Fonction de la stratégie et des normes de sécurité cloud

Les équipes de stratégie de sécurité et de normalisation créent, approuvent et publient des stratégies et des normes de sécurité pour guider les décisions de sécurité au sein de l’organisation.

Les stratégies et normes doivent :

  • Refléter la stratégie de sécurité des organisations d’une manière suffisamment détaillée pour guider les décisions au sein de l’organisation par différentes équipes
  • Faciliter la productivité au sein de l’organisation tout en réduisant les risques pour les entreprises et la mission

La stratégie de sécurité doit refléter des objectifs durables à long terme qui s’alignent sur la stratégie de sécurité des organisations et leur tolérance aux risques. La stratégie doit toujours déterminer les éléments suivants :

  • Exigences en matière de conformité réglementaire et état de conformité actuel (exigences respectées, risques acceptés, etc.)
  • Évaluation de l’état actuel de l’architecture, et de ce qui est techniquement possible de concevoir, implémenter et appliquer
  • Culture et préférences de l’organisation
  • Meilleures pratiques du secteur
  • Responsabilité des risques de sécurité attribués aux parties prenantes appropriées qui sont responsables des autres risques et des résultats commerciaux.

Les normes de sécurité définissent les processus et règles pour soutenir l’exécution de la stratégie de sécurité.

Modernisation

Si la stratégie doit rester statique, les normes doivent être dynamiques et revisitées en permanence pour suivre le rythme des changements dans la technologie cloud, l’environnement des menaces et le paysage de la compétitivité des entreprises.

En raison de ce rythme élevé de changements, vous devez garder un œil sur le nombre d’exceptions faites, car cela peut indiquer une nécessité d’ajuster les normes (ou la stratégie).

Les normes de sécurité doivent inclure des instructions spécifiques à l’adoption du cloud, telles que les suivantes :

  • Utilisation sécurisée de plateformes cloud pour l’hébergement des charges de travail
  • Utilisation sécurisée du modèle DevOps et inclusion d’applications cloud, d’API et de services en développement
  • Utilisation de contrôles de périmètre d’identité pour compléter ou remplacer les contrôles de périmètre de réseau
  • Définition de votre stratégie de segmentation avant de déplacer vos charges de travail vers la plateforme IaaS
  • Étiquetage et classification de la sensibilité des ressources
  • Définition du processus d’évaluation et de vérification de la configuration et de la sécurisation de vos ressources

Composition d’équipe et relations clés

La stratégie de sécurité et les normes cloud sont généralement fournies par les types de rôles suivants. La stratégie de l’organisation doit informer (et être informée par) :

  • Architectures de sécurité
  • Équipes de gestion de la conformité et des risques
  • Direction et représentants de la division
  • Technologies de l’information
  • Équipes d’audit et juridiques

La stratégie doit être affinée en fonction de nombreuses entrées/exigences de l’ensemble de l’organisation, y compris, de façon non exhaustive, celles décrites dans le diagramme de présentation de la sécurité.

Étapes suivantes

Passez en revue la fonction d’un centre des opérations de sécurité cloud (SOC).