Condividi tramite


Funzione degli standard e dei criteri di sicurezza del cloud

I team responsabili degli standard e dei criteri di sicurezza creano, approvano e pubblicano standard e criteri di sicurezza per guidare le decisioni di sicurezza all'interno dell'organizzazione.

I criteri e gli standard devono:

  • Riflettere la strategia di sicurezza delle organizzazioni in modo sufficientemente dettagliato da guidare le decisioni nell'organizzazione da parte di vari team
  • Abilitare la produttività in tutta l'organizzazione riducendo al tempo stesso i rischi per il business e la missione delle organizzazioni

I criteri di sicurezza devono riflettere obiettivi sostenibili a lungo termine in linea con la strategia di sicurezza e la tolleranza ai rischi delle organizzazioni. I criteri devono sempre rispettare:

  • I requisiti di conformità alle normative e lo stato di conformità corrente (requisiti soddisfatti, rischi accettati e così via).
  • La valutazione dell'architettura dello stato corrente e di ciò che è tecnicamente possibile progettare, implementare e applicare.
  • La cultura e le preferenze dell'organizzazione.
  • Le procedure consigliate per il settore.
  • La responsabilità del rischio di sicurezza assegnato agli stakeholder aziendali appropriati responsabili di altri rischi e risultati aziendali.

Gli standard di sicurezza definiscono i processi e le regole per supportare l'esecuzione dei criteri di sicurezza.

Modernizzazione

Anche se i criteri devono rimanere statici, gli standard devono essere dinamici e continuamente rivisitati per stare al passo con i cambiamenti nella tecnologia cloud, nell'ambiente delle minacce e nel panorama della concorrenza aziendale.

A causa di questa elevata frequenza di modifiche, è consigliabile tenere sotto controllo il numero di eccezioni in corso, in quanto ciò potrebbe indicare la necessità di modificare gli standard (o i criteri).

Gli standard di sicurezza devono includere materiale sussidiario specifico per l'adozione del cloud, ad esempio:

  • Uso sicuro delle piattaforme cloud per l'hosting di carichi di lavoro
  • Uso sicuro del modello DevOps e inclusione di applicazioni cloud, API e servizi in fase di sviluppo
  • Uso dei controlli perimetrali delle identità per integrare o sostituire i controlli perimetrali di rete
  • Definire la strategia di segmentazione prima di spostare i carichi di lavoro nella piattaforma IaaS
  • Assegnazione di tag e classificazione della riservatezza degli asset
  • Definire il processo per valutare e verificare che gli asset siano configurati e protetti correttamente

Composizione del team e relazioni chiave

Gli standard e i criteri di sicurezza del cloud sono in genere forniti dai tipi di ruoli seguenti. I criteri organizzativi devono informare (e devono tenere in considerazione):

  • Le architetture di sicurezza
  • Team di gestione della conformità e dei rischi
  • La leadership e i rappresentanti della business unit
  • IT
  • I team legali e di controllo

I criteri devono essere perfezionati in base a molti input/requisiti di tutta l'organizzazione, inclusi ma non limitati a quelli rappresentati nel diagramma di panoramica della sicurezza.

Passaggi successivi

Esaminare la funzione di un centro operazioni per la sicurezza cloud (SOC).