Cloudsicherheitsfunktionen

Dieser Artikel enthält eine Zusammenfassung der Organisationsfunktionen, die zur Verwaltung des Informationssicherheitsrisikos in einem Unternehmen erforderlich sind. Diese Rollen und Zuständigkeiten stellen den Teil eines gesamten Cybersicherheitssystems dar, für den Menschen verantwortlich sind.

Sicherheit ist eine gemeinsame Aufgabe.

Es ist entscheidend, dass sich die Mitglieder des Sicherheitsteams gegenseitig als Teil eines ganzen Sicherheitsteams sehen, das wiederum Teil der gesamten Organisation und Teil einer größeren Sicherheitscommunity ist, die sich gegen dieselben Angreifer verteidigt.

Diese ganzheitliche Sichtweise ermöglicht es dem Team in der Regel, gut zu arbeiten. Es ist besonders wichtig, da die Teams alle ungeplanten Lücken und Überschneidungen verarbeiten müssen, die während der Entwicklung von Rollen und Zuständigkeiten erkannt werden.

Sicherheitsaufgaben (Funktionen)

Das unten stehende Diagramm zeigt die spezifischen Organisationsfunktionen im Zusammenhang mit der Sicherheit. Diese Funktionen werden häufig als Zuständigkeiten oder als „zu erledigende Aufgaben“ bezeichnet.

Die Diagramme und die Dokumentation stellen eine ideale Sicht des ganzen Unternehmenssicherheitsteams dar. Für Sicherheitsteams mit begrenzten Ressourcen, die nicht über definierte formale Zuständigkeiten für all diese Funktionen verfügen, kann dieses Konzept ein ehrgeiziges Ziel sein. Jede Funktion kann von einer oder mehreren Personen ausgeführt werden, und jede Person kann abhängig von verschiedenen Faktoren (z. B. Kultur, Budget und verfügbare Ressourcen) eine oder mehrere Funktionen übernehmen.

Ansicht der Verantwortlichkeiten/Funktionen eines Unternehmenssicherheitsteams

Jeder der folgenden Artikel enthält Informationen zu den einzelnen Funktionen, eine Zusammenfassung der Ziele, einen Überblick, wie sich die Funktion aufgrund der Bedrohungsumgebung oder der Änderungen der Cloudtechnologie entwickeln kann, sowie die Beziehungen und Abhängigkeiten, die für den Erfolg entscheidend sind.

Auf diese Zuständigkeiten wird in der gesamten Microsoft-Dokumentation verwiesen, u. a. in Azure Security Benchmark, Sichern des privilegierten Zugriffs: Schneller Modernisierungsplan und Top 10 der Azure-Sicherheit.

Rollen und Zuständigkeiten

Das folgende Diagramm zeigt die Zuordnung zwischen diesen Funktionen und den Rollentypen innerhalb einer Organisation:

Übersicht über die Sicherheitsrollen und Zuständigkeiten

Zuordnung zwischen Sicherheit und Geschäftsergebnissen

Auf Organisationsebene lassen sich die Sicherheitsdisziplinen den standardmäßigen Phasen „Planen“, „Erstellen“ und „Ausführen“ zuordnen, die branchenübergreifend in vielen Organisationen angewendet werden. Obwohl sich dieser Zyklus im digitalen Zeitalter und mit der Einführung von DevOps verkürzt und zu einem kontinuierlichen Änderungszyklus entwickelt, zeigt dies doch, wie Sicherheit und normale Geschäftsprozesse miteinander verknüpft sind.

Sicherheit ist eine Disziplin mit eigenen einzigartigen Funktionen und ein wichtiges Element, das in den normalen Geschäftsbetrieb integriert werden sollte.

Rollentypen

Im mittleren (dunkelblauen) Abschnitt werden diese Zuständigkeiten in typischen Rollen mit gemeinsamen Kompetenzen, Qualifikationen und Berufsprofilen zusammengefasst. Diese Gruppierungen sorgen auch für Klarheit darüber, wie sich Branchentrends auf die Aufgabenbereiche von Sicherheitsexperten auswirken:

  • Führungskräfte im Sicherheitsbereich: Diese Rollen umfassen oft mehrere Funktionen. Sie stellen die Absprache und Koordination zwischen Teams sicher, setzen Prioritäten und geben kulturelle Normen, Richtlinien und Standards für die Sicherheit vor.

  • Sicherheitsarchitekt: Diese Rollen umfassen mehrere Funktionen und haben eine wichtige Governancefunktion, durch die die harmonische Zusammenarbeit aller technischen Funktionen innerhalb einer konsistenten Architektur sichergestellt wird.

  • Sicherheitsstatus und Compliance: Dies ist ein neuerer Rollentyp, der die zunehmende Konvergenz von Complianceberichterstellung und herkömmlichen Sicherheitsdisziplinen wie der Verwaltung von Sicherheitsrisiken und Konfigurationsbaselines darstellt. Der Bereich und die Zielgruppe von Sicherheits- und Complianceberichterstellung unterscheiden sich, sie beantworten jedoch beide verschiedene Versionen der Frage „Wie sicher ist die Organisation?“. Mit Tools wie der Microsoft-Sicherheitsbewertung und Azure Security Center wird diese Frage zunehmend auf die gleiche Weise beantwortet:

    • Die Verwendung bedarfsgesteuerter Datenfeeds von Clouddiensten reduziert den Zeitaufwand für die Erstellung von Complianceberichten.
    • Der größere Umfang verfügbarer Daten ermöglicht es der Sicherheitsgovernance, über herkömmliche Softwareupdates/Patches hinaus zu blicken und durch Sicherheitskonfigurationen sowie betriebliche Verfahren verursachte „Sicherheitsrisiken“ zu erkennen und nachzuverfolgen.
  • Plattformsicherheitstechniker: Diese Technologierollen konzentrieren sich auf Plattformen, die mehrere Workloads hosten. Ihr Schwerpunkt sind sowohl die Zugriffssteuerung als auch der Schutz von Ressourcen. Sie werden häufig in Teams mit speziellen technischen Qualifikationen wie Netzwerksicherheit, Infrastruktur und Endpunkte, Identitäts- und Schlüsselverwaltung usw. zusammengefasst. Die Teams setzen sowohl präventive als auch detektive Kontrollen ein. Für detektive Kontrollen arbeiten sie mit SecOps zusammen und für präventive Kontrollen in erster Linie mit dem IT-Betriebsteam. Weitere Informationen finden Sie unter Sicherheitsintegration.

  • Anwendungssicherheitstechniker: Diese Technologierollen konzentrieren sich auf Sicherheitskontrollen für bestimmte Workloads und unterstützen sowohl klassische Entwicklungsmodelle als auch moderne DevOps-/DevSecOps-Modelle. Sie verfügen über eine Mischung von Qualifikationen – Kenntnisse im Bereich der Anwendungs-/Entwicklungssicherheit für eindeutigen Code sowie Infrastrukturkenntnisse für allgemeine technische Komponenten wie VMs, Datenbanken und Container. Abhängig von organisatorischen Faktoren können diese Rollen Teil der zentralen IT- oder Sicherheitsorganisationen oder der Geschäfts- und Entwicklungsteams sein.

Hinweis

Mit der zunehmenden Verbreitung von DevOps und Infrastructure-as-Code werden voraussichtlich einige Sicherheitsexperten aus den Technikerteams für die Plattformsicherheit in Anwendungssicherheitsteams und Rollen für die Sicherheitsstatusverwaltung wechseln. Dies ist darauf zurückzuführen, dass das DevOps-Modell Kenntnisse in der Infrastruktursicherheit erfordert (z. B. zum Gewährleisten der betrieblichen Sicherheit – das Ops in DevOps), und Governanceteams diese Qualifikationen und Kenntnisse ebenfalls benötigen, um den technischen Sicherheitsstatus effektiv in Echtzeit zu überwachen. Durch Infrastructure-as-Code werden zudem manuelle technische Routineaufgaben automatisiert, sodass der erforderliche Zeitaufwand für diese Aufgaben der Plattformsicherheitstechniker-Rollen abnimmt (gleichzeitig steigt jedoch der Bedarf an Mitarbeitern mit umfassenden technischen Qualifikationen und Kenntnissen in der Automatisierung oder Skripterstellung).

Nächste Schritte

Informieren Sie sich über die Secure-Methodik.