Funktionen för molnsäkerhetsprinciper och -standarder

Säkerhetsprincip- och standardteam skapar, godkänner och publicerar säkerhetsprinciper och standarder för att vägleda säkerhetsbeslut inom organisationen.

Policyer och standarder bör:

  • Reflect organisationens säkerhetsstrategi på ett tillräckligt detaljerat sätt för att vägleda beslut i organisationen av olika team
  • Aktivera produktivitet i hela organisationen samtidigt som risken för organisationers verksamhet och uppdrag minskar

Säkerhetspolicyn bör återspegla långsiktiga hållbara mål som överensstämmer med organisationens säkerhetsstrategi och risktolerans. Principen bör alltid hantera:

  • Krav på regelefterlevnad och aktuell efterlevnadsstatus (krav uppfylls, risker accepteras och så vidare.)
  • Arkitekturbedömning av aktuellt tillstånd och vad som är tekniskt möjligt att utforma, implementera och framtvinga
  • Organisationskultur och inställningar
  • Metodtips för branschen
  • Ansvar för säkerhetsrisker som tilldelats lämpliga affärsintressenter som är ansvariga för andra risker och affärsresultat.

Säkerhetsstandarder definierar de processer och regler som stöder körning av säkerhetsprincipen.

Modernisering

Även om policyn bör förbli statisk bör standarder vara dynamiska och kontinuerligt ses över för att hålla jämna steg med förändringstakten inom molnteknik, hotmiljö och affärskonkurreringslandskap.

På grund av den här höga förändringstakten bör du hålla ett öga på hur många undantag som görs eftersom detta kan tyda på ett behov av att justera standarder (eller principer).

Säkerhetsstandarder bör innehålla vägledning som är specifik för implementering av molnet, till exempel:

  • Säker användning av molnplattformar som värd för arbetsbelastningar
  • Säker användning av DevOps-modell och inkludering av molnprogram, API:er och tjänster under utveckling
  • Användning av identitetsperimeterkontroller för att komplettera eller ersätta nätverksperimeterkontroller
  • Definiera segmenteringsstrategin innan du flyttar dina arbetsbelastningar till IaaS-plattformen
  • Tagga och klassificera tillgångars känslighet
  • Definiera en process för att utvärdera och se till att dina tillgångar är konfigurerade och skyddade på rätt sätt

Teamsammansättning och nyckelrelationer

Molnsäkerhetsprinciper och standarder tillhandahålls ofta av följande typer av roller. Organisationspolicyn bör informera (och informeras av):

  • Säkerhetsarkitekturer
  • Efterlevnads- och riskhanteringsteam
  • Affärsenhetens ledning och representanter
  • Informationsteknik
  • Gransknings- och juridiska team

Principen bör förfinas baserat på många indata/krav från hela organisationen, inklusive men inte begränsat till dem som visas i diagrammet över säkerhetsöversikter.

Nästa steg

Granska funktionen för ett molnsäkerhetscenter (SOC).