Funktion von Cloudsicherheitsrichtlinie und -standardsFunction of cloud security policy and standards

Sicherheitsrichtlinien- und standardsteams erstellen, genehmigen und veröffentlichen Sicherheitsrichtlinien und -standards, um Sicherheitsentscheidungen innerhalb der Organisation zu steuern.Security policy and standards teams author, approve, and publish security policy and standards to guide security decisions within the organization.

Die Richtlinien und Standards sollten:The policies and standards should:

  • Die Sicherheitsstrategie der Organisation detailliert genug wiedergeben, um Entscheidungen in der Organisation durch verschiedene Teams zu steuern.Reflect the organizations security strategy at a detailed enough way to guide decisions in the organization by various teams
  • Produktivität im gesamten Unternehmen ermöglichen und gleichzeitig das Risiko für das Geschäft und die Mission der Organisation verringern.Enable productivity throughout the organization while reducing risk to the organizations business and mission

Sicherheitsrichtlinien sollten langfristige nachhaltige Ziele widerspiegeln, die an der Sicherheitsstrategie und Risikotoleranz der Organisation ausgerichtet sind.Security policy should reflect long term sustainable objectives that align to the organizations security strategy and risk tolerance. Richtlinien sollten immer Folgendes behandeln:Policy should always address:

  • Einhaltung gesetzlicher Bestimmungen und aktueller Compliancestatus (erfüllte Anforderungen, akzeptierte Risiken usw.)Regulatory compliance requirements and current compliance status (requirements met, risks accepted, and so on.)
  • Bewertung des aktuellen Zustands unter Architekturaspekten sowie was sich technisch möglich entwickeln, implementieren und durchsetzen lässtArchitectural assessment of current state and what is technically possible to design, implement, and enforce
  • Organisationskultur und -einstellungenOrganizational culture and preferences
  • Bewährte BranchenmethodenIndustry best practices
  • Verantwortlichkeit von Sicherheitsrisiken, die entsprechenden Geschäftsbeteiligten zugewiesen sind, die für weitere Risiken und Geschäftsergebnisse verantwortlich sind.Accountability of security risk assigned to appropriate business stakeholders who are accountable for other risks and business outcomes.

Sicherheitsstandards definieren die Prozesse und Regeln, um die Ausführung der Sicherheitsrichtlinie zu unterstützen.Security standards define the processes and rules to support execution of the security policy.

ModernisierungModernization

Obwohl Richtlinien statisch bleiben sollten, sollten Standards dynamisch sein und fortlaufend neu bewertet werden, um mit den Änderungen in der Cloudtechnologie, Bedrohungsumgebung und geschäftlichen Wettbewerbslandschaft Schritt zu halten.While policy should remain static, standards should be dynamic and continuously revisited to keep up with pace of change in cloud technology, threat environment, and business competitive landscape.

Aufgrund dieser hohen Änderungsrate sollten Sie genau beobachten, wie viele Ausnahmen gemacht werden, da dies darauf hindeuten kann, dass Standards (oder Richtlinien) angepasst werden müssen.Because of this high rate of change, you should keep a close eye on how many exceptions are being made as this may indicate a need to adjust standards (or policy).

Sicherheitsstandards sollten Anleitungen enthalten, die für die Einführung der Cloud spezifisch sind, z. B.:Security standards should include guidance specific to the adoption of cloud such as:

  • Sichere Verwendung von Cloudplattformen zum Hosten von WorkloadsSecure use of cloud platforms for hosting workloads
  • Sichere Verwendung von DevOps-Modellen und Einbindung von Cloudanwendungen, APIs und Diensten in die EntwicklungSecure use of DevOps model and inclusion of cloud applications, APIs, and services in development
  • Verwendung von Kontrollen des Identitätsumkreises, um Kontrollen des Netzwerkumkreises zu ergänzen oder zu ersetzenUse of identity perimeter controls to supplement or replace network perimeter controls
  • Definieren Ihrer Segmentierungsstrategie vor dem Verlagern Ihrer Workloads auf die IaaS-PlattformDefine your segmentation strategy prior to moving your workloads to IaaS platform
  • Markieren und Klassifizieren der Vertraulichkeit von RessourcenTagging and classifying the sensitivity of assets
  • Definieren eines Prozesses zur Bewertung und Sicherstellung, dass Ihre Assets ordnungsgemäß konfiguriert und geschützt sindDefine process for assessing and ensuring your assets are configured and secured properly

Teamzusammensetzung und wichtige BeziehungenTeam composition and key relationships

Cloudsicherheitsrichtlinie und -standards werden üblicherweise von den folgenden Arten von Rollen bereitgestellt.Cloud security policy and standards are commonly provided by the following types of roles. Die Organisationsrichtlinie sollte Folgende informieren (und von diesen informiert werden):The organizational policy should inform (and be informed by):

  • SicherheitsarchitekturenSecurity architectures
  • Compliance- und RisikomanagementteamsCompliance and risk management teams
  • Führungskräfte und Vertreter von GeschäftseinheitenBusiness unit's leadership and representatives
  • InformationstechnologieInformation technology
  • Auditing- und juristische TeamsAudit and legal teams

Die Richtlinie sollte auf Grundlage vieler Eingaben/Anforderungen aus dem gesamten Unternehmen optimiert werden, einschließlich, aber nicht beschränkt auf jene, die Diagramm der Sicherheitsübersicht dargestellt sind.The policy should be refined based on many inputs/requirements from across the organization, including but not restricted to those depicted in the security overview diagram.

Nächste SchritteNext steps

Sehen Sie sich die Funktion eines Cloud Security Operations Centers (SOC) an.Review the function of a cloud security operations center (SOC).