Funkce zásad zabezpečení cloudu a standardů
Zásady zabezpečení a standardy, které týmy vytvoří, schválí a publikují zásady zabezpečení a standardy, které řídí rozhodování o zabezpečení v rámci organizace.
Zásady a standardy by měly:
- Promítnout strategii zabezpečení organizace na dostatečně podrobný způsob, jak řídit rozhodnutí v organizaci různými týmy
- Zajištění produktivity v celé organizaci a současně snížení rizika pro firmy a poslání organizace
Zásady zabezpečení by měly odrážet dlouhodobé udržitelné cíle, které jsou v souladu se strategií zabezpečení organizace a odolností vůči rizikům. Zásady by měly vždy řešit:
- Požadavky na dodržování právních předpisů a aktuální stav dodržování předpisů (splněné požadavky, akceptovaná rizika atd.)
- Posouzení aktuálního stavu architektury a toho, co je technicky možné navrhnout, implementovat a vynutit
- Organizační kultura a předvolby
- Oborové osvědčené postupy
- Odpovědnost za bezpečnostní rizika přiřazená příslušným obchodním zúčastněným stranám, které zodpovídají za další rizika a obchodní výsledky.
Standardy zabezpečení definují procesy a pravidla pro podporu provádění zásad zabezpečení.
Modernizace
I když by zásady měly zůstat statické, standardy by měly být dynamické a neustále se vracet, aby se držely krok se změnami v cloudových technologiích, prostředích hrozeb a konkurenčním prostředí pro firmy.
Vzhledem k této vysoké míře změn byste měli sledovat, kolik výjimek se provádí, protože to může znamenat potřebu upravit standardy (nebo zásady).
Standardy zabezpečení by měly zahrnovat doprovodné materiály specifické pro přijetí cloudu, jako jsou:
- Zabezpečené používání cloudových platforem pro hostování úloh
- Zabezpečené používání modelu DevOps a zahrnutí cloudových aplikací, rozhraní API a služeb do vývoje
- Použití hraničních ovládacích prvků identit k doplnění nebo nahrazení ovládacích prvků hraniční sítě
- Definování strategie segmentace před přesunem úloh na platformu IaaS
- Označování a klasifikace citlivosti prostředků
- Definování procesu posouzení a zajištění správné konfigurace a zabezpečení prostředků
Složení týmu a klíčové vztahy
Zásady a standardy zabezpečení cloudu jsou obvykle poskytovány následujícími typy rolí. Zásady organizace by měly informovat (a být informovány prostřednictvím):
- Architektury zabezpečení
- Týmy pro dodržování předpisů a řízení rizik
- Vedení a zástupci organizační jednotky
- Informační technologie
- Audit a právní týmy
Zásady by měly být zpřesněny na základě mnoha vstupů a požadavků z celé organizace, včetně těch, které jsou znázorněny v diagramu přehledu zabezpečení.
Další kroky
Projděte si funkci centra pro operace zabezpečení cloudu (SOC).