Peran dan tanggung jawab keamanan

  • 10 menit

Masing-masing anggota tim keamanan harus melihat diri mereka sebagai bagian dari tim keamanan yang merupakan bagian dari keseluruhan organisasi. Anggota tim keamanan juga bagian dari komunitas keamanan yang lebih besar yang bertahan melawan musuh yang sama.

Pandangan holistik ini memungkinkan tim untuk bekerja dengan baik secara umum. Hal ini sangat penting karena tim bekerja melalui celah dan tumpang tindih yang tidak direncanakan yang ditemukan selama evolusi peran dan tanggung jawab.

Tanggung jawab keamanan (fungsi)

Diagram ini menggambarkan fungsi organisasi tertentu dalam keamanan. Diagram ini mewakili pandangan yang ideal dari tim keamanan perusahaan yang lengkap dan mungkin pandangan yang aspiratif untuk beberapa tim keamanan. Satu atau beberapa orang dapat melakukan setiap fungsi. Setiap orang dapat melakukan satu atau lebih fungsi berdasarkan faktor-faktor seperti budaya, anggaran, dan sumber daya yang tersedia.

Diagram that illustrates the organizational functions within security.

Artikel berikut memberikan informasi tentang setiap fungsi dan menyertakan ringkasan tujuan. Artikel membahas cara fungsi tersebut dapat berkembang karena lingkungan ancaman atau perubahan teknologi cloud. Mereka juga mengeksplorasi hubungan dan dependensi yang sangat penting untuk keberhasilan fungsi.

Diagram berikut ini meringkas peran dan tanggung jawab dalam program keamanan untuk membantu Anda membiasakan diri dengan peran ini:

Diagram that summarizes the roles and responsibilities of a security program.

Untuk informasi selengkapnya, lihat Fungsi keamanan cloud.

Memetakan keamanan ke hasil bisnis

Pada tingkat organisasi, disiplin keamanan memetakan fase rencana-pembangunan-eksekusi standar yang terlihat secara luas di seluruh industri dan organisasi. Siklus ini dipercepat menjadi siklus perubahan berkelanjutan dengan era digital dan munculnya DevOps. Siklus ini juga menggambarkan cara keamanan memetakan ke proses bisnis yang normal.

Keamanan adalah disiplin dengan fungsi uniknya sendiri. Integrasi ke dalam operasi bisnis normal adalah elemen penting.

Tipe peran

Dalam diagram sebelumnya, label gelap mengelompokkan tanggung jawab ini ke dalam peran umum yang memiliki kumpulan keterampilan dan profil karier yang umum. Pengelompokan ini juga membantu memberikan kejelasan tentang bagaimana tren industri memengaruhi profesional keamanan.

  • Kepemimpinan keamanan: Peran ini sering kali mencakup seluruh fungsi. Peran ini memastikan bahwa tim saling berkoordinasi, memprioritaskan, dan menetapkan norma budaya, kebijakan, serta standar keamanan.
  • Arsitek keamanan: Peran ini mencakup seluruh fungsi dan memberikan kemampuan tata kelola utama untuk memastikan semua fungsi teknis bekerja secara harmonis dalam arsitektur yang konsisten.
  • Postur dan kepatuhan keamanan: Jenis peran yang lebih baru ini menunjukkan konvergensi pelaporan kepatuhan yang meningkat dengan disiplin keamanan tradisional seperti pengelolaan kerentanan dan garis besar konfigurasi. Meskipun cakupan dan audiens berbeda untuk pelaporan keamanan dan kepatuhan, mereka menjawab versi pertanyaan yang berbeda "Seberapa aman organisasi?" Cara pertanyaan dijawab semakin mirip melalui alat seperti Microsoft Secure Score dan Microsoft Defender untuk Cloud.
    • Penggunaan umpan data sesuai permintaan dari layanan cloud mengurangi waktu yang diperlukan untuk melaporkan kepatuhan.
    • Cakupan data yang meningkat dan tersedia memungkinkan tata kelola keamanan untuk melihat melampaui pembaruan atau patch perangkat lunak tradisional dan menemukan serta melacak "kerentanan" dari konfigurasi keamanan dan praktik operasional.
  • Insinyur keamanan platform: Peran teknologi ini berfokus pada platform yang menghosting beberapa beban kerja yang berfokus pada kontrol akses dan perlindungan aset. Peran ini sering dikelompokkan ke dalam tim dengan serangkaian keterampilan teknis khusus. Serangkaian keterampilan teknis khusus meliputi keamanan jaringan, infrastruktur dan titik akhir, serta identitas dan manajemen kunci. Tim ini bekerja pada kontrol preventif dan kontrol detektif, dengan kontrol detektif merupakan kemitraan dengan SecOps dan kontrol preventif terutama merupakan kemitraan dengan operasi TI. Untuk informasi selengkapnya, lihat Integrasi keamanan.
  • Insinyur keamanan aplikasi: Peran teknologi ini berfokus pada kontrol keamanan untuk beban kerja tertentu dan mendukung model pengembangan klasik dan model DevOps/DevSecOps modern. Peran teknologi ini memadukan keterampilan keamanan aplikasi dan pengembangan untuk kode unik dan keterampilan infrastruktur untuk komponen teknis umum seperti Mesin Virtual, database, dan kontainer. Peran ini mungkin berada di it pusat atau organisasi keamanan, atau dalam tim bisnis dan pengembangan berdasarkan faktor organisasi.

Modernisasi

Arsitektur keamanan dipengaruhi oleh berbagai faktor:

  • Model keterlibatan berkelanjutan: Rilis berkelanjutan pembaruan perangkat lunak dan fitur cloud membuat model keterlibatan tetap menjadi tidak terpakai lagi. Arsitek harus terlibat dengan semua tim yang bekerja di bidang topik teknis untuk memandu pengambilan keputusan di sepanjang siklus hidup kemampuan tim tersebut.
  • Keamanan dari cloud: Gabungkan kemampuan keamanan dari cloud untuk mengurangi waktu pengaktifan dan biaya pemeliharaan berkelanjutan seperti perangkat keras, perangkat lunak, waktu, dan tenaga.
  • Keamanan cloud: Pastikan cakupan semua aset cloud termasuk aplikasi software as a service (SaaS), Mesin Virtual infrastruktur sebagai layanan (IaaS), serta aplikasi dan layanan platform as a service (PaaS). Sertakan penemuan dan keamanan untuk layanan yang disetujui dan tidak disetujui.
  • Integrasi identitas: Arsitek keamanan harus memastikan keselarasan yang erat dengan tim identitas untuk membantu organisasi memenuhi tujuan ganda yaitu memungkinkan produktivitas dan memberikan jaminan keamanan.
  • Integrasi konteks internal dalam desain keamanan seperti konteks dari manajemen postur dan insiden yang diselidiki oleh pusat operasi keamanan: Sertakan elemen seperti skor risiko relatif akun dan perangkat pengguna, sensitivitas data, dan batas isolasi keamanan utama untuk dipertahankan secara aktif.

Konten yang disarankan

  • Peran Keamanan MCRA - YouTube: Gambaran umum peran dan tanggung jawab dalam program keamanan. Video ini mencakup diskusi tentang bagaimana mereka berkembang untuk memenuhi kebutuhan serangan modern, teknologi cloud, dan prinsip Zero Trust. Pandangan peran dari atas ke bawah ini mencakup dewan dan eksekutif.

Uji pengetahuan Anda

1.

Siapa yang bertanggung jawab atas keamanan di cloud?