Gobernanza de la seguridad
La gobernanza de la seguridad une sus prioridades empresariales con implementación técnica como la arquitectura, los estándares y las directivas. Los equipos de gobernanza proporcionan supervisión para mantener y mejorar la posición de seguridad con el tiempo. Estos equipos también informan del cumplimiento por requerimiento de los organismos reguladores.
Los objetivos y el riesgo empresariales proporcionan la mejor dirección para la seguridad. Esta dirección garantiza que la seguridad centre sus esfuerzos en aspectos importantes para la organización. También informa a los propietarios de riesgos mediante un lenguaje y procesos conocidos en el marco de administración de riesgos.
Para más información sobre la gobernanza de la seguridad, vea el vídeo siguiente.
Cumplimiento e informes
El cumplimiento y los informes sobre los requisitos de seguridad externos y, a veces, la directiva interna, son elementos básicos necesarios para funcionar en un sector determinado. Los requisitos obligatorios con como alimentar a un oso en el zoo. Si no alimenta al oso todos los días, puede que le coma.
Arquitectura y estándares
La arquitectura, los estándares y las directivas proporcionan la traducción crítica de los requisitos y el riesgo empresariales al entorno técnico. Se recomienda tener una vista unificada en el patrimonio empresarial en lugar de dividir la nube frente al entorno local. A los atacantes no les importan sus procesos internos y siguen la ruta de menor resistencia a su objetivo. Esto incluye el movimiento lateral entre el entorno en la nube y el entorno local. En la actualidad, la mayoría de las empresas son un entorno híbrido que abarca:
- Entorno local: incluye varias generaciones de tecnología y, a menudo, una cantidad significativa de software y hardware heredados. Esta tecnología a veces incluye tecnología operativa que controla los sistemas físicos con un posible impacto en la vida o la seguridad.
- Nubes: normalmente incluye varios proveedores para:
- Aplicaciones de software como servicio (SaaS)
- Infraestructura como servicio (IaaS)
- Plataforma como servicio (PaaS)
Administración de la posición de seguridad
La esperanza y la notificación de problemas no son un plan. La gobernanza en la era de la nube debe tener un componente activo que se implique continuamente con otros equipos. La administración de la posición de seguridad es una función emergente. Representa un paso al frente en la convergencia a largo plazo de las funciones de seguridad. Estas funciones responden a la pregunta "¿hasta qué punto es seguro el entorno?", incluidos la administración de vulnerabilidades y los informes de cumplimiento de la seguridad.
En el mundo local, la gobernanza de la seguridad siguió la cadencia de los datos que pudo obtener sobre el entorno. Esta forma de obtener datos puede llevar su tiempo y estar constantemente obsoleta. La tecnología en la nube ahora proporciona visibilidad a petición sobre la posición de seguridad y la cobertura de recursos actuales. Esta visibilidad impulsa una transformación importante de la gobernanza en una organización más dinámica. Esta organización proporciona una relación más cercana con otros equipos de seguridad para supervisar los estándares de seguridad, proporcionar instrucciones y mejorar los procesos.
En su estado ideal, la gobernanza es el núcleo de la mejora continua. Esta mejora alienta a la organización a mejorar constantemente la posición de seguridad.
Los principios clave del éxito de la gobernanza son:
- Detección continua de recursos y tipos de recurso: un inventario estático no es posible en un entorno en la nube dinámico. Su organización debe centrarse en la detección continua de recursos y tipos de recurso. En la nube, se agregan nuevos tipos de servicios con regularidad. Los propietarios de cargas de trabajo aumentan y reducen dinámicamente el número de instancias de aplicaciones y servicios según sea necesario, lo que hace que la administración del inventario sea una materia dinámica. Los equipos de gobernanza deben detectar continuamente tipos de recursos e instancias para seguir este ritmo de cambio.
- Mejora continua de la posición de seguridad de los recursos: los equipos de gobernanza deben centrarse en mejorar los estándares y aplicarlos para estar al tanto de la nube y los atacantes. Las organizaciones de tecnologías de la información (TI) deben reaccionar rápidamente a las nuevas amenazas y adaptarse en consecuencia. Los atacantes perfeccionan continuamente sus técnicas, por lo que lo mismo se hace con las defensas, que es posible que se tengan que habilitar. No siempre se puede obtener toda la seguridad que se necesita en la configuración inicial.
- Gobernanza controlada mediante directivas: esta gobernanza proporciona una ejecución coherente mediante la corrección de algo una vez en la directiva que se aplica automáticamente a gran escala entre recursos. Este proceso limita cualquier tiempo y esfuerzo desperdiciados en tareas manuales repetidas. A menudo se implementa mediante marcos de automatización de directivas de terceros o Azure Policy.
Para mantener la agilidad, la guía de procedimientos recomendados suele ser iterativa. Efectúa la síntesis de pequeños fragmentos de información de varios orígenes para crear la imagen completa y realizar continuamente pequeños ajustes.
Materias de gobernanza y protección
Entre las materias de protección se incluyen el control de acceso, la protección de recursos y la seguridad de la innovación. El equipo de gobernanza de la seguridad proporciona estándares e instrucciones para impulsar la ejecución coherente de los procedimientos recomendados y los controles de seguridad.
En el estado ideal, los equipos de protección aplican estos controles y proporcionan comentarios sobre lo que funciona, como desafíos en la aplicación de los controles. A continuación, los equipos trabajan juntos para identificar las mejores soluciones.
Operaciones de gobernanza y seguridad
Las operaciones de seguridad y gobernanza de la seguridad funcionan conjuntamente para proporcionar una visibilidad completa. Garantizan que las lecciones aprendidas de incidentes del mundo real se integren en la arquitectura, los estándares y las directivas.
Las operaciones de gobernanza y seguridad proporcionan tipos complementarios de visibilidad.
- Las operaciones de seguridad proporcionan información sobre el riesgo inmediato de ataques activos.
- La gobernanza de la seguridad proporciona una visión amplia del riesgo de posibles ataques y vectores de ataque en el futuro.
Los arquitectos de seguridad de la función de gobernanza ayudan a identificar las lecciones aprendidas de los incidentes. Por ejemplo, la causa principal de los incidentes importantes. Capturan las lecciones en los estándares de la organización para garantizar su aplicación coherente en toda la empresa.
Para más información, consulte Integración de seguridad.
Nota
Algunas organizaciones sitúan la supervisión de la posición de seguridad en las operaciones de seguridad. Se recomienda tener esta supervisión en la gobernanza. Esta selección de ubicación crea una mejor relación con los equipos de ingeniería y operaciones de TI que aplican los estándares. Esta relación suele tener como resultado comunicaciones de mayor calidad y mejores resultados de seguridad. De lo contrario, su equipo de gobernanza nunca será capaz de ver el impacto real de sus estándares.
Pasos siguientes
La siguiente materia es la seguridad de la innovación.
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de