Funkce zásad a standardů zabezpečení cloudu

Zásady zabezpečení a standardy týmy pro vytváření, schvalování a publikování zásad zabezpečení a standardů pro vedení rozhodnutí o zabezpečení v organizaci.

Zásady a standardy by měly:

  • Reflexe strategie zabezpečení organizací dostatečně podrobně, jak vést rozhodnutí v organizaci různými týmy.
  • Umožňuje produktivitu v celé organizaci a zároveň snižovat riziko pro firmy a poslání organizací.

Zásady zabezpečení by měly odrážet dlouhodobé udržitelné cíle, které jsou v souladu se strategií zabezpečení organizace a odolností vůči rizikům. Zásady by měly vždy adresovat:

  • Požadavky na dodržování právních předpisů a aktuální stav dodržování předpisů (splněné požadavky, přijatá rizika atd.)
  • Posouzení aktuálního stavu architektury a technicky možné navrhnout, implementovat a vynutit
  • Organizační kultura a předvolby
  • Osvědčené postupy pro odvětví
  • Odpovědnost za bezpečnostní rizika přiřazená příslušným obchodním zúčastněným stranám, kteří zodpovídají za jiná rizika a obchodní výsledky.

Standardy zabezpečení definují procesy a pravidla pro podporu provádění zásad zabezpečení.

Modernizace

Zásady by sice měly zůstat statické, ale standardy by se měly dynamicky a nepřetržitě znovu vrátit, aby se neustále měnily cloudové technologie, prostředí hrozeb a obchodní konkurenceschopnost.

Z důvodu této vysoké míry změn byste měli mít přehled o tom, kolik výjimek se provádí, protože to může znamenat potřebu upravit standardy (nebo zásady).

Standardy zabezpečení by měly zahrnovat pokyny specifické pro přechod na cloud, například:

  • Zabezpečené používání cloudových platforem pro hostování úloh
  • Zabezpečené používání modelu DevOps a zahrnutí cloudových aplikací, rozhraní API a služeb při vývoji
  • Použití hraničních kontrolních mechanismů identit k doplnění nebo nahrazení hraničních kontrolních mechanismů sítě
  • Před přesunem úloh na platformu IaaS definujte strategii segmentace.
  • Označování a klasifikace citlivosti prostředků
  • Definování procesu pro posouzení a zajištění správné konfigurace a zabezpečení vašich prostředků

Složení týmu a klíčové vztahy

Zásady a standardy zabezpečení cloudu jsou běžně poskytovány následujícími typy rolí. Zásady organizace by měly informovat (a být informovány):

  • Architektury zabezpečení
  • Týmy pro správu dodržování předpisů a rizik
  • Vedení a zástupci obchodních jednotek
  • Informační technologie
  • Audit a právní týmy

Zásady by se měly upřesnit na základě mnoha vstupů a požadavků z celé organizace, včetně těch, které jsou znázorněny v diagramu přehledu zabezpečení, ale ne na ty, které jsou znázorněny v diagramu přehledu zabezpečení.

Další kroky

Zkontrolujte funkci centra zabezpečení cloudu (SOC).