Mejora de la seguridad en la zona de aterrizaje

  • Artículo

Cuando la carga de trabajo, o las zonas de aterrizaje en la que se hospeda, requieren acceso a datos confidenciales o a sistemas críticos, es importante proteger los datos y los recursos.

Seguridad

Cuando salga del estado Listo, tiene la responsabilidad continua de mantener la seguridad de su entorno. La seguridad en la nube también es un proceso incremental en lugar de solo un destino estático. Céntrese en los objetivos y los resultados clave al prever un estado final de seguridad. Asigne conceptos, marcos y estándares a las materias de metodología segura de CAF junto con la asignación de roles y responsabilidades para materias para usuarios. La metodología segura le proporcionará instrucciones.

A continuación, se proporciona información general sobre esta guía con vínculos a los detalles.

Información de riesgo

Tenga en cuenta que las operaciones empresariales tienen riesgos de seguridad. El equipo de seguridad debe informar y asesorar a los responsables de la toma de decisiones sobre cómo deben encajar los riesgos de seguridad en sus marcos mediante la comprensión de la empresa y el uso de procedimientos de seguridad para reconocer qué riesgo analizar y poder tomar medidas adecuadas.

  • ¿Qué es el riesgo de ciberseguridad?: son todos los daños posibles o la destrucción del negocio causados por atacantes humanos que intentan robar divisas, información interna o tecnología.
  • Alineación de la administración de riesgos de seguridad: invierta en puentes de ciberseguridad y liderazgo organizativo para explicar las amenazas de seguridad mediante terminología de empresa sencilla, y recuerde escuchar de forma activamente a todas las personas de la empresa y comuníqueles cualquier novedad.
  • Descripción del riesgo de ciberseguridad: comprenda las motivaciones y los patrones de comportamiento de los atacantes humanos para robar dinero, información o tecnología e identificar los posibles impactos de diferentes tipos de ataques.

Integración de seguridad

Recuerde que la seguridad es un problema organizativo que no debe limitarse a un único grupo. La integración de seguridad proporciona instrucciones sobre cómo integrar la seguridad en todos los roles, a la vez que se minimiza la fricción con los procesos empresariales. Las instrucciones específicas incluyen:

  • Normalización de las relaciones: asegúrese de que todos los equipos se integran con los equipos de seguridad y de que comparten sus conocimientos de los objetivos de seguridad. Además, debe encontrar el nivel correcto de controles de seguridad y así garantizar que los controles no superan el valor empresarial.
  • Integración con TI y operaciones empresariales: equilibre la implementación de actualizaciones de seguridad; para ello debe entender cómo todos los procesos de seguridad afectan a la empresa y sus posibles riesgos de seguridad en el futuro.
  • Integración de equipos de seguridad: evite trabajar en silos respondiendo a amenazas activas y mejore continuamente la posición de seguridad de la organización; para ello, considere la seguridad como una materia dinámica.

Resistencia empresarial

Aunque las organizaciones nunca pueden tener una seguridad perfecta, todavía existe el enfoque pragmático de resistencia empresarial, que recomienda la inversión en el ciclo de vida completo de un riesgo de seguridad antes, durante y después de un incidente.

  • Objetivos de resistencia: céntrese en permitir que su negocio innove rápidamente, limite el impacto y busque siempre formas seguras de adoptar tecnología.
  • Resistencia de seguridad y vulnerabilidades: suponga que la vulneración o el compromiso siguen el principio clave de confianza cero e implemente comportamientos de seguridad pragmáticos para evitar ataques, limitar los daños y recuperarse rápidamente ante ellos.

Control de acceso

Cree una estrategia de control de acceso que alinee tanto la experiencia del usuario como las garantías de seguridad.

  • Desde el perímetro de seguridad hasta la confianza cero: adopte un enfoque de confianza cero para el control de acceso y así establecer y mejorar las garantías de seguridad al trabajar en la nube y usar nuevas tecnologías.
  • Control de acceso moderno: cree una estrategia de control de acceso integral, coherente y flexible. Vaya más allá de una única táctica o tecnología para varias cargas de trabajo, nubes y varios niveles de confidencialidad empresarial.
  • Conocido, de confianza y permitido: siga el proceso dinámico de tres pasos para garantizar la autenticación conocida, la confianza en el usuario o el dispositivo y permitir los derechos y privilegios adecuados para la aplicación, el servicio o los datos.
  • Decisiones de acceso controladas por datos: tome decisiones informadas de los diversos datos de los usuarios y dispositivos para cumplir con la validación explícita.
  • Segmentación; separe para proteger: cree límites como segmentos independientes de un entorno interno para contener daños de ataques exitosos.
  • Aislamiento; evitar el firewall y olvidar: diseñe una forma extrema de segmentación para los recursos críticos de la empresa que conste de personas, procesos y tecnología.

Operaciones de seguridad

Establezca operaciones de seguridad mediante la reducción del riesgos, la respuesta rápida y la recuperación para proteger su organización y seguir los pasos de la materia de seguridad del proceso de DevOps.

  • Personas y procesos: cree una cultura para convertir a las personas con herramientas en su activo más valioso y diversifique su cartera de ideas mediante la inclusión y formación de personas que no tienen que ver con la tecnología pero que tengan una base sólida en roles de investigación forense.
  • Modelo de operaciones de seguridad: céntrese en los resultados de la administración de incidentes, la preparación de estos y la inteligencia sobre amenazas. Delegue los resultados entre subequipos para evaluar, investigar y buscar incidentes complejos y de gran volumen.
  • Puntos de contacto empresariales de SecOps: interactúe con los líderes de la empresa para informarles de los principales incidentes y determinar el impacto en los sistemas críticos. Es necesaria una respuesta práctica conjunta y continua para reducir el riesgo de la organización.
  • Modernización de SecOps: actualice las operaciones de seguridad siguiendo las tendencias relacionadas con la cobertura de la plataforma, la seguridad centrada en la identidad, los dispositivos IoT y OT y la telemetría pertinente de la nube.

Protección de recursos

Proteja los recursos críticos para la empresa, que incluyen todos los elementos físicos y virtuales, mediante la implementación de controles de seguridad únicos para cada tipo de recurso. Ejecute de forma coherente la protección preventiva y de detección para cumplir con las directivas, los estándares y la arquitectura.

  • Protección: incorpore los recursos a las directivas y estándares de seguridad más recientes de la organización aplicando controles actuales a los recursos de Brownfield y garantice que los recursos de Greenfield tengan establecidos los estándares más recientes.
  • Mantenimiento de la seguridad: tenga en cuenta la mejora continua de la nube y planee la actualización o retirada del software al final de su vida útil, a medida que los requisitos empresariales, tecnológicos y de seguridad cambien rápidamente.
  • Introducción: empiece a proteger los recursos centrándose primero en recursos en la nube conocidos y use líneas de base conocidas y probadas del proveedor o del sector para la configuración de seguridad.
  • Información clave: use los elementos clave de los equipos responsables para administrar los recursos de toda la empresa, como las necesidades de carga de trabajo de elasticidad de la nube y los controles de diseño para identificar los procedimientos recomendados. Mida el valor empresarial de la protección de recursos y favorezca la directiva automatizada para evitar costos y repeticiones manuales.

Gobernanza de la seguridad

Supervise la gobernanza de seguridad para mantener y mejorar la posición de seguridad a lo largo del tiempo mediante el uso de objetivos empresariales y de riesgos para determinar cuál será la mejor dirección para la seguridad.

  • Cumplimiento e informes: haga que las directivas de seguridad internas y externas cumplan los requisitos obligatorios en un sector determinado.
  • Arquitectura y estándares: cree una vista unificada en todo el patrimonio empresarial, ya que la mayoría de las empresas son un entorno híbrido que incluye recursos locales y en la nube.
  • Administración de la posición de seguridad: planee la gobernanza para supervisar los estándares de seguridad, proporcionar instrucciones y mejorar los procesos. Mantenga la agilidad mediante la gobernanza controlada a través de la directiva y la mejora continua.
  • Disciplinas de gobernanza y protección: aplique controles de seguridad y proporcione comentarios para identificar las mejores soluciones.
  • Gobernanza y operaciones de seguridad: asegúrese de que las lecciones aprendidas de los incidentes se integran en las operaciones de seguridad y la gobernanza.

Seguridad de la innovación

Proteja los procesos y los datos de innovación contra los ciberataques a medida que se desarrollan nuevas aplicaciones, teniendo en cuenta la seguridad de la innovación.

  • ¿Qué es DevSecOps?: es la seguridad integrada en el proceso ya combinado de desarrollo y operaciones en DevOps, para mitigar los riesgos en el proceso de innovación.
  • Protección del diseño y desplazamiento a la izquierda: tenga en cuenta la seguridad en todas las fases del ciclo de vida de DevOps y haga que los equipos se alineen con la velocidad de innovación, la confiabilidad y la resistencia.
  • ¿Por qué DevSecOps?: para asegurar que el proceso de DevOps está protegido contra atacantes que aprovechan debilidades en toda la infraestructura de TI de su organización, que a su vez protege a los clientes.
  • El recorrido DevSecOps: use la creación de ideas y DevOps como un proceso de dos fases, como la mayoría de las organizaciones. Identifique los requisitos de MVP (producto mínimo viable), use técnicas de liderazgo para resolver conflictos entre equipos e integre la seguridad en los procesos y herramientas existentes.
  • Sugerencias para realizar el recorrido: a medida que transforma sus procesos de seguridad, encontrará desafíos comunes durante todo el recorrido que implicarán invertir en educación, tiempo y recursos y tener en cuenta la naturaleza cambiante general de las operaciones de TI.

Controles de DevSecOps

Agregue seguridad a cada fase de integración continua y entrega continua (CI/CD) al realizar controles de DevSecOps.

  • Planeamiento y desarrollo: incorpore la seguridad a la fase de planeamiento en metodologías de desarrollo modernas para implementar el modelado de amenazas, los complementos de seguridad de IDE o la confirmación previa y la revisión del mismo nivel.
  • Confirmación del código: evalúe e implemente la funcionalidad del examen de vulnerabilidades en los repositorios centralizados para detectar riesgos y realizar la corrección.
  • Compilación y prueba: use canalizaciones de versión y de compilación para automatizar y normalizar los procesos de creación e implementación de código seguro sin tener que dedicar grandes cantidades de tiempo a volver a implementar o actualizar los entornos existentes.
  • Vaya a la producción y realice las operaciones oportunas: supervise y administre el estado de seguridad cuando la solución se lleve a la fase de producción. Use herramientas de análisis de infraestructura y prácticas de pruebas de penetración para permitir que los equipos encuentren riesgos y vulnerabilidades para solucionarlos.

Ciclo de desarrollo controlado por pruebas

Antes de comenzar con las mejoras de seguridad, es importante comprender la "definición de finalización" y todos los "criterios de aceptación". Para obtener más información, consulte los artículos sobre el desarrollo controlado por pruebas de las zonas de aterrizaje y el desarrollo controlado por pruebas de Azure.

Pasos siguientes

Comprenda cómo mejorar las operaciones de zona de aterrizaje para admitir aplicaciones críticas.

Mejora de las operaciones en la zona de aterrizaje