Notatka
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano sposób ustanawiania lub modernizacji strategii zabezpieczeń, integracji i ładu. Ta dyscyplina zapewnia kierunek, koordynację i trwały nadzór w ramach programu modernizacji zabezpieczeń, umożliwiając organizacjom przechodzenie poza rozdrobnione mechanizmy kontroli w kierunku spójnych, opartych na wynikach stanu zabezpieczeń.
Dyscypliny zabezpieczeń to grupy powiązanych prac związanych z zabezpieczeniami, które pomagają organizacjom spójnie dostarczać wyniki zabezpieczeń w całej infrastrukturze technologicznej. W ramach modelu wdrażania zabezpieczeń dyscypliny pomagają zapewnić most między scenariuszami biznesowymi a implementacją techniczną, zapewniając, że inwestycje w zabezpieczenia przekładają się na rzeczywiste mierzalne wyniki w ramach modelu wdrażania zabezpieczeń.
Dlaczego ta dyscyplina?
Wiele organizacji podchodzi do ładu w zakresie zabezpieczeń za pomocą tradycyjnych modeli zapewniania ładu, ryzyka i zgodności (GRC), które priorytetują inspekcje i zgodność zewnętrzną. Chociaż jest to konieczne, te klasyczne podejścia GRC często nie zarządzają ryzykiem rzeczywistych zdarzeń, które powodują zakłócenia operacyjne, utratę danych, koszty odzyskiwania i szkody reputacji.
Dziedzina strategii bezpieczeństwa, integracji i ładu organizacyjnego unowocześnia ten model, czyniąc bezpieczeństwo integralną częścią procesu podejmowania decyzji i działalności operacyjnej organizacji, a nie odrębną lub reaktywną funkcją.
Dyscyplina łączy trzy podstawowe elementy:
- Strategia: Definiuje wyniki zabezpieczeń, priorytety, kompromis i środki sukcesu dostosowane do celów biznesowych, tolerancji ryzyka i zobowiązań regulacyjnych.
- Integracja: osadza zabezpieczenia w strategii biznesowej, modelach operacyjnych, środowiskach technologicznych, procesach ładu i szerszym ekosystemie biznesowym.
- Ład: utrzymuje i stale ulepsza program zabezpieczeń poprzez jasne prawa decyzyjne, odpowiedzialność, pomiar i nadzór.
Bez skutecznej strategii, integracji i ładu programy zabezpieczeń często nie mają jasnego kierunku i koordynacji. Ta luka prowadzi do słabej priorytetyzacji, niespójnego wykonywania, marnowania i duplikowania pracy, zwiększonej częstotliwości i wpływu zdarzeń oraz podwyższonego ryzyka organizacyjnego.
Aby była skuteczna, ta dyscyplina zapewnia, że zasady Zero Trust są stosowane spójnie we wszystkich obszarach bezpieczeństwa i w całym cyklu życia bezpieczeństwa. Zamiast wdrażać odizolowane rozwiązania techniczne, SIG dostosowuje decyzje, zabezpieczenia i operacje do wspólnego modelu bezpieczeństwa.
Na poniższym diagramie przedstawiono, w jaki sposób dyscyplina Strategia zabezpieczeń, Integracja i Ład umożliwia odporność zabezpieczeń przez spójne stosowanie zasad Zero Trust w różnych dyscyplinach zabezpieczeń i w całym cyklu życia zabezpieczeń.
Misja i wyniki
Dziedzina Strategia zabezpieczeń, integracja i nadzór zapewnia kierunek, integrację i nadzór w całym cyklu życia programu zabezpieczeń. Umożliwia ona organizacjom:
- Ustaw wyraźną wizję zabezpieczeń i kierunek: Zdefiniuj wyniki zabezpieczeń, priorytety i kompromisy dostosowane do celów biznesowych, tolerancji ryzyka i zobowiązań regulacyjnych. Wypracuj wspólne rozumienie tego, jak wygląda dobry poziom bezpieczeństwa w organizacji i jak mierzy się sukces. Zaktualizuj to zrozumienie zgodnie z potrzebami.
- Integrowanie zabezpieczeń z organizacją: osadzanie zabezpieczeń w planowaniu biznesowym, strategii technologicznej, architekturze, rozwoju, operacjach i ekosystemach partnerskich, dzięki czemu nie jest traktowana jako funkcja pokutna ani autonomiczna.
- Nadzorowanie decyzji i inwestycji w obszarze bezpieczeństwa: Określ uprawnienia decyzyjne, zakres odpowiedzialności, zasady, standardy i mierniki sukcesu, które umożliwiają spójne ustalanie priorytetów i realizację działań w zespołach ds. bezpieczeństwa i technologii.
- Zapewnianie lepszych, szybszych decyzji biznesowych: pełnienie roli centralnego centrum kontekstu ryzyka bezpieczeństwa, pomaga liderom w równoważeniu szans, ryzyka i kosztów oraz mówienie "tak, bezpiecznie" do nowych inicjatyw.
- Popraw priorytetyzację i koncentrację: Przełóż priorytety biznesowe na konkretną strategię bezpieczeństwa, zasady i standardy, aby zespoły skupiały się na najważniejszych ryzykach, a nie na najbardziej widocznych lub pilnych problemach.
- Dostosuj się do zmian: Stale aktualizuj strategię, mapy drogowe, architektury i zasady zarządzania, aby reagować na ewoluujące zagrożenia, nowe technologie (w tym sztuczną inteligencję), zmiany regulacyjne i zmieniające się priorytety biznesowe.
- Zmniejszenie wpływu zdarzenia: zwiększanie spójności, koordynacji i odpowiedzialności w ramach programu zabezpieczeń, zmniejszanie częstotliwości i ważności zdarzeń oraz poprawianie wyników odzyskiwania.
Jak zastosować tę dyscyplinę
Aby skutecznie zastosować dyscyplinę Strategia, Integracja i Ład, skoncentruj się na ustanowieniu jasnego kierunku, odpowiedzialności i dostosowania w całej organizacji:
-
Definiowanie strategii zabezpieczeń dostosowanej do priorytetów biznesowych i ryzyka
Ustanów jasne cele, które odzwierciedlają cele organizacji, krytyczne zasoby i najważniejsze zagrożenia dla firmy -
Ustanawianie ładu i odpowiedzialności między zespołami
Definiowanie ról, obowiązków i struktur podejmowania decyzji w celu zapewnienia koordynacji i spójnego wykonywania działań związanych z bezpieczeństwem -
Ustal zasady i standardy, które wyznaczają spójny sposób działania
Podaj jasne oczekiwania, które zapewniają spójne stosowanie mechanizmów kontroli zabezpieczeń i praktyk w całej organizacji. -
Dopasowanie wysiłków związanych z zabezpieczeniami między dyscyplinami i inicjatywami
Upewnij się, że działania związane z architekturą, operacjami i inżynierią działają w kierunku wspólnych wyników, a nie działają w izolacji. -
Mierzenie postępu i ciągłe ulepszanie
Użyj metryk, szczegółowych informacji o ryzyku i informacji zwrotnych operacyjnych, aby śledzić skuteczność, zwiększać priorytety i uściślić strategię w czasie.
Zarządzanie zmianami organizacyjnymi
Ta dyscyplina ułatwia organizacjom zmianę zgodności pól wyboru w kierunku zarządzania ryzykiem dostosowanym do działalności biznesowej, a jednocześnie spełnianie zobowiązań regulacyjnych.
Modernizacja w ten sposób zmniejsza zmarnowane wysiłki na rzecz kontroli o niskiej wartości, wyjaśnia odpowiedzialność i zapewnia podejmowanie decyzji dotyczących bezpieczeństwa przez odpowiednich uczestników projektu z odpowiednim kontekstem. Z biegiem czasu sprawia to, że zabezpieczenia stają się łatwiejsze w zarządzaniu, skuteczniejsze i bardziej zrównoważone.
Organizacje mogą również rzucić starsze obciążenia — takie jak utrzymywanie nieskutecznych mechanizmów kontroli lub nieformalne absorbowanie odpowiedzialności za decyzje podejmowane w innym miejscu — i zastępowanie ich jaśniejszym, bardziej odpornym modelem operacyjnym.
Role i współpracownicy w dyscyplinie
Ta dyscyplina jest głównie własnością kierownictwa zabezpieczeń odpowiedzialnego za określanie kierunku, integrowanie zabezpieczeń z organizacją i zarządzanie wykonywaniem. W większych organizacjach te obowiązki są rozdzielane między formalne role i procesy. W mniejszych organizacjach role mogą być łączone, a strategia opracowywana w bardziej nieformalny sposób. Niezależnie od skali, zdecydowanie zaleca się dokumentowanie strategii podczas jej rozwoju.
Role podstawowe często obejmują:
- Dyrektor ds. zabezpieczeń informacji (CISO)
- Funkcjonariusze ds. bezpieczeństwa informacji biznesowych (BISO)
- Dyrektorzy ds. zabezpieczeń
- Architekci zabezpieczeń
Te role są obsługiwane przez funkcje, takie jak strategia zabezpieczeń, integracja i nadzór, edukacja i zaangażowanie, zarządzanie ryzykiem poufnym, zarządzanie stanem zabezpieczeń i zarządzanie zgodnością z zabezpieczeniami.
Skuteczne dostarczanie zależy od ścisłej współpracy w całej organizacji:
- Liderzy biznesowi zapewniają kontekst priorytetów i tolerancji ryzyka.
- Liderzy techniczni integrują zabezpieczenia ze strategiami technologicznymi i modelami operacyjnymi.
- Role architektury przekładają strategię na standardy i bariery ochronne oraz zapewniają informacje zwrotne dotyczące możliwości.
- Zespoły inżynieryjne i IT wdrażają wymagania poprzez implementację i utrzymanie.
- Operacje zabezpieczeń (SecOps) zapewniają ciągłą opinię na temat zdarzeń, zagrożeń i zachowania osoby atakującej w celu informowania o strategii i ładie.
Składniki dyscypliny
Dziedzina Strategia zabezpieczeń, integracja i ład obejmuje szeroki zestaw możliwości, które zapewniają spójne, wymierne wyniki zabezpieczeń.
| Zdolność | Szczegóły |
|---|---|
| Ciągła priorytetyzacja | Stale ustalaj priorytety wymagań dla następujących elementów: - Dopasowanie biznesowe: upewnij się, że zabezpieczenia są elementem obsługującym działalność biznesową. Wprowadzaj zmiany biznesowe niezbędne do zapewnienia bezpieczeństwa. - Dopasowanie technologii: Dopasowanie oceny ryzyka zabezpieczeń i zarządzania nimi przy użyciu technologii organizacyjnej. - Bezpieczeństwo zgodnie z projektem i domyślnie: Upewnij się, że zabezpieczenia są integralnym aspektem całego projektu systemu i procesu. - Zapewnij prywatność zgodnie z projektem/domyślnie: Upewnij się, że prywatność jest integralnym aspektem całego projektu systemu i procesu. - Zgodne z projektem/domyślnie: Upewnij się, że zgodność jest integralnym aspektem całego projektu systemu i procesu. |
| Ciągłe planowanie | Zachowaj zamierzone, regularnie aktualizowane plany zabezpieczeń i metryki sukcesu. |
| Integracja modelu operacyjnego biznesowego/technologicznego | Uwzględnij zabezpieczenia już na etapie tworzenia koncepcji, definiowania wymagań biznesowych, projektowania, tworzenia i eksploatacji, zamiast wdrażać mechanizmy kontrolne dopiero po wdrożeniu. |
| Integracja ryzyka w przedsiębiorstwie | Integrowanie zabezpieczeń w sposób identyfikowania, zarządzania i zgłaszania ryzyka kierownictwu, regulatorom i uczestnikom projektu. |
| Cykl życia i zarządzanie długami technicznymi | Zarządzanie ryzykiem zabezpieczeń z nieaktualnych, nieobsługiwanych i starszych technologii. |
| Symulacje zabezpieczeń strategicznych | Wzmacniaj procesy ćwiczeń typu tabletop i zarządzania kryzysowego poprzez regularne symulacje. |
| Podstawowe elementy ładu korporacyjnego | Zdefiniuj strukturę organizacyjną, prawa decyzyjne, odpowiedzialność, zasady, standardy, architektury, zabezpieczenia i zarządzanie zgodnością. |
| Udostępnianie analizy zabezpieczeń | Dodawanie kontekstu biznesowego do analizy zagrożeń i udostępnianie szczegółowych informacji między zespołami ds. zabezpieczeń, biznesu i technologii. |
| Zarządzanie ryzykiem zewnętrznym | Zarządzanie łańcuchem dostaw, partnerem, oprogramowaniem open source oraz ryzykiem fuzji i przejęcia. |
| Edukacja i zaangażowanie | Upewnij się, że role w całej organizacji rozumieją, dlaczego bezpieczeństwo ma znaczenie, co jest wymagane i jak działać. |
| Zarządzanie ryzykiem wewnętrznym | Zarządzanie ryzykiem ze strony autoryzowanych użytkowników, którzy mogą celowo lub przypadkowo spowodować szkody. |
| Nadzór nad operacjami zabezpieczeń | Zapewniaj nadzór nad zarządzaniem postawą bezpieczeństwa, operacjami i architekturą oraz oceniaj, czy mechanizmy kontrolne są skutecznie wdrożone i utrzymywane. |
Spójność z innymi dyscyplinami
Dziedzina Strategia zabezpieczeń, Integracja i Ład działa we wszystkich innych dyscyplinach zabezpieczeń. Jego rolą nie jest zastąpienie lub zduplikowanie ich obowiązków, ale zapewnienie nadzoru, który umożliwia, integruje, priorytetuje i monitoruje spójne wyniki w ramach programu zabezpieczeń.
| Discipline | roli |
|---|---|
| Kompleksowa architektura zabezpieczeń | Przekłada strategię i politykę na skoordynowane podejście techniczne. Pomaga to zapewnić, że strategia jest w stanie podejmować działania, określać priorytety i wyraźnie komunikować się z zespołami technologicznymi. |
| Dyscypliny strategii technicznej | Zapewnia, że decyzje techniczne są zgodne z priorytetami biznesowymi, tolerancją ryzyka i polityką, a kompromisy podejmowane celowo, a nie w izolacji. |
| Dyscypliny operacyjne | Łączy sygnały operacyjne — zdarzenia, wykrycia, zachowanie osoby atakującej — z powrotem do decyzji przywódczych, co umożliwia ciągłe ulepszanie strategii i kontroli. |
Dopasowanie do filarów technologii
Na poziomie filaru technologii dziedzina Strategia zabezpieczeń, integracja i nadzór zapewnia następujące kwestie:
- Mechanizmy kontroli są zgodne ze strategią organizacyjną, zasadami i standardami.
- Implementacja pozostaje spójna z upływem czasu i nie odbiega od założeń.
- Ciągłe ulepszanie jest oparte na strategii, integracji i zapewnianiu ładu.
Jest on zgodny z tymi filarami technologii:
- Identities: Definiuje priorytety ryzyka tożsamości, zasady dostępu (w tym uprzywilejowany dostęp), standardy cyklu życia i miary sukcesu dopasowane do Zero Trust.
- Punkty końcowe/infrastruktura: ustawia wymagania dotyczące cyklu życia, konserwacji i wycofywania w celu zarządzania ryzykiem zabezpieczeń między punktami końcowymi i platformami infrastruktury.
- Aplikacje: określa spójne standardy pozyskiwania, tworzenia, wdrażania i cyklu życia dla aplikacji SaaS i aplikacji niestandardowych.
- Dane: definiuje priorytety ochrony danych, klasyfikację, modele dostępu i ład dostosowane do wartości biznesowej i ryzyka.
- Sieć: Zapewnia, że konfiguracje sieci i mechanizmy kontrolne wspierają strategie oparte na tożsamości, przy jednoczesnym zarządzaniu ryzykiem związanym z tradycyjną i nowoczesną infrastrukturą sieciową.
- Sztuczna inteligencja: aktualizuje strategię zabezpieczeń, umiejętności, narzędzia i ład, aby sprostać zagrożeniom związanym z użyciem sztucznej inteligencji i zagrożeniami wspomaganym przez sztuczną inteligencję.
Następne kroki
Zalecamy podjęcie warsztatów CISO.
Warsztaty CISO pomagają przyspieszyć modernizację strategii zabezpieczeń, integracji i ładu. Warsztaty są dostępne jako usługa prowadzona przez ekspertów w ramach Microsoft Unified.
Dostępne warsztaty obejmują:
- Briefing CISO — mniej niż czterogodzinna dyskusja koncentruje się na kluczowych naukach i najlepszych rozwiązaniach.
- Full CISO Workshop — dwudniowe warsztaty, które zawierają dodatkowe szczegóły, analizę przypadku Microsoft, dyskusje dotyczące modelu dojrzałości i plany modernizacji referencyjnej.
Aby uzyskać więcej informacji, skontaktuj się z menedżerem konta sukcesu klienta.
Warsztaty CISO są również dostępne dla samoobsługi jako seria filmów wideo. Dowiedz się więcej