Funktion för molnsäkerhetsprinciper och standarder
Teamen för säkerhetsprinciper och standarder skapar, godkänner och publicerar säkerhetsprinciper och standarder för att vägleda säkerhetsbeslut inom organisationen.
Principerna och standarderna bör:
- Återspegla organisationens säkerhetsstrategi på ett tillräckligt detaljerat sätt för att vägleda beslut i organisationen av olika team
- Aktivera produktivitet i hela organisationen samtidigt som risken för organisationers verksamhet och uppdrag minskar
Säkerhetspolicyn bör återspegla långsiktiga hållbara mål som överensstämmer med organisationens säkerhetsstrategi och risktolerans. Principen bör alltid hantera:
- Krav på regelefterlevnad och aktuell efterlevnadsstatus (krav uppfylls, risker accepteras och så vidare.)
- Arkitekturbedömning av aktuellt tillstånd och vad som är tekniskt möjligt att utforma, implementera och framtvinga
- Organisationskultur och inställningar
- Metodtips för branschen
- Ansvar för säkerhetsrisker som tilldelats lämpliga affärsintressenter som är ansvariga för andra risker och affärsresultat.
Säkerhetsstandarder definierar de processer och regler som stöder körning av säkerhetsprincipen.
Modernisering
Även om policyn bör förbli statisk bör standarder dynamiskt och kontinuerligt ses över för att hålla jämna steg med förändringstakten inom molnteknik, hotmiljö och företagskonkurreringslandskap.
På grund av denna höga ändringshastighet bör du hålla ett öga på hur många undantag som görs eftersom detta kan tyda på ett behov av att justera standarder (eller policy).
Säkerhetsstandarder bör innehålla vägledning som är specifik för implementeringen av molnet, till exempel:
- Säker användning av molnplattformar som värd för arbetsbelastningar
- Säker användning av DevOps-modellen och inkludering av molnprogram, API:er och tjänster under utveckling
- Användning av identitetsperimeterkontroller för att komplettera eller ersätta nätverksperimeterkontroller
- Definiera segmenteringsstrategin innan du flyttar dina arbetsbelastningar till IaaS-plattformen
- Tagga och klassificera tillgångars känslighet
- Definiera processen för att utvärdera och se till att dina tillgångar är konfigurerade och skyddade på rätt sätt
Teamsammansättning och nyckelrelationer
Molnsäkerhetsprinciper och standarder tillhandahålls ofta av följande typer av roller. Organisationspolicyn bör informera (och informeras av):
- Säkerhetsarkitekturer
- Team för efterlevnad och riskhantering
- Affärsenhetens ledning och representanter
- Informationsteknik
- Granskningsteam och juridiska team
Principen bör förfinas baserat på många indata/krav från hela organisationen, inklusive men inte begränsat till dem som visas i säkerhetsöversiktsdiagrammet.
Nästa steg
Granska funktionen för ett SOC (Cloud Security Operations Center ).