Metriky a metriky tolerance v oboru standardních hodnot zabezpečeníRisk tolerance metrics and indicators in the Security Baseline discipline

Naučte se kvantifikovat toleranci obchodního rizika spojenou s oborem standardních hodnot zabezpečení.Learn to quantify business risk tolerance associated with the Security Baseline discipline. Definování metrik a indikátorů pomáhá vytvořit obchodní případ pro investice do splatnosti tohoto oboru.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MetrikyMetrics

Základ směrného plánu zabezpečení se obecně zaměřuje na identifikaci potenciálních ohrožení zabezpečení v cloudových nasazeních.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. V rámci analýzy rizik budete chtít shromažďovat data týkající se vašeho prostředí zabezpečení a zjistit, kolik rizika čelíte a jak důležité investice do vašeho základu směrného plánu zabezpečení jsou určené pro vaše plánovaná cloudová nasazení.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

Každá organizace má různá prostředí zabezpečení a požadavky a různé potenciální zdroje dat zabezpečení.Every organization has different security environments and requirements and different potential sources of security data. Následují příklady užitečných metrik, které byste měli shromáždit, abyste mohli vyhodnotit toleranci rizik v rámci základny standardních hodnot zabezpečení:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Klasifikace dat: Počet dat uložených v cloudu a služeb, které nejsou klasifikovány na základě ochrany osobních údajů, dodržování předpisů nebo obchodních dopadů vaší organizace.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Počet citlivých úložišť dat: Počet koncových bodů úložiště nebo databází, které obsahují citlivá data a měly by být chráněny.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Počet nešifrovaných úložišť dat: Počet citlivých úložišť dat, která nejsou šifrována.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Plocha pro útok: Kolik celkových zdrojů dat, služeb a aplikací bude hostovaných v cloudu.Attack surface: How many total data sources, services, and applications will be cloud-hosted. Jaké procento těchto zdrojů dat je klasifikovaných jako citlivé?What percentage of these data sources are classified as sensitive? Jaké procento těchto aplikací a služeb je klíčové?What percentage of these applications and services are mission-critical?
  • Zahrnuté standardy: Počet standardů zabezpečení, které jsou definovány bezpečnostním týmem.Covered standards: Number of security standards defined by the security team.
  • Zahrnuté prostředky: Nasazené prostředky, které jsou pokryté standardy zabezpečení.Covered resources: Deployed assets that are covered by security standards.
  • Celkový soulad standardů: Poměr kompatibility dodržování standardů zabezpečení.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Útoky podle závažnosti: Kolik koordinovaných pokusů o narušování služeb hostovaných v cloudu, jako jsou útoky DDoS (Distributed Denial of Service), je prostředí vaší infrastruktury?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? Jaká je velikost a závažnost těchto útoků?What is the size and severity of these attacks?
  • Ochrana proti malwaru: Procento nasazených virtuálních počítačů, které mají nainstalované všechny požadované antimalwarové, firewallové nebo jiné bezpečnostní software.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Latence opravy: Jak dlouho to bylo, vzhledem k tomu, že virtuální počítače měly použité operační systémy a opravy softwaru.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Doporučení pro stav zabezpečení: Počet doporučení pro zabezpečení softwaru pro řešení standardů pro nasazení nasazených prostředků uspořádaných podle závažnostiSecurity health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Indikátory tolerance rizikRisk tolerance indicators

Cloudové platformy poskytují základní sadu funkcí, které umožňují týmům malého nasazení nakonfigurovat základní nastavení zabezpečení bez rozsáhlého dalšího plánování.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. V důsledku toho malé vývojové a testovací nebo experimentální první pracovní zátěže, které neobsahují citlivé údaje, reprezentují relativně nízkou úroveň rizika a pravděpodobně nebudou potřebovat spoustu možností formálních zásad standardních hodnot zabezpečení.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. Jakmile se důležitá data nebo důležité funkce nástroje přesunou do cloudu, zvyšují se rizika zabezpečení, zatímco tolerance těchto rizik rychle snižuje riziko.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. S tím, jak jsou vaše data a funkce nasazené do cloudu, je pravděpodobnější, že budete potřebovat vyšší investice do oboru standardních hodnot zabezpečení.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

V počátečních fázích přijetí cloudu Spolupracujte se svým týmem zabezpečení IT a podnikovými stranami, abyste zjistili obchodní rizika související se zabezpečením a pak určili přijatelný základ pro toleranci bezpečnostního rizika.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. V této části architektury pro přijetí do cloudu najdete příklady, ale podrobná rizika a směrné plány vaší společnosti nebo nasazení se můžou lišit.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Jakmile budete mít základnu, stanovte minimální srovnávací testy představující nepřijatelný nárůst zjištěných rizik.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Tyto srovnávací testy fungují jako triggery, pokud potřebujete provést akci k nápravě těchto rizik.These benchmarks act as triggers for when you need to take action to remediate these risks. Tady je několik příkladů, jak metriky zabezpečení, jako jsou třeba výše popsané, můžou zvýšit investice do základny standardních hodnot zabezpečení.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Aktivační událost pro klíčové úlohy.Mission-critical workloads trigger. Společnost, která nasazuje klíčové úlohy do cloudu, by měla investovat do oboru standardních hodnot zabezpečení, aby se předešlo potenciálnímu výpadku služby nebo citlivému ohrožení dat.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Aktivační událost chráněných dat.Protected data trigger. Společnost hostující data v cloudu, která může být klasifikována jako důvěrná, soukromá nebo jinak podléhající regulativním předpisům.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. Potřebují pravidla standardních hodnot zabezpečení, aby se zajistilo, že se tato data nevztahují ke ztrátě, expozici nebo krádeži.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Trigger externích útoků.External attacks trigger. Společnost, která dosahuje vážných útoků na jejich síťovou infrastrukturu x měsíčně, může těžit z oboru standardních hodnot zabezpečení.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Aktivační událost kompatibility standardů.Standards compliance trigger. Společnost s více než x% prostředků z hlediska dodržování standardů zabezpečení by měla investovat do směrného plánu zabezpečení, aby zajistila konzistenci standardů v infrastruktuře IT.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Aktivace velikosti majetku v clouduCloud estate size trigger. Společnost hostující více než x aplikací, služeb nebo zdrojů dat.A company hosting more than x applications, services, or data sources. Nasazení ve velkém cloudu může těžit z investic do disciplíny standardních hodnot zabezpečení, aby bylo zajištěno, že jejich celkový způsob útoku bude správně chráněn před neoprávněným přístupem nebo jinými externími hrozbami.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Aktivační událost dodržování předpisů pro zabezpečení softwaru.Security software compliance trigger. Společnost, kde je nainstalován veškerý požadovaný bezpečnostní software menší než x% nasazených virtuálních počítačů.A company where less than x% of deployed virtual machines have all required security software installed. Pomocí pravidla směrného plánu zabezpečení je možné zajistit, že software bude nainstalován konzistentně na veškerý software.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Trigger opravy.Patching trigger. Společnost, ve které se nasadily virtuální počítače nebo služby, ve kterých se operační systémy nebo opravy softwaru nepoužívaly během posledních x dnů.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. Pomocí pravidla standardních hodnot zabezpečení je možné zajistit, aby opravy byly v požadovaném plánu v aktuálním stavu.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • Zaměřený na zabezpečení.Security-focused. Některé společnosti budou mít silné požadavky na zabezpečení a důvěrnost dat, a to i pro testovací a experimentální úlohy.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Tyto společnosti budou muset investovat do směrného plánu zabezpečení, aby mohli začít všechna nasazení.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

Přesné metriky a triggery, které používáte k měření tolerance rizika a úroveň investic do směrného plánu zabezpečení, budou specifické pro vaši organizaci, ale výše uvedené příklady by měly sloužit jako užitečnou základnu pro diskuzi v rámci týmu zásad správného řízení v cloudu.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Další krokyNext steps

Pomocí šablony pravidla směrného plánu zabezpečení můžete zdokumentovat metriky a indikátory tolerance, které odpovídají aktuálnímu plánu přijetí cloudu.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Projděte si ukázkový základní zásady zabezpečení jako výchozí bod pro vývoj vlastních zásad, které budou řešit konkrétní podniková rizika zarovnaná s plány pro přijetí v cloudu.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.