Função da política de segurança de nuvem e padrões
As equipes de política de segurança e padrões de autor, aprovam e publicam padrões e políticas de segurança para orientar as decisões de segurança dentro da organização.
As políticas e os padrões devem:
- Refletir a estratégia de segurança das organizações de maneira suficientemente detalhada para orientar as decisões na organização por várias equipes
- Permitir a produtividade em toda a organização, reduzindo o risco para os negócios e a missão das organizações
A política de segurança deve refletir objetivos sustentáveis de longo prazo que se alinham à estratégia de segurança e à tolerância a riscos das organizações. A política sempre deve abordar:
- Requisitos de conformidade regulatória e status de conformidade atual (requisitos atendidos, riscos aceitos e assim por diante).
- Avaliação de arquitetura do estado atual e o que tecnicamente é possível projetar, implementar e aplicar
- Cultura e preferências organizacionais
- Melhores práticas do setor
- Responsabilidade do risco de segurança atribuído aos stakeholders de negócios apropriados responsáveis por outros riscos e resultados empresariais.
Os padrões de segurança definem os processos e as regras para permitir a execução da política de segurança.
Modernização
Embora a política deva permanecer estática, os padrões devem ser dinâmicos e continuamente revisitados para acompanhar o ritmo das mudanças na tecnologia de nuvem, no ambiente de ameaças e no cenário competitivo dos negócios.
Devido a essa alta taxa de alteração, você deve ficar atento a quantas exceções estão sendo feitas, pois isso pode indicar a necessidade de ajustar os padrões (ou a política).
Os padrões de segurança devem incluir diretrizes específicas para a adoção da nuvem, como:
- Proteger o uso de plataformas de nuvem para hospedar cargas de trabalho
- Proteger o uso do modelo DevOps e a inclusão de aplicativos de nuvem, APIs e serviços em desenvolvimento
- Usar controles de perímetro de identidade para complementar ou substituir controles de perímetro de rede
- Definir a estratégia de segmentação antes de transferir as cargas de trabalho para a plataforma IaaS
- Marcação e classificação da sensibilidade dos ativos
- Definir o processo de avaliação e garantir que os ativos sejam configurados e protegidos corretamente
Composição de equipe e relações importantes
Os padrões e a política de segurança de nuvem normalmente são fornecidos pelos seguintes tipos de funções. A política organizacional deve informar (e ser informada por):
- Arquiteturas de segurança
- Equipes de gerenciamento de risco e conformidade
- Liderança e representantes da unidade de negócios
- Tecnologia da Informação
- Equipes jurídicas e de auditoria
A política deve ser refinada com base em muitas entradas/requisitos de toda a organização, incluindo, entre outras, aquelas descritas no diagrama de visão geral de segurança.
Próximas etapas
Revise a função de um centro de operações de segurança de nuvem (SOC).