Sicherheitsgovernance
Sicherheitsgovernance verbindet Ihre geschäftlichen Prioritäten mit Aspekten der technischen Implementierung wie Architektur, Standards und Richtlinien. Governanceteams sorgen für Überblick und Überwachung, um den Sicherheitsstatus im Laufe der Zeit aufrecht zu erhalten und zu verbessern. Die Teams erstellen auch Compliance-Berichte gemäß behördlicher Vorschriften.
Geschäftsziele und -risiken bieten die beste Ausrichtung bezüglich der Sicherheit. Durch diese Ausrichtung werden die Sicherheitsbestrebungen auf für die Organisation wichtige Angelegenheiten konzentriert. Außerdem werden Risikoträger durch vertraute Sprache und Prozesse im Risikomanagement-Framework informiert.
Weitere Informationen zur Sicherheitsgovernance finden Sie im folgenden Video.
Compliance und Berichterstellung
Compliance und Berichterstellung zu externen Sicherheitsanforderungen und manchmal auch zu internen Richtlinien sind Grundvoraussetzungen für Betriebe aller Branchen. Diese Vorschriften zu erfüllen ist etwa so, wie einen Bären im Zoo zu füttern. Wird der Bär nicht jeden Tag gefüttert, könnte er Sie auffressen.
Architektur und Standards
Architektur, Standards und Richtlinien erfüllen den höchst wichtigen Zweck, Geschäftsanforderungen und -risiken in die technische Umgebung zu übertragen. Wir empfehlen statt einer Trennung von Cloud und lokalen Umgebungen einen einheitlichen Ansatz für das gesamte Unternehmen. Angreifern sind Ihre internen Prozesse egal. Sie folgen dem Pfad des geringsten Widerstands zu ihrem Ziel. Dabei bewegen sie sich lateral durch lokale und Cloud-Umgebungen. Heutzutage sind die meisten Unternehmen hybride Umgebungen mit zwei Bereichen:
- Lokale Ressourcen: Mehrere Generationen von Technologie und häufig große Mengen an Legacy-Software und -Hardware. Diese Systeme umfassen manchmal operative Technologien, die physische Anlagen mit potenziellen Auswirkungen auf Leben oder Sicherheit steuern.
- Clouds: Umfasst in der Regel mehrere Anbieter von:
- Software-as-a-Service (SaaS)-Anwendungen
- Infrastructure-as-a-Service (IaaS)
- Platform-as-a-Service (PaaS)
Sicherheitsstatusverwaltung
Auf das Beste zu hoffen und Probleme zu melden ist kein guter Plan. Im Cloudzeitalter muss Governance eine aktive Komponente umfassen, die kontinuierlich andere Teams einbezieht. Das Sicherheitsstatusmanagement ist eine neue Entwicklung. Es stellt den nächsten Schritt auf dem langfristigen Weg zur Konvergenz der Sicherheitsfunktionen dar. Diese Funktionen beantworten die Frage nach dem Sicherheitsgrad einer Umgebung und umfassen Berichte zu Sicherheitsrisikomanagement und Sicherheitskonformität.
Im Zeitalter rein lokaler Umgebungen hing die Sicherheitsgovernance davon ab, wie oft Daten über die Umgebung erhoben werden konnten. Diese Art der Datenerhebung kann zeitaufwendig sein und veraltet ständig. Mittlerweile bietet Cloudtechnologie On-Demand-Transparenz des aktuellen Sicherheitsstatus und der Ressourcendeckung. Diese Transparenz ist treibende Kraft hinter einer umfangreichen Transformation der Governance zu einer dynamischeren Organisation. Durch die engere Beziehung zu anderen Sicherheitsteams bei dieser Organisationsweise können Sicherheitsstandards überwacht, Anleitungen bereitgestellt und Prozesse verbessert werden.
Idealerweise ist Governance der Kernbestandteil einer ständigen Verbesserung. Diese Verbesserung bezieht Ihre gesamte Organisation ein, um den Sicherheitsstatus kontinuierlich zu verbessern.
Die Grundsätze erfolgreicher Governance sind:
- Kontinuierliches Ermitteln von Ressourcen und Ressourcentypen: Ein statisches Inventar ist in einer dynamischen Cloudumgebung nicht möglich. Ihre Organisation muss sich auf die kontinuierliche Ermittlung von Ressourcen und Ressourcentypen konzentrieren. In der Cloud kommen regelmäßig neue Arten von Diensten hinzu. Workloadbesitzer können Instanzen von Anwendungen und Diensten bei Bedarf dynamisch starten und beenden, wodurch die Bestandsverwaltung zu einer dynamischen Aufgabe wird. Governanceteams müssen kontinuierlich Ressourcentypen und Instanzen ermitteln, um mit diesem Änderungstempo Schritt zu halten.
- Kontinuierliche Verbesserung des Sicherheitsstatus von Ressourcen: Governanceteams sollten sich auf die Verbesserung von Standards sowie die Durchsetzung dieser Standards konzentrieren, um mit der Cloud und Angreifern mithalten zu können. IT-Organisationen müssen schnell auf neue Bedrohungen reagieren und sich entsprechend anpassen. Angreifer entwickeln ihre Techniken ständig weiter, dementsprechend werden Verteidigungsmaßnahmen auch kontinuierlich verbessert und müssen möglicherweise eingerichtet werden. Die Erstkonfiguration kann nicht immer alle benötigten Sicherheitsfunktionen enthalten.
- Richtliniengesteuerte Governance: Diese Governance wird konsistent ausgeführt, sodass die Lösung eines Problems automatisch ressourcenübergreifend angewendet wird, nachdem sie einmal in die Richtlinien aufgenommen wurde. So wird weniger Zeit und Aufwand für wiederholtes manuelles Eingreifen verschwendet. Dies wird häufig mithilfe von Azure Policy-Frameworks oder Richtlinienautomatisierungs-Frameworks von Drittanbietern implementiert.
Häufig sind Leitfäden zu Best Practices iterativ, um Agilität zu gewährleisten. Es werden kleine Informationspakete aus mehreren Quellen einbezogen, um ein Gesamtbild zu erstellen und fortlaufend kleine Anpassungen vorzunehmen.
Fachbereiche von Governance und Schutz
Zu den Fachbereichen des Schutzes gehören Zugriffssteuerung, Ressourcenschutz und Innovationssicherheit. Das Sicherheitsgovernance-Team stellt Standards und Anleitungen bereit, um den einheitlichen Einsatz bewährter Sicherheitsmethoden und -kontrollen zu fördern.
Idealerweise wenden die Schutzteams diese Kontrollen an und geben Feedback darüber, was funktioniert, z. B. Herausforderungen beim Anwenden der Kontrollen. Die Teams arbeiten dann zusammen, um die besten Lösungen zu identifizieren.
Governance und Sicherheitsvorgänge
Die Teams Sicherheitsgovernance und Sicherheitsvorgänge arbeiten für vollständige Transparenz zusammen. Sie stellen sicher, dass die aus realen Vorfällen gewonnenen Erkenntnisse in Architektur, Standards und Richtlinien implementiert werden.
Governance und Sicherheitsvorgänge stellen komplementäre Arten der Transparenz bereit.
- Sicherheitsvorgänge bietet Einblicke in das unmittelbare Risiko aktiver Angriffe.
- Sicherheitsgovernance bietet eine umfassende oder zukunftsorientierte Darstellung des Risikos potenzieller zukünftiger Angriffe und Angriffsvektoren.
Die Sicherheitsarchitekten innerhalb der Governance helfen dabei, aus Vorfällen Lektionen zu ziehen. Dazu zählen die Grundursachen größerer Vorfälle. Sie setzen die Lektionen in den Standards Ihrer Organisation um, um eine konsistente Anwendung im gesamten Unternehmen sicherzustellen.
Weitere Informationen finden Sie unter Sicherheitsintegration.
Hinweis
In manchen Unternehmen geschieht die Überwachung des Sicherheitsstatus durch das Team Sicherheitsvorgänge. Wir empfehlen allerdings, ihn in den Verantwortungsbereich der Governance zu legen. So entsteht eine bessere Beziehung zu den IT-Engineering- und Operations-Teams, die die Standards umsetzen. Diese Beziehung führt häufig zu einer besseren Qualität der Kommunikation und besseren Sicherheitsergebnissen. Andernfalls sieht das Governance-Team nie die realen Auswirkungen seiner Standards.
Nächste Schritte
Die nächste Disziplin ist die Innovationssicherheit.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für