Průvodce připravenostmi na Cloud ředitelka zabezpečení informacíCISO cloud readiness guide

Pokyny společnosti Microsoft, jako je rozhraní pro přijetí v cloudu, nejsou umístěny k určení nebo vodítkí jedinečného omezení zabezpečení tisíců podniků, které tato dokumentace podporuje.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. Při přechodu do cloudu se v cloudových technologiích supplanted role ředitele Information Security důstojníka nebo hlavní kancelář zabezpečení informací (ředitelka zabezpečení informací).When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. V rozporu s ředitelka zabezpečení informací a kanceláří ředitelka zabezpečení informací se stane víc engrained a integrovaných.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. Tato příručka předpokládá, že čtenář je obeznámený s ředitelka zabezpečení informací procesy a snaží se modernizovat tyto procesy, aby umožnil transformaci cloudu.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

Přijetí do cloudu umožňuje službám, které se často nepovažovaly za tradiční IT prostředí.Cloud adoption enables services that weren't often considered in traditional IT environments. Samoobslužná nebo automatizovaná nasazení se běžně spouštějí při vývoji aplikací nebo jiných IT týmech, která nejsou tradičně zarovnaná do produkčního nasazení.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. V některých organizacích mají obchodní prvky podobně možnosti samoobslužné služby.In some organizations, business constituents similarly have self-service capabilities. To může aktivovat nové požadavky na zabezpečení, které se nevyžadovaly v místním světě.This can trigger new security requirements that weren't needed in the on-premises world. Centralizované zabezpečení je náročnější, ale zabezpečení se často stává sdílenou odpovědností napříč podnikovou a IT kulturou.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Tento článek může přispět k ředitelka zabezpečení informací přípravě na tento přístup a zapojit se do přírůstkového řízení.This article can help a CISO prepare for that approach and engage in incremental governance.

Jak se CISO může připravit na cloud?How can a CISO prepare for the cloud?

Stejně jako většina zásad, zabezpečení a zásady správného řízení v rámci organizace se obvykle rozšiřují na organické.Like most policies, security and governance policies within an organization tend to grow organically. Dojde-li k incidentům zabezpečení, zásady pro uživatele informují o tom, že by se snížila pravděpodobnost výskytu opakování.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. V přirozeném případě tento přístup vytvoří zásady dispozici determinističtější a technické závislosti.While natural, this approach creates policy bloat and technical dependencies. Cesty k transformaci cloudu vytvářejí jedinečnou příležitost pro modernizovat a resetování zásad.Cloud transformation journeys create a unique opportunity to modernize and reset policies. Při přípravě na cestu transformace může ředitelka zabezpečení informací vytvořit okamžitou a měřitelnou hodnotu, která slouží jako primární účastník v rámci Revize zásad.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

V takovém případě má role ředitelka zabezpečení informací vytvořit bezpečný rovnováhu mezi omezeními stávající zásady nebo dodržování předpisů a vylepšeným stav zabezpečení poskytovatelů cloudu.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Měření tohoto pokroku může trvat mnoho forem, často se měří v počtu zásad zabezpečení, které se dají bezpečně přesměrovat na poskytovatele cloudu.Measuring this progress can take many forms, often it's measured in the number of security policies that can be safely offloaded to the cloud provider.

Přenos rizik zabezpečení: Jako služby se přesunou na modely hostování IaaS (infrastruktura jako služba), předpokládá podnik méně přímé riziko týkající se zřizování hardwaru.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. Riziko se neodebere, místo toho se přenese do dodavatele cloudu.The risk isn't removed, instead it's transferred to the cloud vendor. Pokud má dodavatel cloudu přístup k zřizování hardwaru, zajišťují stejnou úroveň zmírnění rizik, a to v zabezpečeném opakovaném procesu je riziko spuštění hardwarového zřizování odstraněné z oblasti IT oddělení zodpovědnosti a přenáší do poskytovatele cloudu.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Tím se snižuje celkové bezpečnostní riziko, které podnik IT zodpovídá za správu, i když riziko samotného by mělo být stále sledováno a přezkoumáváno.This reduces the overall security risk that corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

Když řešení přesunou dále "sestavou", aby zahrnovala modely PaaS (Platform as a Service) nebo software jako služba (SaaS), je možné vyhnout se nebo přenášet další rizika.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. Když se riziko bezpečně přesune do poskytovatele cloudu, náklady na spuštění, monitorování a vynucování zásad zabezpečení nebo jiných zásad dodržování předpisů se taky můžou bezpečně snížit.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Místo růstu: Změna se může Scary na obchodní i technické implementátory.Growth mindset: Change can be scary to both the business and technical implementors. Když ředitelka zabezpečení informací vede k růstu místo Shift v organizaci, zjistili jsme, že tyto přirozené obavyy se zvýšily o zvýšení zájmu na bezpečnost a dodržování zásad.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Přístup k revizi zásad, transformační cestě nebo jednoduchým kontrolám implementace s růstovým místo umožňuje týmu, aby se rychle přesunuly, ale ne náklady na spravedlivý a spravovatelný profil rizika.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Prostředky pro vedoucího zabezpečení informacíResources for the chief information security officer

Poznatky o cloudu jsou zásadní pro přístup k revizi zásad s růst místo.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. Následující zdroje vám pomohou ředitelka zabezpečení informací lépe pochopit stav zabezpečení platformy Microsoft Azure.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Prostředky platformy zabezpečení:Security platform resources:

Ochrana osobních údajů a ovládací prvky:Privacy and controls:

DodržováníCompliance:

TransparentnostiTransparency:

Další krokyNext steps

Prvním krokem k provedení akce v jakékoli strategii zásad správného řízení je Kontrola zásad.The first step to taking action in any governance strategy is a policy review. Zásady a dodržování předpisů by mohly být užitečným průvodcem během kontroly zásad.Policy and compliance could be a useful guide during your policy review.