Governance della sicurezza

La governance della sicurezza consente di colmare le priorità aziendali con implementazioni tecniche quali architettura, standard e criteri. I team di governance offrono supervisione e monitoraggio per sostenere e migliorare il comportamento di sicurezza nel tempo. Questi team segnalano anche la conformità come richiesto dagli enti di regolamentazione.

Governance della sicurezza

Obiettivi e rischi aziendali offrono la direzione migliore in termini di sicurezza. Questa direzione assicura che la sicurezza concentri gli sforzi su aspetti importanti per l'organizzazione, oltre a informare i proprietari dei rischi usando un linguaggio e processi familiari nel framework di gestione dei rischi.

Per altre informazioni sulla governance della sicurezza, watch il video seguente.

Conformità e creazione di report

La conformità e la creazione di report sui requisiti di sicurezza esterni e talvolta sui criteri interni sono elementi di base necessari per operare in un determinato settore. I requisiti obbligatori sono come l'alimentazione di un orso allo zoo. Se non viene nutrito ogni giorno, potrebbe mangiarci.

Architettura e standard

L'architettura, gli standard e i criteri offrono la traduzione essenziale dai requisiti aziendali e dai rischi nell'ambiente tecnico. È consigliabile avere una vista unificata nell'ambiente aziendale anziché suddividere il cloud rispetto all'ambiente locale. Gli utenti malintenzionati non si preoccupano dei processi interni e seguono il percorso di minima resistenza per raggiungere il loro obiettivo. Ciò include lo spostamento laterale tra ambienti cloud e locali. La maggior parte delle aziende oggi opera in un ambiente ibrido che si estende come segue:

  • In locale: include più generazioni di tecnologie e spesso un numero significativo di software e hardware legacy. Queste tecnologie includono talvolta tecnologie operative che controllano sistemi fisici, con un potenziale impatto sulla vita o sulla sicurezza.
  • Cloud: includono in genere più provider per:
    • Applicazioni Software as a Service (SaaS)
    • Infrastruttura distribuita come servizio (IaaS, Infrastructure as a Service)
    • Piattaforma distribuita come servizio (PaaS, Platform as a Service)

Gestione del comportamento di sicurezza

La segnalazione di problemi nella speranza che vengano risolti non è un piano. La governance nell'era del cloud deve avere un componente attivo che interagisca continuamente con altri team. La gestione del comportamento di sicurezza è una funzione emergente. Rappresenta un passo avanti nella convergenza a lungo termine delle funzioni di sicurezza. Queste funzioni rispondono alla domanda "quanto è sicuro l'ambiente?", inclusi i report di conformità della sicurezza e della gestione delle vulnerabilità.

Nel mondo locale, la governance della sicurezza ha seguito la cadenza dei dati che poteva ottenere sull'ambiente. Questo modo di ottenere i dati potrebbe richiedere tempo e deve essere costantemente aggiornato. La tecnologia cloud offre ora visibilità su richiesta sul comportamento di sicurezza corrente e sulla copertura degli asset. Questa visibilità determina una trasformazione importante della governance in un'organizzazione più dinamica. Questa organizzazione offre una relazione più stretta con altri team di sicurezza per monitorare gli standard di sicurezza, fornire indicazioni e migliorare i processi.

Nello stato ideale, la governance è al centro del miglioramento continuo. Questo miglioramento spinge l'organizzazione a ottimizzare costantemente il comportamento di sicurezza.

I principali elementi di successo per la governance sono:

  • Individuazione continua di asset e tipi di asset: un inventario statico non è possibile in un ambiente cloud dinamico. L'organizzazione deve concentrarsi sull'individuazione continua di asset e tipi di asset. Nel cloud vengono aggiunti regolarmente nuovi tipi di servizi. I proprietari dei carichi di lavoro attivano e disattivano in modo dinamico istanze di applicazioni e servizi in base alle esigenze, rendendo la gestione dell'inventario una disciplina dinamica. I team di governance devono individuare continuamente i tipi di asset e le istanze per restare al passo con questo ritmo di cambiamento.
  • Miglioramento continuo del comportamento di sicurezza degli asset: i team di governance devono concentrarsi sul miglioramento degli standard e sull'applicazione di tali standard per restare al passo con il cloud e gli utenti malintenzionati. Le organizzazioni IT devono reagire rapidamente alle nuove minacce e adattarsi di conseguenza. Gli utenti malintenzionati stanno evolvendo continuamente le proprie tecniche; le difese sono in continuo miglioramento e potrebbero dover essere abilitate. Non è sempre possibile ottenere tutta la sicurezza necessaria nella configurazione iniziale.
  • Governance basata su criteri: questa governance offre un'esecuzione coerente correggendo un elemento una sola volta nei criteri. Tale elemento viene applicato automaticamente su larga scala tra le risorse. Questo processo limita il tempo e lo sforzo relativi alle attività manuali ripetute. Viene spesso implementato usando framework di automazione di Criteri di Azure o di terze parti.

Per mantenere la flessibilità, le linee guida sulle procedure consigliate sono spesso iterative. Esegue il digest di singole informazioni provenienti da più origini per creare l'intero quadro e apportare continuamente piccole modifiche.

Discipline di governance e protezione

Le discipline di protezione includono il controllo di accesso, la protezione delle risorse e la sicurezza dell'innovazione. Il team di governance della sicurezza offre standard e linee guida per l'esecuzione coerente delle procedure consigliate e dei controlli di sicurezza.

Nello stato ideale, i team di protezione applicano questi controlli e forniscono commenti e suggerimenti sul funzionamento, ad esempio relativi alle difficoltà nell'applicazione dei controlli. I team lavorano quindi insieme per identificare le soluzioni migliori.

Operazioni di governance e sicurezza

La governance della sicurezza e le operazioni di sicurezza si uniscono per offrire visibilità completa. Assicurano che le lezioni apprese da eventi imprevisti reali siano integrate nell'architettura, negli standard e nei criteri.

Le operazioni di governance e sicurezza offrono tipi complementari di visibilità.

  • Le operazioni di sicurezza offrono informazioni dettagliate sul rischio immediato di attacchi attivi.
  • La governance della sicurezza offre una vista ampia o sul lungo termine dei rischi rappresentati da potenziali attacchi e vettori di attacco futuri.

Gli architetti della sicurezza all'interno della funzione di governance consentono di identificare le lezioni apprese dagli eventi imprevisti, ad esempio la causa radice di eventi imprevisti di grossa entità, quindi integrano le lezioni apprese negli standard dell'organizzazione per garantire un'applicazione coerente.

Per altre informazioni, vedere Integrazione della sicurezza.

Nota

Alcune organizzazioni collocano il monitoraggio del comportamento di sicurezza nelle operazioni di sicurezza. È consigliabile eseguire questo monitoraggio nella governance. Questo posizionamento crea una relazione migliore con i team di progettazione IT e delle operazioni che applicano gli standard. Questa relazione spesso comporta comunicazioni di qualità superiore e risultati di sicurezza migliori. In caso contrario, si disporrà di un team di governance che non vede mai l'impatto reale dei propri standard.

Passaggi successivi

La disciplina successiva è la sicurezza dell'innovazione.