Função das normas e políticas de segurança da cloud

  • Artigo

Política de segurança e normas as equipas criam, aprovam e publicam normas e políticas de segurança para orientar as decisões de segurança na organização.

As políticas e normas devem:

  • Refletir a estratégia de segurança das organizações de uma forma suficientemente detalhada para orientar as decisões na organização por várias equipas
  • Ativar a produtividade em toda a organização, ao mesmo tempo que reduz o risco para a empresa e missão das organizações

A política de segurança deve refletir objetivos sustentáveis a longo prazo que se alinham com a estratégia de segurança das organizações e a tolerância ao risco. A política deve sempre abordar:

  • Requisitos de conformidade regulamentar e estado de conformidade atual (requisitos cumpridos, riscos aceites, etc.)
  • Avaliação arquitetónica do estado atual e o que é tecnicamente possível conceber, implementar e impor
  • Cultura e preferências organizacionais
  • Melhores práticas do setor
  • Responsabilidade pelo risco de segurança atribuído aos intervenientes empresariais adequados responsáveis por outros riscos e resultados empresariais.

As normas de segurança definem os processos e regras para suportar a execução da política de segurança.

Modernização

Embora a política deva permanecer estática, as normas devem ser dinâmicas e continuamente revisitadas para acompanhar o ritmo de mudança na tecnologia da cloud, no ambiente de ameaças e no panorama competitivo do negócio.

Devido a esta elevada taxa de alteração, deve estar atento ao número de exceções que estão a ser feitas, uma vez que tal pode indicar a necessidade de ajustar os padrões (ou a política).

As normas de segurança devem incluir orientações específicas para a adoção da cloud, como:

  • Utilização segura de plataformas na cloud para alojar cargas de trabalho
  • Utilização segura do modelo de DevOps e inclusão de aplicações na cloud, APIs e serviços em desenvolvimento
  • Utilização de controlos de perímetro de identidade para complementar ou substituir controlos de perímetro de rede
  • Definir a estratégia de segmentação antes de mover as cargas de trabalho para a plataforma IaaS
  • Etiquetar e classificar a confidencialidade dos recursos
  • Definir o processo para avaliar e garantir que os seus recursos estão configurados e protegidos corretamente

Composição da equipa e relações-chave

As normas e a política de segurança da cloud são normalmente fornecidas pelos seguintes tipos de funções. A política organizacional deve informar (e ser informada por):

  • Arquiteturas de segurança
  • Equipas de gestão de conformidade e riscos
  • Liderança e representantes da unidade de negócio
  • Tecnologia da informação
  • Equipas jurídicas e de auditoria

A política deve ser refinada com base em muitas entradas/requisitos de toda a organização, incluindo, mas não restrita, às ilustradas no diagrama de descrição geral de segurança.

Passos seguintes

Reveja a função de um centro de operações de segurança na cloud (SOC).