Udostępnij za pośrednictwem


Funkcje zabezpieczeń w chmurze

Funkcje to zadania i obowiązki, które są kluczem do organizacji. Innymi słowy, funkcje są "zadaniami do wykonania".

Ten artykuł zawiera podsumowanie funkcji organizacyjnych wymaganych do zarządzania ryzykiem bezpieczeństwa informacji w przedsiębiorstwie. Te role i obowiązki stanowią ludzką część ogólnego systemu cyberbezpieczeństwa.

Bezpieczeństwo jest sportem zespołowym

Osoby w zespole ds. zabezpieczeń muszą współpracować i postrzegać siebie jako integralne części całej organizacji. Są one również częścią większej społeczności bezpieczeństwa chroniącej przed tymi samymi przeciwnikami.

Ten całościowy światopogląd pomaga zespołowi pracować przez wszelkie nieplanowane luki i nakładają się na siebie podczas ewolucji ról i obowiązków.

Typy funkcji zabezpieczeń

Na poniższym diagramie przedstawiono określone funkcje organizacyjne w ramach zabezpieczeń. Przedstawione funkcje reprezentują idealny widok kompletnego zespołu ds. zabezpieczeń przedsiębiorstwa. Zespoły ds. zabezpieczeń z ograniczonymi zasobami mogą nie mieć formalnych obowiązków zdefiniowanych wokół wszystkich tych funkcji. Każda funkcja może być wykonywana przez co najmniej jedną osobę, a każda osoba może wykonywać co najmniej jedną funkcję w zależności od czynników, takich jak kultura, budżet i dostępne zasoby.

Diagram funkcji zespołu ds. zabezpieczeń przedsiębiorstwa.

Więcej informacji na temat każdej funkcji można uzyskać w poniższych artykułach. Obejmują one podsumowanie celów, sposób, w jaki funkcja może ewoluować, oraz relacje i zależności, które mają kluczowe znaczenie dla jego sukcesu.

Role i obowiązki

Role zabezpieczeń i obowiązki są przywołyzowane w całej dokumentacji firmy Microsoft, w tym test porównawczy zabezpieczeń platformy Azure, plan szybkiej modernizacji w celu zabezpieczenia uprzywilejowanego dostępu oraz najlepsze rozwiązania w zakresie zabezpieczeń platformy Azure.

Na poniższym diagramie przedstawiono sposób mapowania tych funkcji na typy ról w organizacji:

Diagram ról zabezpieczeń i obowiązków.

Mapowanie zabezpieczeń na wyniki biznesowe

Na poziomie organizacji dyscypliny zabezpieczeń są mapowane na standardowe fazy planowania i uruchamiania, które są szeroko widoczne w różnych branżach i organizacjach. Zabezpieczenia są zarówno dyscypliną z własnymi unikatowymi funkcjami , jak i krytycznym elementem do integracji z normalnymi operacjami biznesowymi.

Typy ról

Na diagramie obowiązki są zorganizowane w typowe role, które mają typowe zestawy umiejętności i profile kariery. Te grupy pomagają również zapewnić przejrzystość sposobu, w jaki trendy branżowe wpływają na specjalistów ds. zabezpieczeń:

  • Kierownictwo ds. zabezpieczeń: Te role często obejmują funkcje, zapewniając, że zespoły koordynują się ze sobą. Zapewniają również priorytetyzację i ustawiają normy kulturowe, zasady i standardy bezpieczeństwa.
  • Architekt zabezpieczeń: Te role obejmują funkcje i zapewniają kluczową możliwość zapewniania ładu, aby zapewnić, że wszystkie funkcje techniczne działają harmonijnie w spójnej architekturze.
  • Stan zabezpieczeń i zgodność: Nowszy typ roli reprezentujący zbieżność raportowania zgodności z tradycyjnymi dyscyplinami zabezpieczeń, takimi jak zarządzanie lukami w zabezpieczeniach i punkty odniesienia konfiguracji. Chociaż zakres i odbiorcy różnią się w przypadku raportowania zabezpieczeń i zgodności, zarówno mierzą zabezpieczenia organizacji. Sposób odpowiedzi na to pytanie jest coraz bardziej podobny za pomocą narzędzi, takich jak Wskaźnik bezpieczeństwa firmy Microsoft i Microsoft Defender dla chmury:
    • Użycie źródeł danych na żądanie z usług w chmurze skraca czas wymagany do raportowania zgodności.
    • Zwiększony zakres dostępnych danych umożliwia nadzór nad zabezpieczeniami, aby wykraczać poza tradycyjne aktualizacje oprogramowania i wykrywać luki w zabezpieczeniach z konfiguracji zabezpieczeń i praktyk operacyjnych.
  • Inżynier zabezpieczeń platformy: Te role technologiczne koncentrują się na platformach hostujących wiele obciążeń — zarówno kontroli dostępu, jak i ochrony zasobów. Te role są często grupowane w zespoły z wyspecjalizowanymi zestawami umiejętności technicznych, takimi jak zabezpieczenia sieci, infrastruktura i punkty końcowe, zarządzanie tożsamościami i kluczami oraz inne. Zespoły te pracują zarówno nad mechanizmami kontroli zapobiegawczej, jak i mechanizmami kontroli wykrywania, a detektywistycy są partnerstwem z secOps i mechanizmami kontroli zapobiegawczej, będąc przede wszystkim partnerem w zakresie operacji IT. Aby uzyskać więcej informacji, zobacz Integracja z zabezpieczeniami.
  • Inżynier zabezpieczeń aplikacji: Te role technologiczne koncentrują się na mechanizmach kontroli zabezpieczeń dla określonych obciążeń, obsługujących zarówno klasyczne modele programistyczne, jak i nowoczesny model DevOps/DevSecOps. Łączą umiejętności w zakresie zabezpieczeń aplikacji/programowania w celu uzyskania unikatowych umiejętności związanych z kodem i infrastrukturą dla typowych składników technicznych, takich jak maszyny wirtualne, bazy danych i kontenery. Te role mogą znajdować się w centralnych organizacjach IT lub organizacjach zabezpieczeń albo w zespołach biznesowych i programistycznych, w zależności od czynników organizacyjnych.

Uwaga

W miarę postępu trendów metodyki DevOps i infrastruktury jako kodu niektóre talenty zabezpieczeń prawdopodobnie migrują z zespołów inżynierów zabezpieczeń platformy do zespołów ds. zabezpieczeń aplikacji i ról zarządzania stanem. Model DevOps wymaga umiejętności zabezpieczeń infrastruktury, takich jak zabezpieczanie operacji w usłudze DevOps. Zespoły ds. ładu będą również wymagać tych umiejętności i doświadczenia w celu efektywnego monitorowania stanu zabezpieczeń technicznych w czasie rzeczywistym. Ponadto infrastruktura jako kod automatyzuje powtarzalne zadania techniczne, skracając czas wymagany dla tych umiejętności w rolach inżyniera zabezpieczeń platformy (choć zwiększa potrzebę szerokiego zestawu umiejętności technicznych i automatyzacji lub umiejętności skryptowych).

Następne kroki

Dowiedz się więcej o zabezpieczeniach w usłudze Microsoft Cloud Adoption Framework.