Funções de segurança da cloud

As funções são tarefas e responsabilidades fundamentais para uma organização. Por outras palavras, as funções são "tarefas a serem feitas".

Este artigo fornece um resumo das funções organizacionais necessárias para gerir o risco de segurança de informações numa empresa. Estas funções e responsabilidades formam a parte humana de um sistema global de cibersegurança.

A segurança é um desporto de equipa

Os indivíduos da equipa de segurança têm de trabalhar em conjunto e ver-se como partes integrais de toda a organização. Também fazem parte de uma comunidade de segurança maior que defende contra os mesmos adversários.

Esta visão de mundo holística ajuda a equipa a trabalhar através de eventuais lacunas não planeadas e sobreposições detetadas durante a evolução das funções e responsabilidades.

Tipos de funções de segurança

O diagrama seguinte ilustra funções organizacionais específicas dentro da segurança. As funções representadas representam uma vista ideal de uma equipa de segurança empresarial completa. As equipas de segurança com recursos limitados podem não ter responsabilidades formais definidas em torno de todas estas funções. Cada função pode ser executada por uma ou mais pessoas e cada pessoa pode desempenhar uma ou mais funções consoante fatores como cultura, orçamento e recursos disponíveis.

Pode saber mais sobre cada função nos seguintes artigos. Incluem um resumo dos objetivos, como a função pode evoluir e as relações e dependências que são fundamentais para o seu sucesso.

• Política e normas
• Operações de segurança
• Arquitetura de segurança
• Gestão de conformidade de segurança
• Segurança das pessoas
• Segurança das aplicações e DevSecOps
• Segurança de dados
• Segurança de infraestrutura e pontos finais
• Gestão de identidades e chaves
• Informações sobre ameaças
• Gestão de postura
• Preparação de incidentes

Funções e responsabilidades

As funções e responsabilidades de segurança são referenciadas em toda a documentação da Microsoft, incluindo a Referência de Segurança do Azure, o plano de modernização rápida para proteger o acesso privilegiado e as melhores práticas de segurança do Azure.

O diagrama seguinte mostra como estas funções mapeiam a tipos de função numa organização:

Mapear a segurança para resultados empresariais

A nível organizacional, as disciplinas de segurança são mapeadas para fases padrão de execução de compilação de planos, vistas amplamente entre indústrias e organizações. A segurança é simultaneamente uma disciplina com as suas próprias funções exclusivas e um elemento crítico para integrar em operações comerciais normais.

Tipos de função

No diagrama, as responsabilidades são organizadas em funções típicas que têm conjuntos de competências comuns e perfis de carreira. Estes agrupamentos também ajudam a fornecer clareza sobre a forma como as tendências do setor afetam os profissionais de segurança:

• Liderança de segurança: Estas funções abrangem frequentemente funções, garantindo que as equipas se coordenam entre si. Também fornecem priorização e definem normas culturais, políticas e normas de segurança.
• Arquiteto de segurança: Estas funções abrangem funções e fornecem uma capacidade de governação fundamental para garantir que todas as funções técnicas funcionam harmoniosamente numa arquitetura consistente.
• Postura de segurança e conformidade: Um tipo de função mais recente que representa a convergência dos relatórios de conformidade com disciplinas de segurança tradicionais, como a gestão de vulnerabilidades e as linhas de base de configuração. Embora o âmbito e a audiência sejam diferentes para relatórios de segurança e conformidade, ambos medem a segurança da organização. A forma como essa pergunta é respondida é cada vez mais semelhante através de ferramentas como a Classificação de Segurança da Microsoft e Microsoft Defender para a Cloud:
  • A utilização de feeds de dados a pedido dos serviços cloud reduz o tempo necessário para comunicar a conformidade.
  • O maior âmbito dos dados disponíveis está a permitir que a governação de segurança analise além das atualizações de software tradicionais e descubra vulnerabilidades de configurações de segurança e práticas operacionais.
• Engenheiro de segurança da plataforma: Estas funções de tecnologia focam-se em plataformas que alojam várias cargas de trabalho, tanto no controlo de acesso como na proteção de recursos. Estas funções são frequentemente agrupadas em equipas com conjuntos de competências técnicas especializadas, incluindo segurança de rede, infraestrutura e pontos finais, gestão de identidades e chaves, entre outros. Estas equipas trabalham tanto em controlos preventivos como em controlos de detetive, sendo que os controlos de detetive são uma parceria com a SecOps e controlos preventivos sendo principalmente uma parceria com operações de TI. Para obter mais informações, veja Integração de segurança.
• Engenheiro de segurança de aplicações: Estas funções de tecnologia focam-se nos controlos de segurança para cargas de trabalho específicas, suportando modelos de desenvolvimento clássicos e modelos de DevOps/DevSecOps modernos. Misturam competências de segurança de aplicação/desenvolvimento para competências de código e infraestrutura exclusivas para componentes técnicos comuns, como VMs, bases de dados e contentores. Estas funções podem estar localizadas em organizações de TI ou de segurança centrais ou em equipas empresariais e de desenvolvimento, consoante os fatores organizacionais.

Nota

À medida que o DevOps e as tendências de infraestrutura como código progridem, alguns talentos de segurança provavelmente migrarão das equipas de engenharia de segurança da plataforma para equipas de segurança de aplicações e funções de gestão de postura. O modelo de DevOps requer competências de segurança de infraestrutura, como proteger as operações no DevOps. As equipas de governação também exigirão estas competências e experiência para monitorizar eficazmente a postura de segurança técnica em tempo real. Além disso, a infraestrutura como código automatiza tarefas técnicas manuais repetitivas, reduzindo o tempo necessário para estas competências nas funções de engenheiro de segurança da plataforma (embora aumentando a necessidade de grandes conjuntos de competências técnicas e competências de automatização ou scripting).

Passos seguintes

Saiba mais sobre segurança no Microsoft Cloud Adoption Framework.