Functie van cloudbeveiligingsbeleid en -standaarden

Beveiligingsbeleid en standaardenteams schrijven, goedkeuren en publiceren beveiligingsbeleid en -standaarden om beveiligingsbeslissingen binnen de organisatie te begeleiden.

Het beleid en de standaarden moeten:

  • Reflect de beveiligingsstrategie van organisaties op een gedetailleerde manier om beslissingen in de organisatie door verschillende teams te begeleiden
  • Productiviteit in de hele organisatie mogelijk maken, terwijl het risico voor het bedrijf en de missie van de organisatie wordt verminderd

Beveiligingsbeleid moet duurzame doelstellingen op de lange termijn weerspiegelen die zijn afgestemd op de beveiligingsstrategie en risicotolerantie van organisaties. Het beleid moet altijd het volgende adres hebben:

  • Nalevingsvereisten en huidige nalevingsstatus (vereisten waaraan is voldaan, geaccepteerde risico's, enzovoort.)
  • Architectuurbeoordeling van de huidige status en wat technisch mogelijk is om te ontwerpen, implementeren en af te dwingen
  • Organisatiecultuur en voorkeuren
  • Aanbevolen procedures voor de branche
  • Verantwoordelijkheid voor beveiligingsrisico's die zijn toegewezen aan de juiste zakelijke belanghebbenden die verantwoordelijk zijn voor andere risico's en bedrijfsresultaten.

Beveiligingsstandaarden definiëren de processen en regels ter ondersteuning van de uitvoering van het beveiligingsbeleid.

Modernisering

Hoewel het beleid statisch moet blijven, moeten standaarden dynamisch en continu worden herzien om de veranderingen in cloudtechnologie, bedreigingsomgeving en het concurrentielandschap van het bedrijf bij te houden.

Vanwege deze hoge mate van verandering moet u goed in de gaten houden hoeveel uitzonderingen er worden gemaakt, omdat dit kan duiden op de noodzaak om standaarden (of beleid) aan te passen.

Beveiligingsstandaarden moeten richtlijnen bevatten die specifiek zijn voor de acceptatie van de cloud, zoals:

  • Veilig gebruik van cloudplatforms voor het hosten van workloads
  • Veilig gebruik van DevOps-model en -opname van cloudtoepassingen, API's en services in ontwikkeling
  • Het gebruik van identiteitsperimeterbesturingselementen om netwerkperimeterbesturingselementen aan te vullen of te vervangen
  • Uw segmentatiestrategie definiëren voordat u uw workloads naar het IaaS-platform verplaatst
  • De vertrouwelijkheid van assets taggen en classificeren
  • Het proces definiëren voor het beoordelen en controleren van uw assets is geconfigureerd en goed beveiligd

Teamsamenstelling en sleutelrelaties

Cloudbeveiligingsbeleid en -standaarden worden doorgaans geleverd door de volgende typen rollen. Het organisatiebeleid moet informeren (en worden geïnformeerd door):

  • Beveiligingsarchitecturen
  • Compliance- en risicobeheerteams
  • Leidinggevenden en vertegenwoordigers van de bedrijfseenheid
  • Informatietechnologie
  • Audit- en juridische teams

Het beleid moet worden verfijnd op basis van veel invoer/vereisten van de hele organisatie, met inbegrip van maar niet beperkt tot die in het overzichtsdiagram van de beveiliging.

Volgende stappen

Bekijk de functie van een Cloud Security Operations Center (SOC).