Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo offre una panoramica delle discipline di sicurezza nel modello di adozione della sicurezza Microsoft.
Le discipline di sicurezza sono aree strutturate di responsabilità che aiutano le organizzazioni a convertire gli obiettivi di sicurezza aziendale in azioni coordinate nell'intera azienda. Offrono un modo coerente per organizzare strategia, architettura e operazioni per gestire i rischi e proteggere i risultati aziendali critici.
Invece di considerare la sicurezza come controlli isolati o singoli strumenti, le discipline di sicurezza organizzano processi, competenze e tecnologie in aree di funzionalità ripetibili. Ciò consente di garantire che gli investimenti per la sicurezza forniscano risultati misurabili, end-to-end, non miglioramenti frammentati.
Collettivamente, le discipline di sicurezza formano un modello operativo di sicurezza completo che consente di:
- Chiara strategia di sicurezza e governance,
- Architetture coerenti, complete e integrate.
- Implementazione e operazioni tecniche coerenti.
Le discipline di sicurezza vengono applicate tramite scenari aziendali, ad esempio la protezione del lavoro remoto o la protezione di asset critici. Questi scenari definiscono la posizione in cui le attività di sicurezza devono essere incentrate su come ridurre i rischi e supportare l'azienda.
Tip
Microsoft offre un'ampia gamma di workshop sull'adozione della sicurezza: workshop Security Adoption Framework (SAF). Il nostro modello di adozione strutturato, incluse le linee guida per la disciplina di sicurezza, descritte qui si allinea alle linee guida guidate dagli esperti disponibili nei workshop. Scopri di più sui nostri workshop SULLA SICUREZZA.
Discipline di sicurezza nell'adozione
Nel modello di adozione della sicurezza le discipline di sicurezza forniscono una struttura organizzativa tra scenari aziendali e implementazione tecnica.
- Gli scenari aziendali definiscono il motivo per cui è necessario investire in sicurezza e quali risultati sono importanti.
- Le discipline di sicurezza definiscono la proprietà e la responsabilità tra i team, chiarendo chi è responsabile della fornitura di ogni area di funzionalità di sicurezza all'interno dell'organizzazione.
- Le soluzioni tecniche definiscono il modo in cui la sicurezza viene implementata in specifici pilastri tecnologici.
Come usare le discipline di sicurezza
Le discipline di sicurezza vengono usate in tutto il nostro modello di adozione strutturato. Sono allineati alle linee guida Zero Trust per supportare gruppi di destinatari diversi:
- I responsabili aziendali e i proprietari dei programmi usano discipline per comprendere come gli scenari aziendali di sicurezza hanno vita per proteggere gli asset e gestire i rischi aziendali.
- I leader della sicurezza e gli architetti usano discipline per definire progetti end-to-end e garantire la coerenza tra i pilastri della tecnologia.
- I team di implementazione e operazioni usano discipline per guidare le scelte di strumenti, controllare la distribuzione, il rilevamento e il miglioramento continuo.
Categorie di disciplina
Ogni disciplina di sicurezza rientra in una delle tre categorie, in base al tipo di decisioni supportate e quando viene applicata nel ciclo di vita della sicurezza.
- Pianificazione e supervisione delle discipline: queste discipline stabiliscono direzione, allineamento e responsabilità nell'intero programma di sicurezza. Definiscono l'aspetto del successo e il modo in cui i progressi vengono misurati e regolati.
- Discipline della strategia tecnica: queste discipline definiscono il modo in cui la sicurezza viene progettata e implementata tecnicamente. Forniscono la direzione dell'architettura che guida la selezione, gli strumenti e l'esecuzione dei controlli in più aree tecnologiche.
- Discipline operative: queste discipline definiscono il modo in cui la sicurezza viene eseguita quotidianamente, tra cui visibilità continua, rilevamento, risposta e miglioramento man mano che cambiano minacce e ambienti.
Il diagramma seguente illustra il modo in cui le categorie e le discipline di sicurezza vengono allineate tra i pilastri della tecnologia.
Discipline di sicurezza
La tabella seguente illustra le discipline, la categoria a cui appartengono e i pilastri tecnologici a cui si sono concentrati sulla protezione.
| Disciplina/Categoria | Discipline | Pilastro |
|---|---|---|
|
Strategia di sicurezza, integrazione e governance Pianificazione e supervisione. |
Definisce la visione generale della sicurezza, le priorità, le politiche e le misure di successo. Garantisce che le attività di sicurezza siano allineate agli obiettivi aziendali e alla tolleranza ai rischi e che i progressi siano misurabili e regolamentati. | Tutti i pilastri. |
|
Architettura di sicurezza Pianificazione e supervisione. |
Assicura che i controlli di sicurezza, le tecnologie e i processi funzionino insieme come sistema coeso. Allinea le decisioni sull'architettura tra identità, dati, applicazioni, infrastruttura e operazioni per ottenere risultati coerenti. | Tutti i pilastri. |
|
Accesso e identità Strategia tecnica |
Protegge in che modo gli utenti, i dispositivi, le applicazioni e i carichi di lavoro accedono agli asset dell'organizzazione. Questa disciplina guida un approccio coerente incentrato sull'identità usando i principi Zero Trust in tutti i percorsi di accesso, tra cui la rete e l'accesso con privilegi. | Identità, reti, endpoint. |
|
Sicurezza dell'infrastruttura Strategia tecnica |
Assicura che i carichi di lavoro e le piattaforme che eseguono l'azienda siano protetti in ambienti ibridi e multicloud per le nuove app di sviluppo e legacy. | Infrastruttura. |
|
Sicurezza dello sviluppo Strategia tecnica |
Assicura che le applicazioni e i servizi siano progettati, compilati e mantenuti in modo sicuro come pat di un approccio DevSecOps e un ciclo di vita di sviluppo della sicurezza (SDL). Sono incluse procedure di codifica sicure e test di sicurezza delle applicazioni. | Applicazioni. |
|
Sicurezza dei dati Strategia tecnica |
Protegge gli asset di dati, ad esempio proprietà intellettuale, segreti commerciali e informazioni regolamentate. Questa disciplina applica i controlli di sicurezza per tutto il ciclo di vita dei dati completo, indipendentemente dalla posizione in cui vengono archiviati i dati o dalla modalità di spostamento. È un'abilitazione fondamentale dell'uso sicuro dell'intelligenza artificiale generativa. | Dati. |
|
Sicurezza OT/IoT Strategia tecnica |
Protegge i sistemi OT/IoT che interagiscono con i processi fisici e il mondo fisico, inclusi i sistemi di controllo industriale e gli ambienti SCADA. | Endpoint. |
|
Gestione del comportamento di sicurezza Operativo |
Individua, misura e assegna continuamente priorità ai rischi per la sicurezza. Aiuta le organizzazioni a concentrare le attività di correzione sui percorsi di attacco e le vulnerabilità più interessati. | Tutti i pilastri. |
|
Secop Operativo |
Rileva, risponde e si ripristina dopo minacce attive. Questa disciplina è incentrata sulla risposta rapida, per ridurre al minimo il tempo in cui gli utenti malintenzionati hanno accesso dopo la compromissione e limitando così il loro impatto aziendale. | Tutti i pilastri. |