مشاركة عبر

وظيفة نهج ومعايير أمان السحابة

  • مقالة

تقوم فرق نهج الأمان والمعايير بكتابة نهج الأمان ومعاييره والموافقة عليها ونشرها لتوجيه قرارات الأمان داخل المؤسسة.

وينبغي أن تشمل السياسات والمعايير ما يلي:

  • عكس استراتيجية أمان المؤسسات بطريقة مفصلة بما يكفي لتوجيه القرارات في المؤسسة من قبل فرق مختلفة
  • تمكين الإنتاجية في جميع أنحاء المؤسسة مع تقليل المخاطر التي تتعرض لها المؤسسات التجارية والمهمة

وينبغي أن تعكس السياسة الأمنية أهدافا مستدامة طويلة الأجل تتماشى مع الاستراتيجية الأمنية للمؤسسات والتسامح مع المخاطر. يجب أن يعالج النهج دائما:

  • متطلبات الامتثال التنظيمي وحالة التوافق الحالية (المتطلبات التي تم استيفاءها والمخاطر المقبولة وما إلى ذلك.)
  • التقييم المعماري للحالة الحالية وما هو ممكن تقنيا لتصميم وتنفيذ وفرض
  • الثقافة والتفضيلات التنظيمية
  • أفضل ممارسات الصناعة
  • مساءلة المخاطر الأمنية المعينة لأصحاب المصلحة المناسبين في الأعمال الذين يخضعون للمساءلة عن المخاطر الأخرى ونتائج الأعمال.

تحدد معايير الأمان العمليات والقواعد لدعم تنفيذ نهج الأمان.

تحديث

في حين يجب أن تظل السياسة ثابتة، يجب أن تكون المعايير ديناميكية وإعادة النظر فيها باستمرار لمواكبة وتيرة التغيير في تكنولوجيا السحابة وبيئة التهديد والمشهد التنافسي للأعمال.

وبسبب هذا المعدل العالي للتغيير، يجب أن تراقب عن كثب عدد الاستثناءات التي يتم إجراؤها لأن هذا قد يشير إلى الحاجة إلى ضبط المعايير (أو النهج).

يجب أن تتضمن معايير الأمان إرشادات خاصة باعتماد السحابة مثل:

  • الاستخدام الآمن للأنظمة الأساسية السحابية لاستضافة أحمال العمل
  • الاستخدام الآمن لنموذج DevOps وتضمين التطبيقات السحابية وواجهات برمجة التطبيقات والخدمات في التطوير
  • استخدام عناصر التحكم في محيط الهوية لتكملة عناصر التحكم في محيط الشبكة أو استبدالها
  • تحديد استراتيجية التجزئة الخاصة بك قبل نقل أحمال العمل الخاصة بك إلى النظام الأساسي IaaS
  • وضع علامات وتصنيف حساسية الأصول
  • تحديد عملية تقييم الأصول وضمان تكوينها وتأمينها بشكل صحيح

تكوين الفريق والعلاقات الرئيسية

عادة ما يتم توفير نهج ومعايير أمان السحابة من خلال الأنواع التالية من الأدوار. يجب أن تبلغ السياسة التنظيمية (وأن تكون على علم بها):

  • بنيات الأمان
  • فرق الامتثال وإدارة المخاطر
  • القيادة وممثلي وحدة الأعمال
  • تكنولوجيا المعلومات
  • فرق التدقيق والشؤون القانونية

يجب تحسين النهج استنادا إلى العديد من المدخلات/المتطلبات من جميع أنحاء المؤسسة، بما في ذلك على سبيل المثال لا الحصر تلك الموضحة في الرسم التخطيطي لنظرة عامة على الأمان.

الخطوات التالية

راجع وظيفة مركز عمليات أمان السحابة (SOC).