Funciones de seguridad en la nube

Las funciones son tareas y responsabilidades clave para una organización. Es decir, las funciones son "trabajos que se van a realizar".

En este artículo se proporciona un resumen de las funciones organizativas necesarias para administrar el riesgo de seguridad de la información en una empresa. Estos roles y responsabilidades forman la parte humana de un sistema de ciberseguridad general.

La seguridad es un deporte de equipo

Los usuarios del equipo de seguridad deben trabajar de forma conjunta y se deben considerar partes integrales de toda la organización. También forman parte de una comunidad de seguridad mayor que se defiende contra los mismos adversarios.

Esta visión holística permite que el trabajo en equipo supere los obstáculos y superposiciones no planificados detectados durante la evolución de los roles y las responsabilidades.

Tipos de funciones de seguridad

En el diagrama siguiente se muestran las funciones organizativas específicas dentro de la seguridad. Las funciones descritas representan una visión ideal de un equipo de seguridad empresarial completo. Es posible que los equipos de seguridad con recursos limitados no tengan responsabilidades formales definidas en torno a todas estas funciones. Cada función la puede realizar una o varias personas, y cada persona puede realizar una o varias funciones, en función de varios factores, como la referencia cultural, el presupuesto y los recursos disponibles.

Puede obtener más información sobre cada función en los artículos siguientes. Incluyen un resumen de los objetivos, cómo puede evolucionar la función y las relaciones y dependencias que son fundamentales para su éxito.

• Directivas y estándares
• Operaciones de seguridad
• Arquitectura de seguridad
• Administración del cumplimiento de la seguridad
• Seguridad de las personas
• Seguridad de las aplicaciones y DevSecOps
• Seguridad de datos
• Infraestructura y seguridad de los puntos de conexión
• Administración de identidades y claves
• Información sobre amenazas
• Administración de la posición
• Preparación de incidentes

Roles y responsabilidades

Se hace referencia a los roles de seguridad y las responsabilidades en toda la documentación de Microsoft, incluidos Azure Security Benchmark, el plan de modernización rápida para protección del acceso con privilegios y los procedimientos recomendados de seguridad de Azure.

En el diagrama siguiente se muestra cómo se asignan estas funciones a los tipos de rol dentro de una organización:

Asignación de la seguridad a los resultados empresariales

A nivel organizativo, las disciplinas de seguridad se asignan a las fases estándar de planificación, compilación y ejecución que se ven ampliamente en todos los sectores y organizaciones. La seguridad es tanto una disciplina con sus propias funciones únicas como un elemento crítico para integrarse en las operaciones empresariales normales.

Tipos de rol

En el diagrama, las responsabilidades se organizan en roles típicos que tienen conjuntos de aptitudes y perfiles profesionales comunes. Estas agrupaciones también ayudan a aportar claridad sobre cómo afectan las tendencias del sector a los profesionales de seguridad:

• Liderazgo de seguridad: estos roles suelen abarcar varias funciones, lo que garantiza que los equipos se coordinen entre sí. También proporcionan prioridades y establecen normas culturales, directivas y estándares para la seguridad.
• Arquitecto de seguridad: estos roles abarcan varias funciones y proporcionan una funcionalidad de gobernanza clave para garantizar que todas las funciones técnicas se desarrollen sin problemas dentro de una arquitectura coherente.
• Posición de seguridad y cumplimiento: un tipo de rol más reciente que representa la convergencia de los informes de cumplimiento con las disciplinas de seguridad tradicionales, como la administración de vulnerabilidades y las líneas base de configuración. Aunque el ámbito y el público son diferentes para los informes de seguridad y cumplimiento, en ambos casos miden la segura de la organización. La manera de responder a esa pregunta es cada vez más similar gracias a herramientas como Puntuación segura de Microsoft y Microsoft Defender for Cloud:
  • El uso de fuentes de distribución de datos a petición desde los servicios en la nube reduce el tiempo necesario para notificar el cumplimiento.
  • El mayor ámbito de datos disponibles permite a la gobernanza de la seguridad mirar más allá de las actualizaciones de software tradicionales y detectar las vulnerabilidades a partir de las configuraciones de seguridad y procedimientos operativos.
• Ingeniero de seguridad de plataforma: estos roles tecnológicos se centran en plataformas que hospedan varias cargas de trabajo, de control de acceso y protección de recursos. Estos roles a menudo se agrupan en equipos con conjuntos de aptitudes técnicas especializadas, como seguridad de red, infraestructura y puntos de conexión, administración de identidades y claves, etc. Estos equipos trabajan tanto en controles preventivos como en controles de detección, conde los controles de detección forman una asociación con SecOps, y los controles preventivos forman principalmente una asociación con las operaciones de TI. Para más información, consulte Integración de seguridad.
• Ingeniero de seguridad de aplicaciones: estos roles tecnológicos se centran en los controles de seguridad para cargas de trabajo específicas, y admiten tanto modelos de desarrollo clásicos como modelos de DevOps/DevSecOps modernos. Son una combinación de aptitudes de seguridad de aplicaciones y desarrollo para código único, y aptitudes de infraestructura para componentes técnicos comunes, como VM, bases de datos y contenedores. Estos roles pueden encontrarse en organizaciones centrales de TI o de seguridad, o bien en equipos empresariales y de desarrollo, en función de los factores de la organización.

Nota

A medida las tendencias de DevOps e infraestructura como código avancen, es probable que algunos talentos de seguridad migren de los equipos de ingeniería de seguridad de plataforma a equipos de seguridad de aplicaciones y roles de administración de posiciones. El modelo de DevOps necesita aptitudes de seguridad de infraestructura, como la protección de las operaciones en DevOps. Los equipos de gobernanza también necesitarán estas aptitudes y experiencia para supervisar de manera eficaz la posición de seguridad técnica en tiempo real. Además, la infraestructura como código automatizará tareas técnicas manuales repetitivas, lo que reducirá el tiempo necesario para estas aptitudes en los roles de ingeniero de seguridad de plataforma (aunque aumentará la necesidad de conjuntos de aptitudes técnicas amplias y de automatización o scripting).

Pasos siguientes

Más información sobre la seguridad en Microsoft Cloud Adoption Framework.