Função da política de segurança de nuvem e padrões

As equipes de política de segurança e padrões de autor, aprovam e publicam padrões e políticas de segurança para orientar as decisões de segurança dentro da organização.

As políticas e os padrões devem:

  • Refletir a estratégia de segurança das organizações de maneira suficientemente detalhada para orientar as decisões na organização por várias equipes
  • Permitir a produtividade em toda a organização, reduzindo o risco para os negócios e a missão das organizações

A política de segurança deve refletir objetivos sustentáveis de longo prazo que se alinham à estratégia de segurança e à tolerância a riscos das organizações. A política sempre deve abordar:

  • Requisitos de conformidade regulatória e status de conformidade atual (requisitos atendidos, riscos aceitos e assim por diante).
  • Avaliação de arquitetura do estado atual e o que tecnicamente é possível projetar, implementar e aplicar
  • Cultura e preferências organizacionais
  • Melhores práticas do setor
  • Responsabilidade do risco de segurança atribuído aos stakeholders de negócios apropriados responsáveis por outros riscos e resultados empresariais.

Os padrões de segurança definem os processos e as regras para permitir a execução da política de segurança.

Modernização

Embora a política deva permanecer estática, os padrões devem ser dinâmicos e continuamente revisitados para acompanhar o ritmo das mudanças na tecnologia de nuvem, no ambiente de ameaças e no cenário competitivo dos negócios.

Devido a essa alta taxa de alteração, você deve ficar atento a quantas exceções estão sendo feitas, pois isso pode indicar a necessidade de ajustar os padrões (ou a política).

Os padrões de segurança devem incluir diretrizes específicas para a adoção da nuvem, como:

  • Proteger o uso de plataformas de nuvem para hospedar cargas de trabalho
  • Proteger o uso do modelo DevOps e a inclusão de aplicativos de nuvem, APIs e serviços em desenvolvimento
  • Usar controles de perímetro de identidade para complementar ou substituir controles de perímetro de rede
  • Definir a estratégia de segmentação antes de transferir as cargas de trabalho para a plataforma IaaS
  • Marcação e classificação da sensibilidade dos ativos
  • Definir o processo de avaliação e garantir que os ativos sejam configurados e protegidos corretamente

Composição de equipe e relações importantes

Os padrões e a política de segurança de nuvem normalmente são fornecidos pelos seguintes tipos de funções. A política organizacional deve informar (e ser informada por):

  • Arquiteturas de segurança
  • Equipes de gerenciamento de risco e conformidade
  • Liderança e representantes da unidade de negócios
  • Tecnologia da Informação
  • Equipes jurídicas e de auditoria

A política deve ser refinada com base em muitas entradas/requisitos de toda a organização, incluindo, entre outras, aquelas descritas no diagrama de visão geral de segurança.

Próximas etapas

Revise a função de um centro de operações de segurança de nuvem (SOC).