Memahami fungsi kebijakan dan standar keamanan cloud
Kebijakan keamanan dan tim standar menulis, menyetujui, dan menerbitkan kebijakan dan standar keamanan untuk memandu keputusan keamanan dalam organisasi.
Kebijakan dan standar harus:
- Mencerminkan strategi keamanan organisasi dengan cara yang cukup rinci untuk memandu berbagai tim membuat keputusan dalam organisasi
- Memungkinkan produktivitas di seluruh organisasi sekaligus mengurangi risiko terhadap bisnis dan misi organisasi
Kebijakan keamanan harus mencerminkan tujuan berkelanjutan jangka panjang yang selaras dengan strategi keamanan organisasi dan toleransi risiko. Kebijakan harus selalu mengatasi:
- Persyaratan kepatuhan terhadap peraturan dan status kepatuhan saat ini (persyaratan terpenuhi, risiko diterima, dan sebagainya.)
- Penilaian arsitektur dari keadaan saat ini dan apa yang secara teknis mungkin untuk dirancang, diimplementasikan, dan ditegakkan
- Budaya dan preferensi organisasi
- Praktik terbaik industri
- Akuntabilitas risiko keamanan yang diberikan kepada pemangku kepentingan bisnis yang sesuai yang bertanggung jawab atas risiko dan hasil bisnis lainnya.
Standar keamanan mendefinisikan proses dan aturan untuk mendukung pelaksanaan kebijakan keamanan.
Modernisasi
Sementara kebijakan harus tetap statis, standar harus dinamis dan terus ditinjau kembali untuk mengikuti laju perubahan teknologi cloud, lingkungan ancaman, dan lanskap kompetitif bisnis.
Karena tingkat perubahan yang tinggi ini, Anda harus terus mengawasi berapa banyak pengecualian yang dibuat karena ini mungkin menunjukkan kebutuhan untuk menyesuaikan standar (atau kebijakan).
Standar keamanan harus mencakup panduan khusus untuk adopsi cloud seperti:
- Penggunaan platform cloud yang aman untuk beban kerja hosting
- Penggunaan model DevOps yang aman dan penyertaan aplikasi cloud, API, dan layanan dalam pengembangan
- Penggunaan kontrol perimeter identitas untuk melengkapi atau mengganti kontrol perimeter jaringan
- Tentukan strategi segmentasi Anda sebelum memindahkan beban kerja Anda ke platform IaaS
- Menandai dan mengklasifikasikan sensitivitas aset
- Menentukan proses untuk menilai dan memastikan aset Anda dikonfigurasi dan diamankan dengan benar
Komposisi tim dan hubungan kunci
Kebijakan dan standar keamanan cloud umumnya disediakan oleh jenis peran berikut. Kebijakan organisasi harus menginformasikan (dan diinformasikan oleh):
- Arsitektur keamanan
- Tim kepatuhan dan manajemen risiko
- Kepemimpinan dan perwakilan unit bisnis
- Teknologi informasi
- Tim audit dan hukum
Kebijakan harus disempurnakan berdasarkan banyak input/persyaratan dari seluruh organisasi, termasuk namun tidak terbatas pada yang digambarkan dalam diagram gambaran umum keamanan.
Langkah berikutnya
Meninjau fungsi pusat operasi keamanan cloud (SOC).