Güvenlik idaresi
Güvenlik idaresi, iş önceliklerinizi mimari, standartlar ve ilke gibi teknik uygulamalarla bir bağlar. İdare ekipleri, zaman içinde güvenlik duruşunu sürdürmek ve geliştirmek için gözetim ve izleme sağlar. Bu ekipler ayrıca, kuruluşları düzenlerken gereken uyumluluğu bildirir.
İş hedefleri ve risk , güvenlik için en iyi yönü sağlar. Bu yön, güvenliğin çabalarını kuruluş için önemli konulara odaklamasını sağlar. Ayrıca risk sahiplerini, risk yönetimi çerçevesinde tanıdık dil ve süreçleri kullanarak bilgilendirmektedir.
Güvenlik idaresi hakkında daha fazla bilgi edinmek için aşağıdaki videoyu watch.
Uyumluluk ve raporlama
Dış güvenlik gereksinimlerine ve bazen iç ilkeye uyumluluk ve raporlama, belirli bir sektörde faaliyet gösteren temel gerekli öğelerdir. Zorunlu gereksinimler hayvanat bahçesinde bir ayı beslemek gibidir. Ayıyı her gün beslemezsen, seni yer.
Mimari ve standartlar
Mimari, standartlar ve ilke, iş gereksinimleri ve risklerinden teknik ortama kritik çeviri sağlar. Bulutu şirket içiyle bölmek yerine kurumsal varlığınızda birleşik bir görünüme sahip olmanızı öneririz. Saldırganlar iç süreçlerinizi umursamaz ve hedeflerine karşı en az direnç yolunu izler. Buna bulut ve şirket içi ortamlar arasında geçiş de dahildir. Günümüzde çoğu kuruluş aşağıdakilere yayılan karma bir ortamdır:
- Şirket içi: Birden çok teknoloji nesli ve genellikle önemli miktarda eski yazılım ve donanım içerir. Bu teknoloji bazen potansiyel bir yaşam veya güvenlik etkisine sahip fiziksel sistemleri kontrol eden işletimsel teknolojiyi içerir.
- Bulut: Genellikle şunlar için birden çok sağlayıcı içerir:
- Hizmet olarak yazılım (SaaS) uygulamaları
- Hizmet olarak altyapı (IaaS)
- Hizmet olarak platform (PaaS)
Güvenlik duruşu yönetimi
Umut ve raporlama sorunları bir plan değildir. Bulut çağında idare, diğer ekiplerle sürekli etkileşimde bulunan etkin bir bileşene sahip olmalıdır. Güvenlik duruşu yönetimi yeni ortaya çıkan bir işlevdir. Bu, güvenlik işlevlerinin uzun vadeli yakınsamasında ileriye doğru bir adımı temsil eder. Bu işlevler, güvenlik açığı yönetimi ve güvenlik uyumluluğu raporlama da dahil olmak üzere "ortam ne kadar güvenli?" sorusuna yanıt verir.
Şirket içi dünyada güvenlik idaresi, ortam hakkında elde edebileceği veri temposunun ardından geldi. Bu veri alma yöntemi zaman alabilir ve sürekli güncel olmayabilir. Bulut teknolojisi artık geçerli güvenlik duruşu ve varlık kapsamı hakkında isteğe bağlı görünürlük sağlar. Bu görünürlük, idarenin daha dinamik bir kuruluşa dönüştürülmesi için önemli bir dönüşüm sağlar. Bu kuruluş, güvenlik standartlarını izlemek, rehberlik sağlamak ve süreçleri geliştirmek için diğer güvenlik ekipleriyle daha yakın bir ilişki sağlar.
İdeal durumunda, sürekli iyileştirmenin kalbi idaredir. Bu geliştirme, güvenlik duruşunu sürekli geliştirmek için kuruluşunuz genelinde devreye girer.
İdare için başarının temel kümeleri şunlardır:
- Varlıkların ve varlık türlerinin sürekli bulunması: Dinamik bulut ortamında statik envanter mümkün değildir. Kuruluşunuzun varlıkların ve varlık türlerinin sürekli bulunmasına odaklanması gerekir. Bulutta düzenli olarak yeni hizmet türleri eklenir. İş yükü sahipleri, gerektiğinde uygulama ve hizmet örneklerini dinamik olarak açıp kapatarak envanter yönetimini dinamik bir disiplin haline getirir. İdare ekiplerinin bu değişim hızına ayak uydurmak için varlık türlerini ve örneklerini sürekli bulması gerekir.
- Varlık güvenliği duruşunun sürekli iyileştirilmesi: İdare ekipleri, buluta ve saldırganlara ayak uydurmak için standartları geliştirmeye ve bu standartların uygulanmasına odaklanmalıdır. Bilgi teknolojisi (BT) kuruluşları yeni tehditlere hızla tepki vermeli ve buna göre uyum sağlamalıdır. Saldırganlar tekniklerini sürekli geliştirmektedir ve savunma sürekli olarak geliştirilmektedir ve etkinleştirilmesi gerekebilir. İhtiyacınız olan tüm güvenliği ilk yapılandırmaya her zaman alamazsınız.
- İlke temelli idare: Bu idare, ilkede bir kez düzeltilerek kaynaklar arasında büyük ölçekte otomatik olarak uygulanan bir şeyi düzelterek tutarlı yürütme sağlar. Bu işlem, yinelenen el ile gerçekleştirilen görevlerde boşa harcanan zamanı ve çabayı sınırlar. Genellikle Azure İlkesi veya üçüncü taraf ilke otomasyon çerçeveleri kullanılarak uygulanır.
Çevikliği korumak için en iyi yöntemler kılavuzu genellikle yinelemeli olur. Resmin tamamını oluşturmak ve sürekli olarak küçük ayarlamalar yapmak için birden çok kaynaktan alınan küçük bilgi parçalarını özetler.
İdare ve koruma disiplinleri
Koruma uzmanlık alanları erişim denetimi, varlık koruması ve yenilik güvenliğidir. Güvenlik idaresi ekibi, en iyi güvenlik yöntemlerinin ve denetimlerinin tutarlı bir şekilde yürütülmesini sağlamak için standartlar ve rehberlik sağlar.
İdeal durumda, koruma ekipleri bu denetimleri uygular ve denetimlerin uygulanmasındaki zorluklar gibi çalışanlarla ilgili geri bildirim sağlar. Ekipler daha sonra en iyi çözümleri belirlemek için birlikte çalışır.
İdare ve güvenlik işlemleri
Güvenlik idaresi ve güvenlik işlemleri, tam görünürlük sağlamak için birlikte çalışır. Gerçek dünya olaylarından alınan derslerin mimariye, standartlara ve ilkeye tümleştirilmesini sağlar.
İdare ve güvenlik işlemleri tamamlayıcı görünürlük türleri sağlar.
- Güvenlik operasyonları , etkin saldırıların anında riski hakkında içgörü sağlar.
- Güvenlik idaresi , gelecekteki olası saldırılara ve saldırı vektörlerine karşı riskin geniş veya uzun bir görünümünü sağlar.
İdare işlevindeki güvenlik mimarları, olaylardan alınan dersleri belirlemeye yardımcı olur. Örneğin, önemli olayların kök nedeni. Kuruluş genelinde tutarlı bir uygulama sağlamak için dersleri kuruluşunuzun standartlarına göre yakalar.
Daha fazla bilgi için bkz . Güvenlik tümleştirmesi.
Not
Bazı kuruluşlar, güvenlik operasyonlarında güvenlik duruşunun izlenmesini sağlar. Bu izlemenin idarede olmasını öneririz. Bu yerleştirme, standartları uygulayan BT mühendislik ve operasyon ekipleri ile daha iyi bir ilişki oluşturur. Bu ilişki genellikle daha kaliteli iletişim ve daha iyi güvenlik sonuçlarına neden olur. Aksi takdirde, standartlarının gerçek dünya etkisini asla görmeyecek bir idare ekibiniz vardır.
Sonraki adımlar
Bir sonraki uzmanlık alanı yenilik güvenliğidir.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin