Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questo articolo descrive come stabilire o modernizzare una disciplina strategia di sicurezza, integrazione e governance. Questa disciplina fornisce direzione, coordinamento e supervisione sostenuta in un programma di modernizzazione della sicurezza, consentendo alle organizzazioni di passare oltre i controlli frammentati verso un comportamento di sicurezza coesivo e basato sui risultati.
Le discipline di sicurezza sono raggruppamenti di lavoro correlati alla sicurezza che aiutano le organizzazioni a offrire costantemente risultati di sicurezza nell'intero patrimonio tecnologico. All'interno del modello di adozione della sicurezza, le discipline consentono di fornire un ponte tra scenari aziendali e implementazione tecnica, garantendo che gli investimenti per la sicurezza si traduca in risultati misurabili reali come parte del modello di adozione della sicurezza.
Perché questa disciplina?
Molte organizzazioni approcciano la governance della sicurezza tramite modelli tradizionali di governance, rischio e conformità (GRC) che assegnano priorità ai controlli e alla conformità esterna. Anche se necessario, questi approcci di archiviazione con ridondanza geografica classica spesso non riescono a gestire i rischi di eventi imprevisti reali che causano interruzioni operative, perdita di dati, costi di ripristino e danni alla reputazione.
La disciplina Strategia di sicurezza, integrazione e governance modernizza questo modello rendendo la sicurezza parte integrante del processo decisionale e delle operazioni dell'organizzazione, anziché una funzione autonoma o reattiva.
La disciplina riunisce tre elementi essenziali:
- Strategia: definisce i risultati della sicurezza, le priorità, i compromessi e le misure di successo allineate agli obiettivi aziendali, alla tolleranza ai rischi e agli obblighi normativi.
- Integrazione: incorpora la sicurezza nella strategia aziendale, nei modelli operativi, negli ambienti tecnologici, nei processi di governance e nell'ecosistema aziendale più ampio.
- Governance: sostiene e migliora continuamente il programma di sicurezza attraverso diritti decisionali chiari, responsabilità, misurazione e supervisione.
Senza una strategia efficace, l'integrazione e la governance, i programmi di sicurezza spesso non hanno una direzione e un coordinamento chiari. Questo divario porta a scarse priorità, esecuzione incoerente, lavoro sprecato e duplicato, aumento della frequenza e dell'impatto degli eventi imprevisti e rischio dell'organizzazione elevato.
Per essere efficace, questa disciplina garantisce che i principi Zero Trust vengano applicati in modo coerente in tutte le discipline di sicurezza e nell'intero ciclo di vita della sicurezza. Invece di abilitare soluzioni tecniche isolate, SIG allinea decisioni, controlli e operazioni a un modello di sicurezza condiviso.
Il diagramma seguente illustra come la disciplina Strategia di sicurezza, Integrazione e Governance consenta la resilienza della sicurezza applicando in modo coerente Zero Trust principi in tutte le discipline di sicurezza e nel ciclo di vita completo della sicurezza.
Obiettivi e risultati
La disciplina Strategia di sicurezza, integrazione e governance fornisce direzione, integrazione e supervisione nel ciclo di vita completo del programma di sicurezza. Consente alle organizzazioni di:
- Impostare una visione e una direzione chiare per la sicurezza: definire risultati, priorità e compromessi di sicurezza allineati agli obiettivi aziendali, alla tolleranza ai rischi e agli obblighi normativi. Stabilire una comprensione condivisa dell'aspetto della sicurezza ottimale per l'organizzazione e del modo in cui viene misurato il successo. Aggiornare la comprensione in base alle esigenze.
- Integrare la sicurezza nell'organizzazione: incorporare la sicurezza nella pianificazione aziendale, nella strategia tecnologica, nell'architettura, nello sviluppo, nelle operazioni e negli ecosistemi dei partner, in modo che non venga considerata come una funzione autonoma o di tipo afterthought.
- Governare le decisioni e gli investimenti relativi alla sicurezza: stabilire poteri decisionali, responsabilità, policy, standard e misure del successo che guidino una definizione coerente delle priorità e dell'esecuzione nei team della sicurezza e della tecnologia.
- Abilitare decisioni aziendali migliori e più veloci: fungere da hub centrale per il contesto dei rischi di sicurezza, aiutando i leader a bilanciare opportunità, rischi e costi e dire "sì, in modo sicuro" alle nuove iniziative.
- Migliorare la priorità e l'attenzione: convertire le priorità aziendali in strategie di sicurezza, criteri e standard interattivi, in modo che i team si concentrino sui rischi più importanti anziché sui problemi più visibili o urgenti.
- Adattarsi al cambiamento: strategia di aggiornamento continuo, roadmap, architetture e governance per affrontare minacce in continua evoluzione, nuove tecnologie (tra cui intelligenza artificiale), modifiche normative e spostamento delle priorità aziendali.
- Ridurre l'impatto sugli eventi imprevisti: migliorare la coerenza, il coordinamento e la responsabilità nel programma di sicurezza, riducendo la frequenza e la gravità degli eventi imprevisti e migliorando i risultati del ripristino.
Come applicare questa disciplina
Per applicare efficacemente la disciplina Strategia, Integrazione e Governance, concentrarsi sulla definizione di una direzione chiara, responsabilità e allineamento all'interno dell'organizzazione:
-
Definire una strategia di sicurezza allineata alle priorità e ai rischi aziendali
Definire obiettivi chiari che riflettano gli obiettivi dell'organizzazione, gli asset critici e i rischi più significativi per l'azienda -
Definire governance e responsabilità tra i team
Definire ruoli, responsabilità e strutture decisionali per garantire che le attività di sicurezza siano coordinate e costantemente eseguite -
Impostare criteri e standard che guidano l'esecuzione coerente
Fornire aspettative chiare che assicurano che i controlli e le procedure di sicurezza vengano applicati in modo coerente nell'intera organizzazione. -
Allineare le attività di sicurezza tra discipline e iniziative
Assicurarsi che l'architettura, le operazioni e le attività di progettazione funzionino verso risultati condivisi anziché operare in isolamento. -
Misurare lo stato di avanzamento e migliorare continuamente
Usare metriche, informazioni dettagliate sui rischi e feedback operativo per tenere traccia dell'efficacia, guidare la definizione delle priorità e perfezionare la strategia nel tempo.
Gestire le modifiche dell'organizzazione
Questa disciplina consente alle organizzazioni di passare dalla conformità delle caselle di controllo alla gestione dei rischi allineata all'azienda, pur rispettando gli obblighi normativi.
La modernizzazione in questo modo riduce lo sforzo sprecato sui controlli a basso valore, chiarisce la responsabilità e garantisce che le decisioni di sicurezza vengano prese dagli stakeholder giusti con il contesto corretto. Nel corso del tempo, questo rende la sicurezza più facile da operare, più efficace e più sostenibile.
Le organizzazioni possono anche ridurre gli oneri legacy, ad esempio mantenere controlli inefficaci o assorbire in modo informale la responsabilità delle decisioni prese altrove, e sostituirle con un modello operativo più chiaro e resiliente.
Ruoli e collaboratori della disciplina
Questa disciplina fa capo principalmente ai vertici della sicurezza, responsabili della definizione dell'indirizzo, dell'integrazione della sicurezza nell'organizzazione e della supervisione dell'esecuzione. Nelle organizzazioni di grandi dimensioni, queste responsabilità vengono distribuite tra ruoli e processi formali. Nelle organizzazioni più piccole, i ruoli possono essere combinati e la strategia si sviluppano in modo più informale. Indipendentemente dalla scalabilità, è consigliabile documentare la strategia man mano che si evolve.
I ruoli principali in genere includono:
- Chief Information Security Officer (CISO)
- Responsabili della sicurezza delle informazioni aziendali (BISO)
- Amministratori della sicurezza
- Architetti della sicurezza
Questi ruoli sono supportati da funzioni come strategia di sicurezza, integrazione e governance, formazione e coinvolgimento, gestione dei rischi Insider, gestione del comportamento di sicurezza e gestione della conformità della sicurezza.
Il recapito effettivo dipende dalla stretta collaborazione nell'organizzazione:
- I responsabili aziendali forniscono contesto sulle priorità e sulla tolleranza ai rischi.
- I leader tecnici integrano la sicurezza nelle strategie tecnologico e nei modelli operativi.
- I ruoli dell'architettura traducono la strategia in standard e protezioni e forniscono feedback sulla fattibilità.
- I team IT e di progettazione operazionalizzano i requisiti tramite l'implementazione e la manutenzione.
- Le operazioni di sicurezza (SecOps) forniscono feedback continuo da eventi imprevisti, minacce e comportamenti degli utenti malintenzionati per informare la strategia e la governance.
Componenti della disciplina
La disciplina Strategia di sicurezza, Integrazione e Governance comprende un ampio set di funzionalità che insieme garantiscono risultati di sicurezza coerenti e misurabili.
| Funzionalità | Dettagli |
|---|---|
| Assegnazione di priorità continua | Assegnare continuamente priorità ai requisiti per: - Allineamento aziendale: assicurarsi che la sicurezza sia un abilitatore aziendale. Favorire le modifiche aziendali necessarie per la sicurezza. - Allineamento della tecnologia: allineare la valutazione e la gestione dei rischi di sicurezza con la tecnologia organizzativa. - Sicuro fin dalla progettazione e per impostazione predefinita: garantire che la sicurezza sia parte integrante di tutta la progettazione di sistemi e processi. - Garantire la privacy in base alla progettazione/impostazione predefinita: assicurarsi che la privacy sia un aspetto integrante di tutte le progetta entità del sistema e del processo. - Conforme per progettazione/impostazione predefinita: Assicurarsi che la conformità sia parte integrante della progettazione di tutti i sistemi e processi. |
| Pianificazione continua | Mantenere roadmap per la sicurezza ben definite, aggiornate regolarmente, e metriche di successo. |
| Integrazione del modello operativo aziendale/tecnologico | Incorporare la sicurezza in ideazione, definizioni di requisiti aziendali, progettazione, compilazione e operazioni anziché applicare controlli dopo la distribuzione. |
| Integrazione dei rischi aziendali | Integrare la sicurezza nel modo in cui il rischio viene identificato, gestito e segnalato ai responsabili, alle autorità di regolamentazione e agli stakeholder. |
| Gestione del debito tecnico e del ciclo di vita | Gestire il rischio di sicurezza da tecnologie obsolete, non supportate e legacy. |
| Simulazioni strategiche della sicurezza | Rafforzare i processi di esercitazione tabletop e di gestione delle crisi attraverso esercitazioni regolari. |
| Componenti di governance di base | Definire la struttura organizzativa, i diritti decisionali, la responsabilità, i criteri, gli standard, le architetture, le protezioni e la gestione della conformità. |
| Condivisione di intelligence sulla sicurezza | Aggiungere contesto aziendale all'intelligence sulle minacce e condividere informazioni dettagliate tra team di sicurezza, business e tecnologia. |
| Gestione dei rischi esterni | Gestire i rischi di supply chain, partner, open source e fusioni e acquisizioni. |
| Istruzione e coinvolgimento | Assicurarsi che i ruoli dell'organizzazione comprendano perché la sicurezza è importante, cosa è necessario e come agire. |
| Gestione dei rischi interni | Gestire i rischi di utenti autorizzati che possono causare intenzionalmente o involontariamente danni. |
| Supervisione delle operazioni di sicurezza | Supervisionare la gestione dell’assetto, le operazioni e l’architettura, e misurare se i controlli sono implementati e mantenuti in modo efficace. |
Allineamento con altre discipline
La disciplina Strategia di sicurezza, Integrazione e Governance funziona in tutte le altre discipline di sicurezza. Il suo ruolo non è quello di sostituire o duplicare le proprie responsabilità, ma di fornire supervisione che consente, integra, assegna priorità e monitora i risultati coerenti nel programma di sicurezza.
| Discipline | Role |
|---|---|
| Architettura di sicurezza end-to-end | Traduce la strategia e la politica in un approccio tecnico coordinato. Aiuta a garantire che la strategia sia attuabile, prioritaria e comunicata chiaramente ai team tecnologici. |
| Discipline della strategia tecnica | Assicura che le decisioni tecniche siano in linea con le priorità aziendali, la propensione al rischio e le politiche, garantendo che i compromessi siano valutati consapevolmente anziché presi in modo isolato. |
| Discipline operative | Connette i segnali operativi, ovvero eventi imprevisti, rilevamenti, comportamenti degli utenti malintenzionati, alle decisioni di leadership, consentendo un miglioramento continuo della strategia e dei controlli. |
Allineamento con i pilastri tecnologici
A livello di pilastro della tecnologia, la disciplina Strategia di sicurezza, Integrazione e Governance garantisce che:
- I controlli sono allineati alla strategia, ai criteri e agli standard dell'organizzazione.
- L'implementazione rimane coerente nel tempo e non deriva.
- Il miglioramento continuo è basato su strategia, integrazione e governance.
Si allinea a questi pilastri tecnologici:
- Identities: definisce le priorità di rischio di identità, i criteri di accesso (incluso l'accesso con privilegi), gli standard del ciclo di vita e le misure di successo allineate alle Zero Trust.
- Endpoint/Infrastruttura: imposta i requisiti di ciclo di vita, manutenzione e ritiro per gestire i rischi di sicurezza tra endpoint e piattaforme di infrastruttura.
- App: stabilisce standard di origine, sviluppo, distribuzione e ciclo di vita coerenti tra applicazioni SaaS e personalizzate.
- Dati: definisce le priorità di protezione dei dati, la classificazione, i modelli di accesso e la governance allineati al valore e al rischio aziendali.
- Rete: assicura che le configurazioni e i controlli di rete supportino strategie incentrate sulle identità, gestendo i rischi di rete legacy e moderni.
- Intelligenza artificiale: aggiorna strategia di sicurezza, competenze, strumenti e governance per affrontare i rischi introdotti dall'uso dell'intelligenza artificiale e dalle minacce assistita dall'intelligenza artificiale.
Passaggi successivi
È consigliabile prendere il workshop CISO.
Il WORKSHOP CISO consente di accelerare la modernizzazione della strategia di sicurezza, dell'integrazione e della governance. Il workshop è disponibile come impegno guidato da esperti da Microsoft Unified.
I workshop disponibili includono:
- Briefing CISO - Discussione di meno di quattro ore incentrata sull'apprendimento chiave e sulle procedure consigliate.
- Full CISO Workshop - Workshop di due giorni che fornisce dettagli aggiuntivi, un case study Microsoft, discussioni sul modello di maturità e piani di modernizzazione dei riferimenti.
Per ulteriori informazioni, contatti il responsabile Customer Success del suo account.
Il workshop per CISO è disponibile anche in modalità self-service sotto forma di una serie di video. Ulteriori informazioni