Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Nenhuma organização é igual à outra, e as empresas modernizam a segurança de formas diferentes, consoante os seus objetivos e prioridades, maturidade, cultura e apoio à liderança.
Este artigo descreve três padrões comuns para iniciar uma jornada de adoção de segurança Confiança Zero.
- De cima para baixo - Comece com uma estratégia de alto nível. Organize a estratégia em planos detalhados e cumpra esses planos.
- Desenvolva - Comece com uma ou mais áreas de maior prioridade para se focar em ganhos rápidos. Expandir para mais áreas e desenvolver uma estratégia global.
- Orientado por cenários - Comece com um cenário de negócio específico e adote uma abordagem coerente para esse cenário em várias áreas.
Use esta orientação para escolher um ponto de partida, em vez de um padrão. É importante que o seu ponto de partida permita o progresso sem interromper operações empresariais críticas.
Tip
Microsoft oferece um conjunto diversificado de workshops de adoção de segurança – os workshops Security Adoption Framework (SAF). A nossa orientação estruturada para modelos de adoção está alinhada com a orientação liderada por especialistas da Microsoft Unified apresentada nesses workshops. Saiba mais sobre os workshops da SAF.
Selecione um padrão
Antes de começares, nota que:
- Os padrões de adoção não são mutuamente exclusivos. Podes usar um padrão, evoluir para outro ou misturar ao longo do tempo.
- A maioria das organizações passa por mais do que um padrão ao longo do tempo, e muitas adotam uma abordagem mista, onde utilizam múltiplos padrões simultaneamente.
- Por exemplo, uma abordagem de construção ou orientada por cenários cria frequentemente o ímpeto e a perceção necessárias para avançar para uma adoção mais abrangente e orientada pela estratégia.
Qualquer que seja o padrão que escolher, recomendamos que:
- Decide como queres modernizar. A maioria das organizações foca-se na atualização dos processos e tecnologias existentes. Alguns constroem um novo programa de segurança do zero.
- Alinhe a abordagem. Alinhe-se com as suas prioridades organizacionais, restrições, tolerância ao risco e capacidade de absorver mudanças.
- Ajusta continuamente. Recolha continuamente dados para medir o que está a funcionar, o que não está e onde é necessário ajustar.
- Apoie a atividade normal. Certifique-se de que consegue atuar enquanto se transforma. As operações empresariais e os agentes de ameaça não hesitam durante a modernização da segurança. As equipas têm de fazer o seu trabalho diário enquanto transformam a sua abordagem.
De cima para baixo
O top-down é uma abordagem orientada pela estratégia que começa com uma visão de ponta a ponta e impulsiona a entrega coordenada em toda a organização. Para usar este padrão:
- Comece pelo início do percurso de adoção e estabeleça uma estratégia clara alinhada com as prioridades do negócio.
- Traduza essa estratégia em arquitetura, roteiros e iniciativas técnicas prioritárias.
- Assegure consistência em todas as disciplinas de segurança e pilares tecnológicos.
Esta abordagem funciona bem em organizações onde os CISOs e líderes de segurança têm forte patrocínio executivo e compreendem a importância de promover uma mudança coordenada e colaboração ativa entre equipas de negócio, TI e segurança.
Preparação
O desenvolvimento é uma abordagem incremental que começa com melhorias direcionadas e expande-se ao longo do tempo. Para usar este padrão:
- Comece com uma vitória rápida de alto impacto que resolva um risco urgente ou lacuna operacional. Por exemplo, foca-se numa disciplina ou pilar específico para começar.
- Demonstre o valor mensurável da vitória rápida para construir credibilidade e apoio.
- Expandir lateralmente dentro da mesma disciplina para mais uma vitória, ou transitar para uma abordagem mais ampla, liderada pela estratégia e de cima para baixo.
Este padrão funciona bem para organizações que atualmente não têm patrocínio executivo total para modernização da segurança. Os líderes técnicos e de segurança podem usar as vitórias visíveis para reduzir riscos e construir credibilidade para uma adoção mais ampla.
Orientado por cenários
A adoção orientada por cenários foca-se em garantir uma iniciativa empresarial específica e utiliza-a para impulsionar o alinhamento interdisciplinar. Para usar este padrão:
- Identifique um cenário de negócio de alta prioridade.
- Proteja o cenário em várias áreas de segurança.
- Use o cenário para expor dependências, lacunas e necessidades futuras de modernização.
Este padrão é adequado quando há apoio executivo e financiamento para uma determinada iniciativa de segurança, mas não para uma transformação total da segurança. Ajuda as organizações a ligar programas desconectados e esforços isolados, a melhorar a colaboração e a adiar a modernização de menor prioridade para mais tarde.
Passos seguintes
O que fazes a seguir depende do modelo que estás a usar.
- De cima para baixo: Se está a abordar a adoção de cima para baixo, comece por ler sobre o nosso caminho estruturado de adoção de segurança e depois veja os cenários de negócio prioritários
- Desenvolva: Se procura um ganho rápido, escolha um cenário empresarial e depois aprofunde-se na disciplina principal.
- Orientado por cenários: Modernizar em áreas específicas, escolher um cenário de negócio, desenhar o cenário para as disciplinas necessárias e depois começar a implementá-lo.