Función de los estándares y la directiva de seguridad en la nube
Los equipos de estándares y la directiva de seguridad crean, aprueban y publican los estándares y la directiva de seguridad para guiar las decisiones de seguridad dentro de la organización.
Las directivas y los estándares deben:
- Reflejar la estrategia de seguridad de las organizaciones de una manera suficientemente detallada para guiar las decisiones de la organización por parte de varios equipos
- Habilitar la productividad en toda la organización reduciendo al mismo tiempo el riesgo para el negocio y la misión de las organizaciones
La directiva de seguridad debe reflejar los objetivos sostenibles a largo plazo que se alinean con la estrategia de seguridad y la tolerancia a riesgos de las organizaciones. La directiva siempre debe abordar:
- Los requisitos de cumplimiento normativo y el estado de cumplimiento actual (requisitos cumplidos, riesgos aceptados, etc.)
- La valoración de la arquitectura del estado actual y lo que es técnicamente posible de diseñar, implementar y aplicar
- La referencia cultural y las preferencias de la organización
- Los procedimientos recomendados del sector
- La responsabilidad del riesgo de seguridad asignado a las partes interesadas empresariales adecuadas que son responsables de otros riesgos y resultados empresariales.
Los estándares de seguridad definen los procesos y las reglas para admitir la ejecución de la directiva de seguridad.
Modernización
Si bien la directiva debe permanecer estática, los estándares deben ser dinámicos y revisarse continuamente para mantenerse al día de los cambios en la tecnología de la nube, el entorno de amenazas y el panorama empresarial de la competencia.
Debido a esta alta tasa de cambio, debe estar muy atento a la cantidad de excepciones que se realizan, ya que esto puede indicar una necesidad de ajustar los estándares (o la directiva).
Los estándares de seguridad deben incluir instrucciones específicas para la adopción de la nube, como:
- Uso seguro de las plataformas en la nube para el hospedaje de cargas de trabajo
- Uso seguro del modelo DevOps e inclusión de aplicaciones, API y servicios en la nube en desarrollo
- Uso de controles de perímetro de identidad para complementar o reemplazar los controles de perímetro de red
- Definición de la estrategia de segmentación antes de mover las cargas de trabajo a la plataforma IaaS
- Etiquetado y clasificación de la confidencialidad de los recursos
- Definición del proceso para evaluar los recursos y garantizar que estén configurados y protegidos correctamente
Composición del equipo y relaciones clave
La directiva de seguridad y los estándares en la nube se proporcionan normalmente mediante los siguientes tipos de roles. La directiva de la organización debe informar a (y ser informada por):
- Las arquitecturas de seguridad
- Los equipos de administración de riesgos y cumplimiento
- Los líderes y representantes de la unidad de negocio
- Tecnologías de la información
- Equipos de auditoría y legales
La directiva debe refinarse en función de numerosas entradas o requisitos de toda la organización, incluidos, entre otros, los que se muestran en el diagrama de información general de la seguridad.
Pasos siguientes
Revisión de la función de un centro de operaciones de seguridad en la nube (SOC).
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente GitHub Issues como mecanismo de comentarios sobre el contenido y lo sustituiremos por un nuevo sistema de comentarios. Para más información, vea: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de