Metriche e indicatori di tolleranza al rischio nella disciplina della linea di base di sicurezzaRisk tolerance metrics and indicators in the Security Baseline discipline

Informazioni su come quantificare la tolleranza ai rischi aziendali associata alla disciplina della linea di base di sicurezza.Learn to quantify business risk tolerance associated with the Security Baseline discipline. La definizione di metriche e indicatori consente di creare un business case per investire nella maturità di questa disciplina.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MetricheMetrics

La disciplina di base della sicurezza è in genere incentrata sull'identificazione delle potenziali vulnerabilità nelle distribuzioni cloud.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. Nell'ambito dell'analisi dei rischi, è opportuno raccogliere i dati relativi all'ambiente di sicurezza per determinare la quantità di rischio che si sta affrontando e l'importanza dell'investimento nella disciplina di base della sicurezza per le distribuzioni cloud pianificate.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

Ogni organizzazione dispone di ambienti di sicurezza e requisiti diversi, oltre a potenziali origini di dati sulla sicurezza diverse.Every organization has different security environments and requirements and different potential sources of security data. Sono riportati alcuni esempi di metriche utili che è necessario raccogliere per valutare la tolleranza ai rischi all'interno della disciplina Baseline di sicurezza:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Classificazione dei dati: Numero di servizi e dati archiviati nel cloud che non sono stati classificati in base agli standard di privacy, conformità o effetti aziendali dell'organizzazione.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Numero di archivi dati sensibili: Numero di endpoint di archiviazione o database che contengono dati sensibili e che devono essere protetti.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Numero di archivi dati non crittografati: Numero di archivi dati sensibili che non sono crittografati.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Superficie di attacco: Il numero totale di origini dati, servizi e applicazioni che saranno ospitate nel cloud.Attack surface: How many total data sources, services, and applications will be cloud-hosted. Che percentuale di origini dati è classificata come sensibile?What percentage of these data sources are classified as sensitive? Che percentuale di applicazioni e servizi è cruciale?What percentage of these applications and services are mission-critical?
  • Standard interessati: Numero di standard di sicurezza definiti dal team di sicurezza.Covered standards: Number of security standards defined by the security team.
  • Risorse coperte: Asset distribuiti coperti da standard di sicurezza.Covered resources: Deployed assets that are covered by security standards.
  • Conformità agli standard generali: Rapporto di conformità rispetto agli standard di sicurezza.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Attacchi per gravità: Il numero di tentativi coordinati di interferire con i servizi ospitati nel cloud, ad esempio tramite attacchi di tipo Denial of Service (DDoS) distribuiti, offre un'esperienza di infrastruttura?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? Quali sono le dimensioni e la gravità di questi attacchi?What is the size and severity of these attacks?
  • Malware Protection: Percentuale di macchine virtuali distribuite in cui è installato tutto il software anti-malware, firewall o altro software di protezione necessario.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Latenza patch: Quanto tempo è dovuto al fatto che le macchine virtuali hanno applicato patch del sistema operativo e del software.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Raccomandazioni sull'integrità della sicurezza: Numero di consigli sul software di sicurezza per la risoluzione degli standard di integrità per le risorse distribuite, organizzati in base alla gravità.Security health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Indicatori sulla tolleranza ai rischiRisk tolerance indicators

Le piattaforme cloud offrono un set di baseline di funzionalità che consente a piccoli team di distribuzione di configurare le impostazioni di sicurezza di base senza una pianificazione approfondita aggiuntiva.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. Di conseguenza, i carichi di lavoro di sviluppo/test o sperimentali di piccole dimensioni che non includono dati sensibili rappresentano un livello di rischio relativamente basso e probabilmente non hanno bisogno di molto secondo i criteri di base della sicurezza formale.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. Non appena si spostano i dati importanti o le funzionalità cruciali nel cloud, i rischi per la sicurezza aumentano, mentre la tolleranza per questi rischi diminuisce rapidamente.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. Maggiore è la quantità di funzionalità e dati che vengono distribuiti nel cloud, più è probabile la necessità di un maggiore investimento nella disciplina Baseline di sicurezza.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

Nelle prime fasi di adozione del cloud è necessario lavorare con il team addetto alla sicurezza IT e con gli azionisti aziendali per identificare i rischi aziendali correlati alla sicurezza, quindi definire una baseline accettabile per la tolleranza ai rischi di sicurezza.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. Questa sezione del Framework di adozione del cloud fornisce esempi, ma i rischi e le basi di riferimento dettagliati per la società o le distribuzioni potrebbero essere diversi.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Dopo aver creato una baseline, è necessario stabilire i benchmark minimi che rappresentano un aumento inaccettabile dei rischi identificati.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Questi benchmark fungono da trigger per quando è necessario intervenire per correggere questi rischi.These benchmarks act as triggers for when you need to take action to remediate these risks. Di seguito sono riportati alcuni esempi del modo in cui le metriche di sicurezza, ad esempio quelle descritte in precedenza, possono giustificare un maggiore investimento nella disciplina Baseline di sicurezza.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Attivazione dei carichi di lavoro di importanza critica.Mission-critical workloads trigger. Una società che distribuisce carichi di lavoro cruciali nel cloud deve investire nella disciplina Baseline di sicurezza per evitare potenziali interruzioni del servizio o esposizione di dati sensibili.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Trigger dati protetti.Protected data trigger. Una società che ospita nel cloud dati che possono essere classificati come riservati, privati o comunque soggetti a problemi normativi.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. È necessaria una disciplina Baseline di sicurezza per garantire che tali dati non siano soggetti a rischi di perdita, esposizione o furto.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Trigger External attacks.External attacks trigger. Una società che sperimenta gravi attacchi contro la loro infrastruttura di rete x volte al mese può trarre vantaggio dalla disciplina della linea di base di sicurezza.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Trigger di conformità agli standard.Standards compliance trigger. Una società con più dell' x% di risorse per la conformità agli standard di sicurezza deve investire nella disciplina della linea di base di sicurezza per garantire che gli standard vengano applicati in modo coerente nell'infrastruttura IT.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Trigger dimensioni cloud.Cloud estate size trigger. Società che ospita più di x applicazioni, servizi o origini dati.A company hosting more than x applications, services, or data sources. Le distribuzioni cloud di grandi dimensioni possono trarre vantaggio dagli investimenti nella disciplina Baseline di sicurezza per garantire che la superficie di attacco complessiva sia adeguatamente protetta da accessi non autorizzati o altre minacce esterne.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Trigger di conformità del software di sicurezza.Security software compliance trigger. Una società in cui è installato un software di protezione inferiore all' x% delle macchine virtuali distribuite.A company where less than x% of deployed virtual machines have all required security software installed. È possibile usare una disciplina Baseline di sicurezza per garantire che il software sia installato in modo coerente in tutto il software.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Trigger di applicazione di patch.Patching trigger. Azienda in cui sono state distribuite le macchine virtuali o i servizi in cui le patch del sistema operativo o del software non sono state applicate negli ultimi x giorni.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. È possibile usare una disciplina Baseline di sicurezza per garantire che l'applicazione di patch venga mantenuta aggiornata all'interno di una pianificazione obbligatoria.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • Incentrato sulla sicurezza.Security-focused. Alcune società dispongono di requisiti rigorosi in termini di sicurezza e riservatezza, anche per carichi di lavoro di test e sperimentali.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Queste società hanno la necessità di investire nella disciplina Baseline di sicurezza prima di poter iniziare qualsiasi distribuzione.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

Le metriche e i trigger esatti usati per misurare la tolleranza ai rischi e il livello di investimento nella disciplina della linea di base di sicurezza saranno specifici per l'organizzazione, ma gli esempi precedenti dovrebbero fungere da base utile per discutere nel team di governance del cloud.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Passaggi successiviNext steps

Usare il modello di disciplina di base di sicurezza per documentare le metriche e gli indicatori di tolleranza che si allineano al piano di adozione del Cloud corrente.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Esaminare i criteri di base di sicurezza di esempio come punto di partenza per sviluppare criteri personalizzati per risolvere i rischi aziendali specifici allineati ai piani di adozione del cloud.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.