Função das normas e políticas de segurança da cloud
Política de segurança e normas as equipas criam, aprovam e publicam normas e políticas de segurança para orientar as decisões de segurança na organização.
As políticas e normas devem:
- Refletir a estratégia de segurança das organizações de uma forma suficientemente detalhada para orientar as decisões na organização por várias equipas
- Ativar a produtividade em toda a organização, ao mesmo tempo que reduz o risco para a empresa e missão das organizações
A política de segurança deve refletir objetivos sustentáveis a longo prazo que se alinham com a estratégia de segurança das organizações e a tolerância ao risco. A política deve sempre abordar:
- Requisitos de conformidade regulamentar e estado de conformidade atual (requisitos cumpridos, riscos aceites, etc.)
- Avaliação arquitetónica do estado atual e o que é tecnicamente possível conceber, implementar e impor
- Cultura e preferências organizacionais
- Melhores práticas do setor
- Responsabilidade pelo risco de segurança atribuído aos intervenientes empresariais adequados responsáveis por outros riscos e resultados empresariais.
As normas de segurança definem os processos e regras para suportar a execução da política de segurança.
Modernização
Embora a política deva permanecer estática, as normas devem ser dinâmicas e continuamente revisitadas para acompanhar o ritmo de mudança na tecnologia da cloud, no ambiente de ameaças e no panorama competitivo do negócio.
Devido a esta elevada taxa de alteração, deve estar atento ao número de exceções que estão a ser feitas, uma vez que tal pode indicar a necessidade de ajustar os padrões (ou a política).
As normas de segurança devem incluir orientações específicas para a adoção da cloud, como:
- Utilização segura de plataformas na cloud para alojar cargas de trabalho
- Utilização segura do modelo de DevOps e inclusão de aplicações na cloud, APIs e serviços em desenvolvimento
- Utilização de controlos de perímetro de identidade para complementar ou substituir controlos de perímetro de rede
- Definir a estratégia de segmentação antes de mover as cargas de trabalho para a plataforma IaaS
- Etiquetar e classificar a confidencialidade dos recursos
- Definir o processo para avaliar e garantir que os seus recursos estão configurados e protegidos corretamente
Composição da equipa e relações-chave
As normas e a política de segurança da cloud são normalmente fornecidas pelos seguintes tipos de funções. A política organizacional deve informar (e ser informada por):
- Arquiteturas de segurança
- Equipas de gestão de conformidade e riscos
- Liderança e representantes da unidade de negócio
- Tecnologia da informação
- Equipas jurídicas e de auditoria
A política deve ser refinada com base em muitas entradas/requisitos de toda a organização, incluindo, mas não restrita, às ilustradas no diagrama de descrição geral de segurança.
Passos seguintes
Reveja a função de um centro de operações de segurança na cloud (SOC).
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários