Funzione degli standard e dei criteri di sicurezza del cloud
I team responsabili degli standard e dei criteri di sicurezza creano, approvano e pubblicano standard e criteri di sicurezza per guidare le decisioni di sicurezza all'interno dell'organizzazione.
I criteri e gli standard devono:
- Riflettere la strategia di sicurezza delle organizzazioni in modo sufficientemente dettagliato da guidare le decisioni nell'organizzazione da parte di vari team
- Abilitare la produttività in tutta l'organizzazione riducendo al tempo stesso i rischi per il business e la missione delle organizzazioni
I criteri di sicurezza devono riflettere obiettivi sostenibili a lungo termine in linea con la strategia di sicurezza e la tolleranza ai rischi delle organizzazioni. I criteri devono sempre rispettare:
- I requisiti di conformità alle normative e lo stato di conformità corrente (requisiti soddisfatti, rischi accettati e così via).
- La valutazione dell'architettura dello stato corrente e di ciò che è tecnicamente possibile progettare, implementare e applicare.
- La cultura e le preferenze dell'organizzazione.
- Le procedure consigliate per il settore.
- La responsabilità del rischio di sicurezza assegnato agli stakeholder aziendali appropriati responsabili di altri rischi e risultati aziendali.
Gli standard di sicurezza definiscono i processi e le regole per supportare l'esecuzione dei criteri di sicurezza.
Modernizzazione
Anche se i criteri devono rimanere statici, gli standard devono essere dinamici e continuamente rivisitati per stare al passo con i cambiamenti nella tecnologia cloud, nell'ambiente delle minacce e nel panorama della concorrenza aziendale.
A causa di questa elevata frequenza di modifiche, è consigliabile tenere sotto controllo il numero di eccezioni in corso, in quanto ciò potrebbe indicare la necessità di modificare gli standard (o i criteri).
Gli standard di sicurezza devono includere materiale sussidiario specifico per l'adozione del cloud, ad esempio:
- Uso sicuro delle piattaforme cloud per l'hosting di carichi di lavoro
- Uso sicuro del modello DevOps e inclusione di applicazioni cloud, API e servizi in fase di sviluppo
- Uso dei controlli perimetrali delle identità per integrare o sostituire i controlli perimetrali di rete
- Definire la strategia di segmentazione prima di spostare i carichi di lavoro nella piattaforma IaaS
- Assegnazione di tag e classificazione della riservatezza degli asset
- Definire il processo per valutare e verificare che gli asset siano configurati e protetti correttamente
Composizione del team e relazioni chiave
Gli standard e i criteri di sicurezza del cloud sono in genere forniti dai tipi di ruoli seguenti. I criteri organizzativi devono informare (e devono tenere in considerazione):
- Le architetture di sicurezza
- Team di gestione della conformità e dei rischi
- La leadership e i rappresentanti della business unit
- IT
- I team legali e di controllo
I criteri devono essere perfezionati in base a molti input/requisiti di tutta l'organizzazione, inclusi ma non limitati a quelli rappresentati nel diagramma di panoramica della sicurezza.
Passaggi successivi
Esaminare la funzione di un centro operazioni per la sicurezza cloud (SOC).
Commenti e suggerimenti
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedere https://aka.ms/ContentUserFeedback.
Invia e visualizza il feedback per