Funzioni per la sicurezza del cloud

Le funzioni sono attività e responsabilità chiave per un'organizzazione. In altre parole, le funzioni sono "processi da eseguire".

Questo articolo fornisce un riepilogo delle funzioni organizzative necessarie per gestire i rischi di sicurezza delle informazioni in un'azienda. Descrive i ruoli e le responsabilità che rappresentano la parte umana di un sistema di cybersecurity complessivo.

La sicurezza è uno sport di squadra

Gli individui del team di sicurezza devono collaborare e vedere l'uno con l'altro come parti integrali dell'intera organizzazione. Fanno parte anche di una comunità di sicurezza più grande che difende contro gli stessi avversari.

Questa visione globale olistica aiuta il team a lavorare attraverso eventuali lacune non pianificate e sovrapposizioni individuate durante l'evoluzione dei ruoli e delle responsabilità.

Tipi di funzioni di sicurezza

Il diagramma seguente illustra funzioni organizzative specifiche all'interno della sicurezza. Le funzioni rappresentate rappresentano una vista ideale di un team di sicurezza aziendale completo. I team di sicurezza con risorse limitate potrebbero non avere responsabilità formali definite intorno a tutte queste funzioni. Ogni funzione può essere eseguita da una o più persone e ogni persona può eseguire una o più funzioni a seconda di fattori quali cultura, budget e risorse disponibili.

Diagramma delle funzioni di un team di sicurezza aziendale.

Per altre informazioni su ogni funzione, vedere gli articoli seguenti. Includono un riepilogo degli obiettivi, il modo in cui la funzione può evolvere e le relazioni e le dipendenze critiche per il successo.

Ruoli e responsabilità

I ruoli di sicurezza e le responsabilità vengono a cui si fa riferimento in tutta la documentazione Microsoft, tra cui Il benchmark di sicurezza di Azure, il piano di modernizzazione rapido per proteggere l'accesso con privilegi ele procedure consigliate per la sicurezza di Azure.

Il diagramma seguente illustra in che modo queste funzioni vengono mappate ai tipi di ruolo all'interno di un'organizzazione:

Diagramma dei ruoli di sicurezza e delle responsabilità.

Mapping della sicurezza ai risultati aziendali

A livello di organizzazione, le discipline di sicurezza vengono mappate alle fasi di esecuzione standard di piano-compilazione viste ampiamente in settori e organizzazioni. La sicurezza è una disciplina con le proprie funzioni univoche e un elemento critico da integrare nelle normali operazioni aziendali.

Tipi di ruolo

Nel diagramma le responsabilità sono organizzate in ruoli tipici con set di competenze comuni e profili di carriera. Questi raggruppamenti sono anche utili per chiarire in che modo le tendenze del settore influiscono sui professionisti della sicurezza:

  • Leadership di sicurezza: Questi ruoli si estendono frequentemente su funzioni, assicurandosi che i team si coordinano tra loro. Forniscono anche la priorità e impostano norme culturali, criteri e standard per la sicurezza.
  • Architetto di sicurezza: Questi ruoli si estendono su funzioni e forniscono una funzionalità di governance chiave per garantire che tutte le funzioni tecniche funzionino armonicamente all'interno di un'architettura coerente.
  • Comportamento di sicurezza e conformità: Un tipo di ruolo più recente che rappresenta la convergenza dei report di conformità con le discipline di sicurezza tradizionali, ad esempio la gestione delle vulnerabilità e le baseline di configurazione. Sebbene l'ambito e il gruppo di destinatari siano diversi per la sicurezza e la creazione di report di conformità, entrambi misurano la sicurezza dell'organizzazione. Il modo in cui la domanda viene risposta è sempre più simile tramite strumenti come Microsoft Secure Score e Microsoft Defender for Cloud:
    • L'uso di feed di dati su richiesta dai servizi cloud riduce il tempo necessario per creare report di conformità.
    • L'aumento dell'ambito dei dati disponibili consente alla governance della sicurezza di guardare oltre gli aggiornamenti software tradizionali e individuare le vulnerabilità dalle configurazioni di sicurezza e dalle procedure operative.
  • Ingegnere della sicurezza della piattaforma: Questi ruoli tecnologici si concentrano sulle piattaforme che ospitano più carichi di lavoro, sia il controllo di accesso che la protezione delle risorse. Questi ruoli sono spesso raggruppati in team con set di competenze tecniche specializzate, tra cui sicurezza di rete, infrastruttura ed endpoint, gestione di identità e chiavi e altre. Questi team lavorano sia sui controlli preventivi, principalmente una partnership con le operazioni IT, sia sui controlli di rilevamento, che rappresentano una partnership con SecOps. Per altre informazioni, vedere Integrazione della sicurezza.
  • Ingegnere della sicurezza dell'applicazione: Questi ruoli tecnologici si concentrano sui controlli di sicurezza per carichi di lavoro specifici, supportando sia i modelli di sviluppo classici che il modello DevOps/DevSecOps moderno. Si combinano le competenze di sicurezza dell'applicazione/sviluppo per le competenze univoce di codice e infrastruttura per componenti tecnici comuni, ad esempio macchine virtuali, database e contenitori. Questi ruoli possono trovarsi in organizzazioni IT o di sicurezza centrali o all'interno di team di sviluppo e business, a seconda dei fattori organizzativi.

Nota

Man mano che devOps e tendenze del codice sono in corso, alcuni talenti della sicurezza verranno probabilmente migrati dai team di progettazione della sicurezza della piattaforma ai team di sicurezza delle applicazioni e ai ruoli di gestione del comportamento. Il modello DevOps richiede competenze di sicurezza dell'infrastruttura, ad esempio la protezione delle operazioni in DevOps. I team di governance richiederanno anche queste competenze ed esperienze per monitorare in tempo reale il comportamento tecnico di sicurezza. Inoltre, l'infrastruttura come codice automatizza le attività tecniche manuali ripetitive, riducendo il tempo necessario per queste competenze nei ruoli del tecnico della sicurezza della piattaforma (anche aumentando la necessità di set di competenze tecniche generali e di automazione o competenze di scripting).

Passaggi successivi

Altre informazioni sulla sicurezza in Microsoft Cloud Adoption Framework.