Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
L'adozione della sicurezza Zero Trust in tutta l'organizzazione è un impegno complesso e pluriennale che abbraccia la strategia e la pianificazione aziendale, la progettazione tecnica e l'architettura, l'implementazione e le operazioni.
Senza un approccio strutturato all'adozione, i programmi di modernizzazione della sicurezza possono diventare frammentati, reattivi e difficili da sostenere.
Il nostro modello di adozione della sicurezza strutturata offre processi standardizzati, ripetibili e con riconoscimento dei ruoli che consentono di pianificare, classificare in ordine di priorità e implementare la modernizzazione della sicurezza end-to-end in ambienti ibridi, multicloud e multipiattaforma.
Il modello di adozione allinea i risultati aziendali critici, le discipline di sicurezza e le implementazioni di soluzioni in modo che i responsabili aziendali, i responsabili della sicurezza, gli architetti e i professionisti possano procedere insieme a un ritmo controllato e sostenibile nell'intera organizzazione.
Tip
Microsoft offre un'ampia gamma di workshop sull'adozione della sicurezza: workshop Security Adoption Framework (SAF). Le linee guida per il modello di adozione strutturato si allineano alle linee guida guidate dagli esperti di Microsoft unificate fornite in tali workshop. Altre informazioni sui workshop DI SAF.
Perché usare un modello di adozione?
Un modello di adozione strutturato consente di:
- Allineati alle procedure consigliate per la sicurezza - Allineati ai principi Zero Trust, ai modelli Microsoft Secure Future Initiative (SFI), agli standard aperti e alle linee guida e ad altre procedure consigliate per la sicurezza.
- Ottimizzare gli investimenti esistenti : ottenere valore dagli strumenti esistenti, prima di introdurre nuove funzionalità.
- Offrire una strategia di sicurezza end-to-end : connettere le priorità aziendali all'architettura di sicurezza, ai controlli, ai processi e alle operazioni.
- Adattare continuamente: evolvere il comportamento e la strategia di sicurezza man mano che cambiano minacce, esigenze aziendali e tecnologie.
- Definizione delle priorità dell'azione : fornire indicazioni pratiche specifiche per i team e gli stakeholder, basate su procedure consigliate, lezioni apprese ed esempi reali.
Questo diagramma illustra come questi elementi si riuniscono in un modello di adozione.
Come il modello di adozione integra le linee guida esistenti
Questo modello di adozione riunisce Microsoft linee guida per la sicurezza pubblicate storicamente in più framework e risorse, allineandoli in un'unica struttura pratica.
Si integra e si basa sulle linee guida stabilite e include queste origini di contenuto:
- Microsoft Cybersecurity Reference Architecture (MCRA)
- Ciclo di vita dello sviluppo della sicurezza (SDL).
- workshop Zero Trust e CISO
- Le leggi immutabili della sicurezza
- Linee guida per l'accesso con privilegi elevati e le workstation privilegiate.
- Procedure di risposta agli incidenti
Organizzando queste linee guida su scenari aziendali, discipline e passaggi di implementazione comuni, il modello consente di passare da raccomandazioni isolate a un approccio coesivo per la pianificazione, l'implementazione e la misurazione dei miglioramenti della sicurezza. Il contenuto del modello di adozione verrà ulteriormente arricchito nel corso del tempo.
Struttura del modello di adozione
Il modello di adozione si basa su tre componenti principali che consentono alle organizzazioni di passare dalla finalità aziendale all'implementazione dettagliata:
- Gli scenari aziendali definiscono i risultati aziendali tipici e il modo in cui la sicurezza deve essere adattata per raggiungerli.
- Le discipline di sicurezza definiscono il modo in cui i team organizzano, pianificano e operano per modernizzare la sicurezza e ottenere risultati aziendali.
- I pilastri della tecnologia descrivono gli asset e le risorse dell'organizzazione che vogliamo proteggere. Ad esempio, identità, dispositivi e dati.
Ogni componente del modello di adozione è destinato a un gruppo di destinatari e un ruolo specifici.
| Sezione | Destinatari principali | Obiettivo |
|---|---|---|
| Scenari aziendali | Leader aziendali | Identificare, definire e comunicare risultati aziendali critici che la sicurezza deve supportare. Convertire le priorità aziendali in obiettivi di sicurezza interattivi che guidano la pianificazione e il processo decisionale. Fornire indicazioni pratiche e ripetibili per i risultati aziendali, con percorsi chiari per i ruoli e le discipline coinvolti nel fornire il risultato. |
| Discipline di sicurezza | Responsabili e team della sicurezza, leader IT, designer, architetti. | Collegare gli scenari aziendali alla distribuzione/implementazione della sicurezza. Assicurarsi che gli investimenti e le priorità di sicurezza si traducano in risultati misurabili attraverso una chiara pianificazione, architettura e procedure operative. Gli scenari aziendali sono in genere mappati a più discipline di sicurezza. |
| Pilastri tecnologici | Implementatori e partner tecnici e di sicurezza. | Definire quali tipi di asset devono essere protetti e in quali ambiti devono essere applicati i principi Zero Trust e i controlli di sicurezza. Connettere la strategia di sicurezza all'implementazione raggruppando tecnologie, controlli e funzionalità correlate. È probabile che gli scenari aziendali attraversino più pilastri tecnologici. Ad esempio, se il risultato aziendale consiste nel migliorare il comportamento di sicurezza in tutta l'azienda, è necessario migliorare il comportamento tra dispositivi, dati, infrastruttura, reti e altro ancora. |
Linee guida per l'adozione
Le linee guida per l'adozione strutturata sono incentrate su:
- Linee guida complete per i più comuni scenari critici per l'azienda.
- Raccomandazioni indipendenti dal prodotto basate su principi Zero Trust, procedure consigliate Microsoft e framework esterni.
- Indicazioni dettagliate sull'implementazione usando Microsoft prodotti e servizi di sicurezza.
Passaggi successivi
Esaminare le opzioni per iniziare il percorso di adozione della sicurezza.