Funkcja zasad i standardów zabezpieczeń w chmurze

Zespoły ds. zasad zabezpieczeń i standardów umożliwiają tworzenie, zatwierdzanie i publikowanie zasad zabezpieczeń oraz standardów w celu kierowania decyzjami dotyczącymi zabezpieczeń w organizacji.

Zasady i standardy powinny:

  • Emocje strategii zabezpieczeń organizacji w wystarczająco szczegółowy sposób kierowania decyzjami w organizacji przez różne zespoły
  • Zapewnianie produktywności w całej organizacji przy jednoczesnym zmniejszeniu ryzyka biznesowego i misji organizacji

Zasady zabezpieczeń powinny odzwierciedlać długoterminowe zrównoważone cele, które są zgodne ze strategią zabezpieczeń organizacji i tolerancją ryzyka. Zasady powinny zawsze adresować:

  • Wymagania dotyczące zgodności z przepisami i bieżący stan zgodności (spełnione wymagania, zaakceptowane ryzyko itd.)
  • Ocena architektury bieżącego stanu i to, co jest technicznie możliwe do projektowania, implementowania i wymuszania
  • Kultura i preferencje organizacyjne
  • Najlepsze rozwiązania branżowe
  • Odpowiedzialność za ryzyko bezpieczeństwa przypisane do odpowiednich uczestników projektu biznesowego, którzy są odpowiedzialni za inne zagrożenia i wyniki biznesowe.

Standardy zabezpieczeń definiują procesy i reguły do obsługi wykonywania zasad zabezpieczeń.

Modernizacja

Chociaż zasady powinny pozostać statyczne, standardy powinny być dynamiczne i stale ponownie odwiedzane, aby nadążyć za zmianami w technologii chmury, środowisku zagrożeń i konkurencyjnym środowisku biznesowym.

Ze względu na tę wysoką częstotliwość zmian należy uważnie obserwować liczbę wyjątków, ponieważ może to wskazywać na konieczność dostosowania standardów (lub zasad).

Standardy zabezpieczeń powinny zawierać wskazówki specyficzne dla wdrożenia chmury, takie jak:

  • Bezpieczne korzystanie z platform w chmurze na potrzeby hostowania obciążeń
  • Bezpieczne korzystanie z modelu DevOps i dołączania aplikacji w chmurze, interfejsów API i usług w programowania
  • Używanie kontrolek obwodowych tożsamości do uzupełniania lub zastępowania kontrolek obwodowych sieci
  • Definiowanie strategii segmentacji przed przeniesieniem obciążeń na platformę IaaS
  • Tagowanie i klasyfikowanie poufności zasobów
  • Definiowanie procesu oceny i upewnienia się, że zasoby są prawidłowo skonfigurowane i zabezpieczone

Kompozycja zespołu i kluczowe relacje

Zasady i standardy zabezpieczeń w chmurze są często udostępniane przez następujące typy ról. Zasady organizacyjne powinny informować (i być informowane przez):

  • Architektury zabezpieczeń
  • Zespoły ds. zgodności i zarządzania ryzykiem
  • Kierownictwo i przedstawiciele jednostki biznesowej
  • Technologie informatyczne
  • Zespoły kontrolne i prawne

Zasady powinny być uściśliwane na podstawie wielu danych wejściowych/wymagań z całej organizacji, w tym nie tylko do tych przedstawionych na diagramie przeglądu zabezpieczeń.

Następne kroki

Przejrzyj funkcję centrum operacji zabezpieczeń w chmurze (SOC).