أنها جزء من مجتمع أمني أكبر يدافع ضد نفس الخصوم.
تساعد هذه النظرة العالمية الشاملة الفريق على العمل من خلال أي فجوات وتداخلات غير مخطط لها تم اكتشافها أثناء تطور الأدوار والمسؤوليات.
أنواع دوال الأمان
يوضح الرسم التخطيطي التالي وظائف تنظيمية محددة داخل الأمان. تمثل الوظائف الموضحة طريقة عرض مثالية لفريق أمان المؤسسة الكامل. قد لا يكون لدى فرق الأمان ذات الموارد المحدودة مسؤوليات رسمية محددة حول جميع هذه الوظائف. يمكن أن يؤدي كل وظيفة شخص واحد أو أكثر، ويمكن لكل شخص أداء وظيفة واحدة أو أكثر اعتمادا على عوامل مثل الثقافة والميزانية والموارد المتاحة.
يمكنك معرفة المزيد حول كل دالة من المقالات التالية. وهي تتضمن ملخصا للأهداف، وكيف يمكن أن تتطور الوظيفة، والعلاقات والتبعيات التي تعتبر حاسمة لنجاحها.
- السياسة والمعايير
- عمليات الأمان
- بنية الأمان
- وصف إدارة التوافق
- أمان الأشخاص
- أمان التطبيق وDevSecOps
- أمان البيانات
- أمان البنية الأساسية ونقطة النهاية
- إدارة الهوية والمفتاح
- تحليل ذكي للمخاطر
- إدارة الموقف
- الإعداد للحوادث
الأدوار والمسؤوليات
تتم الإشارة إلى أدوار ومسؤوليات الأمان في جميع وثائق Microsoft، بما في ذلك معيار أمان Azureوخطة التحديث السريع لتأمين الوصول المتميزوأفضل ممارسات أمان Azure.
يوضح الرسم التخطيطي التالي كيفية تعيين هذه الدالات إلى أنواع الأدوار داخل المؤسسة:
تعيين الأمان إلى نتائج الأعمال
على المستوى التنظيمي، يتم تعيين التخصصات الأمنية إلى مراحل تشغيل خطة قياسية ينظر إليها على نطاق واسع عبر الصناعات والمؤسسات. الأمان هو ضابط له وظائفه الفريدة الخاصة وعنصر مهم للاندماج في العمليات التجارية العادية.
أنواع الأدوار
في الرسم التخطيطي، يتم تنظيم المسؤوليات في أدوار نموذجية لها مجموعات مهارات مشتركة وملفات تعريف مهنية. تساعد هذه المجموعات أيضًا على توفير الوضوح حول كيفية تأثير اتجاهات الصناعة على محترفي الأمان:
- القيادة الأمنية: تمتد هذه الأدوار بشكل متكرر إلى الوظائف، مما يضمن أن الفرق تنسق مع بعضها البعض. كما أنها توفر ترتيب الأولويات وتحدد المعايير والسياسات والمعايير الثقافية للأمن.
- مهندس الأمان: تمتد هذه الأدوار إلى الوظائف وتوفر إمكانية إدارة رئيسية لضمان عمل جميع الوظائف التقنية بانسجام داخل بنية متسقة.
-
الوضع الأمني والتوافق: نوع دور أحدث يمثل تقارب تقارير التوافق مع تخصصات الأمان التقليدية مثل إدارة الثغرات الأمنية وأساسيات التكوين. بينما يختلف النطاق والجمهور عن تقارير الأمان والتوافق، فإن كلاهما يقيس أمان المؤسسة. تزداد طريقة الإجابة على هذا السؤال بشكل أكثر تشابها عبر أدوات مثل Microsoft Secure ScoreMicrosoft Defender for Cloud:
- يقلل استخدام موجزات البيانات عند الطلب من الخدمات السحابية من الوقت المطلوب للإبلاغ عن التوافق.
- يتيح النطاق المتزايد للبيانات المتاحة حوكمة الأمان للنظر إلى ما هو أبعد من تحديثات البرامج التقليدية واكتشاف الثغرات الأمنية من تكوينات الأمان والممارسات التشغيلية.
- مهندس أمان النظام الأساسي: تركز أدوار التكنولوجيا هذه على الأنظمة الأساسية التي تستضيف أحمال عمل متعددة - كل من التحكم في الوصول وحماية الأصول. غالبا ما يتم تجميع هذه الأدوار في فرق ذات مجموعات مهارات تقنية متخصصة بما في ذلك أمان الشبكة والبنية الأساسية ونقاط النهاية والهوية وإدارة المفاتيح وغيرها. تعمل هذه الفرق على كل من عناصر التحكم الوقائية وضوابط التحري، مع كون عناصر التحكم في التحري شراكة مع SecOps والضوابط الوقائية كونها في المقام الأول شراكة مع عمليات تكنولوجيا المعلومات. لمزيد من المعلومات، انظر Security integration.
- مهندس أمان التطبيقات: تركز أدوار التكنولوجيا هذه على عناصر التحكم في الأمان لأحمال عمل محددة، ما يدعم كلا من نماذج التطوير الكلاسيكية ونموذج DevOps/DevSecOps الحديث. فهي تمزج بين مهارات أمان التطبيق/التطوير للتعليمات البرمجية الفريدة ومهارات البنية الأساسية للمكونات التقنية الشائعة مثل الأجهزة الظاهرية وقواعد البيانات والحاويات. يمكن أن تكون هذه الأدوار موجودة في مؤسسات تكنولوجيا المعلومات أو الأمان المركزية أو داخل فرق الأعمال والتطوير، اعتمادا على العوامل التنظيمية.
ملاحظة
مع تقدم اتجاهات DevOps والبنية الأساسية كتعلم برمجي، من المحتمل أن ترحل بعض المواهب الأمنية من فرق هندسة أمان النظام الأساسي إلى فرق أمان التطبيقات وأدوار إدارة الوضع. يتطلب نموذج DevOps مهارات أمان البنية الأساسية، مثل تأمين العمليات في DevOps. وستتطلب فرق الحوكمة أيضا هذه المهارات والخبرة لمراقبة الوضع الأمني التقني بشكل فعال في الوقت الفعلي. بالإضافة إلى ذلك، ستقوم البنية الأساسية كتعلم برمجي بأتمتة المهام التقنية اليدوية المتكررة، ما يقلل من الوقت المطلوب لهذه المهارات في أدوار مهندس أمان النظام الأساسي (على الرغم من زيادة الحاجة إلى مجموعات المهارات التقنية الواسعة ومهارات الأتمتة أو البرمجة النصية).
الخطوات التالية
تعرف على المزيد حول الأمان في Microsoft Cloud Adoption Framework.