Treinamento do Workshop do CISO (Diretor de Segurança da Informação)

  • Artigo

O Workshop do CISO (Diretor de Segurança da Informação) ajuda a acelerar a modernização do programa da segurança com estratégias de referência pautadas pelos princípios de Confiança Zero.

O workshop aborda todos os aspectos de um programa de segurança abrangente, incluindo iniciativas estratégicas, funções e responsabilidades, métricas de sucesso, modelos de maturidade e muito mais. Vídeos e slides podem ser encontrados aqui.

Overview of the CISO workshop

Os clientes com o Suporte Unificado da Microsoft podem entrar em contato com o CSAM (Gerente de Contas de Sucesso do Cliente) para solicitar a entrega do Workshop do CISO (Sessão de previsão para segurança de ponta a ponta).

Por que você deve assistir a este workshop?

Você receberá conselhos práticos sobre como aumentar rapidamente a maturidade do seu programa de segurança, a postura de segurança e a capacidade de responder rapidamente a ataques. Essas práticas recomendadas, referências e outras diretrizes são baseadas em lições do mundo real aprendidas por nossos clientes e pelas equipes de segurança interna da Microsoft.

Quem deve assistir a este workshop?

O workshop é útil para equipes de segurança, equipes de TI, líderes de negócios e equipes de nuvem, mas é focado principalmente em:

  • CISO + Diretores de Segurança - modernizar a estratégia de segurança e os componentes do programa, integrar a segurança em uma organização maior.
  • CIO + Diretores de TI - integrar a segurança ao programa de tecnologia, à nuvem e a outras iniciativas.
  • Enterprise + Arquitetos de Segurança - e outras funções com amplas responsabilidades de estratégia/tecnologia.

Observação

Os vídeos do Workshop do CISO são modulares, ou seja, você pode pular para qualquer seção do seu interesse ou começar do início.

O que há no workshop?

Diretrizes sobre como alinhar a segurança às prioridades de negócios, plataformas de tecnologia, cenário de ameaças e ferramentas de segurança em constante mudança. O workshop inclui estratégias e planos de referência, lições aprendidas e antipadrões/armadinhas baseados em projetos do mundo real.

Os vídeos (cerca de 4 horas no total) e os slides do workshop estão organizados nestas discussões:

  • Introdução e visão geral do Workshop do CISO
  • Parte A - Contexto principal e fundamentos
    • Tendências que afetam a segurança provenientes do ambiente de ameaças, da tecnologia e das transformações dos negócios
    • Evolução dos direitos de acesso e responsabilidades, incluindo as principais práticas recomendadas e tendências a serem monitoradas
    • Estratégia recomendada e iniciativas estratégicas para melhorar seu programa: o papel da Confiança Zero na estratégia, o (baixo) custo para os invasores comprarem ferramentas e senhas, aprendizados sobre como obter informações confiáveis e uma análise de negócios de ataques de ransomware.
  • Parte B - Alinhamento de Negócios
    • Envolver líderes de negócios em segurança – diretrizes para ter uma conversa na linguagem dos líderes para explicar a segurança, as principais métricas para medir o sucesso de um programa e como obter suporte para as metas de segurança.
    • Risk Insights – discute a dupla missão da segurança para reduzir o risco para a organização e habilitar metas de negócios, compartilha dicas sobre como alinhar as metas de negócios de segurança e o risco de negócios e compartilha insights sobre os tipos de motivações de invasores que a organização enfrenta.
    • Integração de segurança - diretrizes para integrar com sucesso as equipes de segurança e integrar a segurança aos processos de TI e de negócios. Incluir uma discussão aprofundada sobre como construir um programa de gerenciamento de postura – uma equipe operacional focada em controles preventivos (que complementa a equipe de operações de segurança (SecOps/SOC) focada em detecção, resposta e recuperação)
    • Resiliência de negócios – discute como a resiliência de negócios é a estrela norte do programa de segurança em todas as disciplinas de segurança que requer o equilíbrio dos investimentos em segurança (antes, durante e depois de um incidente) e a criação de um forte loop de feedback. Esta seção também inclui a discussão do impacto de estratégias desequilibradas (um antipadrão comum).
    • Modelos de maturidade que descrevem jornadas do mundo real para insights de risco, integração de segurança e resiliência de negócios – incluir ações concretas específicas para ajudá-lo a avançar para o próximo nível
  • Parte C – Disciplinas de segurança
    • Controle de acesso - discute como a abordagem de Confiança Zero está transformando o controle de acesso, incluindo a convergência de identidade e acesso à rede em uma única abordagem coerente, e o surgimento do modelo Conhecido-Confiável-Permitido (que atualiza a abordagem clássica de autenticação/autorização).
    • Operações de segurança – discute os principais aspectos de liderança de uma capacidade de operações de segurança, geralmente chamada de SecOps ou um SOC (centro de operações de segurança), incluindo métricas críticas de sucesso, principais pontos de contato com líderes e funções de negócios e os elementos culturais mais importantes.
    • Proteção de ativos – discute duas urgências principais das equipes que gerenciam e protegem ativos (geralmente operações de TI ou operações de carga de trabalho em DevOps). Essas equipes devem priorizar o trabalho de segurança com base na criticidade dos negócios e devem se esforçar para escalar com eficiência a segurança em todo o conjunto de ativos no estado técnico, que é grande, crescente e em constante evolução.
    • Governança de segurança – discute o papel da governança de segurança como uma ponte entre o mundo das metas de negócios e a tecnologia e como esse papel está mudando com o advento das transformações de nuvem, digital e confiança zero. Esta seção também aborda os principais componentes da governança de segurança, incluindo risco, conformidade, arquitetura de segurança, gerenciamento de postura, inteligência (estratégica) de ameaças e muito mais.
    • Segurança da inovação - discussão de como a segurança de aplicativos evolui para uma abordagem moderna (incluindo DevSecOps) e as principais áreas de foco para impulsionar o sucesso dessa capacidade.
    • Modelos de maturidade de governança de segurança que descrevem jornadas do mundo real para arquitetura de segurança, gerenciamento de postura e manutenção de segurança de TI – incluindo ações concretas específicas para ajudá-lo a passar para o próximo nível
    • Próximos passos/fechamento – encerra o workshop com as principais vitórias rápidas e próximas etapas

Observação

Os módulos da Sessão de Design de Arquitetura discutidos no vídeo ainda não foram publicados

Observação

A versão anterior do Workshop do CISO está arquivada e disponível aqui

Próximas etapas

Continue sua jornada como parte da Estrutura de Adoção de Segurança.