Functie van cloudbeveiligingsbeleid en -standaarden
Beveiligingsbeleids- en standaardenteams ontwerpen, goedkeuren en publiceren beveiligingsbeleid en -standaarden om beveiligingsbeslissingen binnen de organisatie te nemen.
Het beleid en de normen moeten:
- Weerspiegel de beveiligingsstrategie van de organisatie op een gedetailleerde manier die voldoende is om beslissingen in de organisatie door verschillende teams te begeleiden
- Productiviteit in de hele organisatie mogelijk maken en tegelijkertijd de risico's voor het bedrijf en de missie van de organisatie verminderen
Beveiligingsbeleid moet duurzame langetermijndoelstellingen weerspiegelen die zijn afgestemd op de beveiligingsstrategie en risicotolerantie van de organisatie. Het beleid moet altijd betrekking hebben op:
- Nalevingsvereisten voor regelgeving en de huidige nalevingsstatus (voldaan aan vereisten, geaccepteerde risico's, enzovoort).)
- Architectuurbeoordeling van de huidige status en wat er technisch mogelijk is om te ontwerpen, implementeren en af te dwingen
- Organisatiecultuur en voorkeuren
- Best practices voor de branche
- Verantwoordelijkheid voor beveiligingsrisico's die zijn toegewezen aan de juiste zakelijke belanghebbenden die verantwoordelijk zijn voor andere risico's en bedrijfsresultaten.
Beveiligingsstandaarden definiëren de processen en regels ter ondersteuning van de uitvoering van het beveiligingsbeleid.
Modernisering
Hoewel het beleid statisch moet blijven, moeten standaarden dynamisch zijn en voortdurend worden herzien om gelijke tred te houden met de veranderingen in cloudtechnologie, bedreigingsomgevingen en het concurrentielandschap van het bedrijf.
Vanwege deze hoge snelheid van wijzigingen moet u goed in de gaten houden hoeveel uitzonderingen er worden gemaakt, omdat dit kan duiden op de noodzaak om standaarden (of beleid) aan te passen.
Beveiligingsstandaarden moeten richtlijnen bevatten die specifiek zijn voor de overstap naar de cloud, zoals:
- Veilig gebruik van cloudplatforms voor het hosten van workloads
- Veilig gebruik van DevOps-model en opname van cloudtoepassingen, API's en services in ontwikkeling
- Gebruik van identiteitsperimeterbesturingselementen om netwerkperimeterbesturingselementen aan te vullen of te vervangen
- Uw segmentatiestrategie definiëren voordat u uw workloads naar het IaaS-platform verplaatst
- De gevoeligheid van assets taggen en classificeren
- Definieer het proces voor het beoordelen en controleren of uw assets correct zijn geconfigureerd en beveiligd
Teamsamenstelling en sleutelrelaties
Cloudbeveiligingsbeleid en -standaarden worden doorgaans geleverd door de volgende typen rollen. Het organisatiebeleid moet informeren (en worden geïnformeerd door):
- Beveiligingsarchitecturen
- Compliance- en risicobeheerteams
- Het leiderschap en de vertegenwoordigers van de bedrijfseenheid
- Informatietechnologie
- Audit- en juridische teams
Het beleid moet worden verfijnd op basis van veel invoer/vereisten uit de hele organisatie, met inbegrip van maar niet beperkt tot de invoer die wordt weergegeven in het beveiligingsoverzichtsdiagram.
Volgende stappen
Controleer de functie van een Cloud Security Operations Center (SOC).
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub-problemen geleidelijk uitfaseren als het feedbackmechanisme voor inhoud en deze vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor