Funkcje zabezpieczeń w chmurze

Funkcje to zadania i obowiązki, które są kluczem do organizacji. Innymi słowy, funkcje są "zadaniami do wykonania".

Ten artykuł zawiera podsumowanie funkcji organizacyjnych wymaganych do zarządzania ryzykiem zabezpieczeń informacji w przedsiębiorstwie. Te role i obowiązki stanowią ludzką część ogólnego systemu cyberbezpieczeństwa.

Bezpieczeństwo to sport zespołowy

Osoby w zespole ds. zabezpieczeń muszą współpracować i postrzegać siebie jako integralną część całej organizacji. Są one również częścią większej społeczności zabezpieczeń chroniącej przed tymi samymi przeciwnikami.

Ten całościowy światopogląd pomaga zespołowi pracować nad wszelkimi nieplanowanymi lukami i nakładającymi się na siebie podczas ewolucji ról i obowiązków.

Typy funkcji zabezpieczeń

Na poniższym diagramie przedstawiono określone funkcje organizacyjne w ramach zabezpieczeń. Przedstawione funkcje reprezentują idealny widok kompletnego zespołu ds. zabezpieczeń przedsiębiorstwa. Zespoły ds. zabezpieczeń z ograniczonymi zasobami mogą nie mieć formalnych obowiązków zdefiniowanych wokół wszystkich tych funkcji. Każda funkcja może być wykonywana przez co najmniej jedną osobę, a każda osoba może wykonywać jedną lub więcej funkcji w zależności od czynników, takich jak kultura, budżet i dostępne zasoby.

Diagram funkcji zespołu ds. zabezpieczeń przedsiębiorstwa.

Więcej informacji na temat każdej funkcji można dowiedzieć się z poniższych artykułów. Obejmują one podsumowanie celów, sposób rozwoju funkcji oraz relacje i zależności, które mają kluczowe znaczenie dla jej sukcesu.

Role i obowiązki

Do ról zabezpieczeń i obowiązków odwołuje się w całej dokumentacji firmy Microsoft, w tym test porównawczy zabezpieczeń platformy Azure, plan szybkiej modernizacji w celu zabezpieczenia uprzywilejowanego dostępu oraz najlepsze rozwiązania w zakresie zabezpieczeń platformy Azure.

Na poniższym diagramie przedstawiono sposób mapowania tych funkcji na typy ról w organizacji:

Diagram ról zabezpieczeń i obowiązków.

Mapowanie zabezpieczeń na wyniki biznesowe

Na poziomie organizacyjnym dyscypliny zabezpieczeń są mapowane na standardowe fazy planowania i uruchamiania, które są szeroko spotykane w różnych branżach i organizacjach. Zabezpieczenia to zarówno dyscyplina z własnymi unikatowymi funkcjami , jak i elementem krytycznym do integracji z normalnymi operacjami biznesowymi.

Typy ról

Na diagramie obowiązki są zorganizowane w typowe role, które mają wspólne zestawy umiejętności i profile kariery. Te grupy pomagają również zapewnić jasność co do tego, w jaki sposób trendy branżowe wpływają na specjalistów ds. zabezpieczeń:

  • Kierownictwo ds. zabezpieczeń: Te role często obejmują funkcje, zapewniając, że zespoły koordynują się ze sobą. Zapewniają one również priorytetyzację i ustawianie norm kulturowych, zasad i standardów bezpieczeństwa.
  • Architekt zabezpieczeń: Te role obejmują funkcje i zapewniają kluczową możliwość zapewniania ładu, aby zapewnić, że wszystkie funkcje techniczne działają harmonijnie w spójnej architekturze.
  • Stan zabezpieczeń i zgodność: Nowszy typ roli reprezentujący zbieżność raportowania zgodności z tradycyjnymi dyscyplinami zabezpieczeń, takimi jak zarządzanie lukami w zabezpieczeniach i konfiguracje odniesienia. Chociaż zakres i odbiorcy różnią się w przypadku raportowania zabezpieczeń i zgodności, mierzą zabezpieczenia organizacji. Sposób odpowiedzi na to pytanie jest coraz bardziej podobny za pomocą narzędzi, takich jak wskaźnik bezpieczeństwa firmy Microsoft i usługa Microsoft Defender dla Chmury:
    • Korzystanie z źródeł danych na żądanie z usług w chmurze skraca czas wymagany do raportowania zgodności.
    • Zwiększony zakres dostępnych danych umożliwia nadzór nad zabezpieczeniami, aby wykraczać poza tradycyjne aktualizacje oprogramowania i wykrywać luki w zabezpieczeniach z konfiguracji zabezpieczeń i praktyk operacyjnych.
  • Inżynier zabezpieczeń platformy: Te role technologiczne koncentrują się na platformach hostujących wiele obciążeń — zarówno kontroli dostępu, jak i ochrony zasobów. Te role są często grupowane w zespoły z wyspecjalizowanymi zestawami umiejętności technicznych, w tym zabezpieczeń sieci, infrastruktury i punktów końcowych, zarządzania tożsamościami i kluczami oraz innych. Zespoły te pracują zarówno nad mechanizmami kontroli prewencyjnej, jak i mechanizmami kontroli detektywów, a mechanizmy kontroli detektywów są partnerstwem z secOps i mechanizmami kontroli prewencyjnej, będąc przede wszystkim partnerstwem z operacjami IT. Aby uzyskać więcej informacji, zobacz Integracja z zabezpieczeniami.
  • Inżynier zabezpieczeń aplikacji: Te role technologiczne koncentrują się na mechanizmach kontroli zabezpieczeń dla określonych obciążeń, obsługujących zarówno klasyczne modele programistyczne, jak i nowoczesny model DevOps/DevSecOps. Łączą umiejętności z zakresu zabezpieczeń aplikacji/programowania w celu uzyskania unikatowych umiejętności związanych z kodem i infrastrukturą dla typowych składników technicznych, takich jak maszyny wirtualne, bazy danych i kontenery. Te role mogą znajdować się w centralnych organizacjach IT lub organizacjach zabezpieczeń albo w zespołach biznesowych i programistycznych, w zależności od czynników organizacyjnych.

Uwaga

W miarę postępu trendów metodyki DevOps i infrastruktury jako kodu niektóre talenty zabezpieczeń prawdopodobnie przejdą z zespołów inżynierów zabezpieczeń platformy do zespołów ds. zabezpieczeń aplikacji i ról zarządzania stanem. Model DevOps wymaga umiejętności zabezpieczeń infrastruktury, takich jak zabezpieczanie operacji w metodyce DevOps. Zespoły ds. ładu będą również wymagać tych umiejętności i doświadczenia w celu efektywnego monitorowania stanu zabezpieczeń technicznych w czasie rzeczywistym. Ponadto infrastruktura jako kod automatyzuje powtarzalne zadania techniczne, skracając czas wymagany do tych umiejętności w rolach inżyniera zabezpieczeń platformy (chociaż zwiększa potrzebę szerokiego zakresu umiejętności technicznych i automatyzacji lub umiejętności skryptowych).

Następne kroki

Dowiedz się więcej o zabezpieczeniach w witrynie Microsoft Cloud Adoption Framework.