Funzioni per la sicurezza del cloud

Questo articolo offre un riepilogo delle funzioni organizzative necessarie per gestire i rischi per la sicurezza delle informazioni in un'azienda. Descrive i ruoli e le responsabilità che rappresentano la parte umana di un sistema di cybersecurity complessivo.

La sicurezza è uno sport di squadra

È essenziale che i singoli membri del team responsabile della sicurezza vedano se stessi e gli altri come parte di un intero team per la sicurezza, come parte dell'intera organizzazione e come parte di una community di sicurezza più ampia che si difende dagli stessi avversari.

Questa visione olistica consente al team di lavorare bene in generale. È particolarmente importante quando i team devono affrontare eventuali lacune e sovrapposizioni non pianificate individuate durante l'evoluzione dei ruoli e delle responsabilità.

Responsabilità di sicurezza (funzioni)

Questo diagramma illustra le funzioni organizzative specifiche nell'ambito della sicurezza, spesso denominate responsabilità o "lavori da fare".

I diagrammi e la documentazione disponibili qui rappresentano la visione ideale di un team completo per la sicurezza aziendale. Può essere una visione ambiziosa per i team responsabili della sicurezza con risorse limitate che potrebbero non avere responsabilità formali definite per tutte queste funzioni. Ogni funzione può essere svolta da una o più persone e ogni persona può svolgere una o più funzioni in base a vari fattori, ad esempio cultura, budget e risorse disponibili.

View of the responsibilities/functions of an enterprise security team

Ognuno degli articoli seguenti contiene informazioni su ogni funzione, tra cui un riepilogo degli obiettivi, il modo in cui la funzione può evolvere a causa dei cambiamenti dell'ambiente delle minacce o della tecnologia cloud e le relazioni e le dipendenze fondamentali per il successo.

Si fa riferimento a queste responsabilità nella documentazione Microsoft, tra cui Azure Security Benchmark, Protezione dell'accesso con privilegi: piano di modernizzazione rapida e Primi 10 elementi della sicurezza di Azure,

Ruoli e responsabilità

Il diagramma seguente illustra in che modo queste funzioni vengono mappate ai tipi di ruolo all'interno di un'organizzazione:

View of security roles and responsibilities.

Mapping della sicurezza ai risultati aziendali

A livello organizzativo, le discipline di sicurezza vengono mappate alle fasi standard di pianificazione-compilazione-esecuzione ampiamente diffuse nei settori e nelle organizzazioni. Anche se questo ciclo sta diventando rapidamente un ciclo continuo di modifiche con l'era digitale e l'avvento di DevOps, spiega come viene eseguito il mapping della sicurezza ai normali processi aziendali.

La sicurezza è una disciplina con le proprie funzioni esclusive e un elemento critico da integrare nelle normali operazioni aziendali.

Tipi di ruolo

La sezione centrale (blu scuro) raggruppa queste responsabilità in ruoli tipici con set di competenze e profili di carriera comuni. Questi raggruppamenti consentono anche di chiarire in che modo le tendenze del settore influiscono sui professionisti della sicurezza:

  • Leadership per la sicurezza: questi ruoli si estendono spesso tra le funzioni, garantendo il coordinamento tra i team, assegnando priorità e impostando norme, criteri e standard culturali per la sicurezza.

  • Architetto della sicurezza: questi ruoli si estendono tra le funzioni e offrono una funzionalità di governance essenziale per garantire che tutte le funzioni tecniche funzionino in armonia all'interno di un'architettura coerente

  • Postura di sicurezza e conformità: si tratta di un tipo di ruolo più recente che rappresenta la crescente convergenza della creazione di report di conformità con le discipline di sicurezza tradizionali, ad esempio la gestione delle vulnerabilità e le linee di base di configurazione. Anche se l'ambito e i destinatari sono diversi per i report sulla sicurezza e i report sulla conformità, rispondono a versioni diverse della domanda "quanto è protetta l'organizzazione?". Il modo in cui si risponde alla domanda è sempre più simile attraverso strumenti come Microsoft Secure Score e Microsoft Defender for Cloud:

    • L'uso di feed di dati su richiesta dai servizi cloud riduce il tempo necessario per segnalare la conformità.
    • Il maggiore ambito dei dati disponibili consente alla governance della sicurezza di andare oltre gli aggiornamenti software/patch tradizionali e di individuare/tenere traccia delle "vulnerabilità" dalle configurazioni di sicurezza e dalle procedure operative
  • Tecnico della sicurezza della piattaforma: ruoli tecnologici incentrati sulle piattaforme che ospitano più carichi di lavoro, incentrati sia sul controllo degli accessi che sulla protezione degli asset. Questi ruoli sono spesso raggruppati in team con set di competenze tecniche specializzate, tra cui sicurezza di rete, infrastruttura ed endpoint, gestione di identità e chiavi e altre. Questi team lavorano sia sui controlli preventivi, principalmente una partnership con le operazioni IT, sia sui controlli di rilevamento, che rappresentano una partnership con SecOps. Per altre informazioni, vedere Integrazione della sicurezza.

  • Tecnico della sicurezza delle applicazioni: questi ruoli tecnologici sono incentrati sui controlli di sicurezza per carichi di lavoro specifici, supportando sia i modelli di sviluppo classici che il modello DevOps/DevSecOps moderno. Si tratta di una combinazione di competenze di sicurezza delle applicazioni e dello sviluppo per competenze di codice e infrastruttura univoche per componenti tecnici comuni come macchine virtuali, database e contenitori. Questi ruoli possono trovarsi in organizzazioni IT o di sicurezza centrali o all'interno di team aziendali e di sviluppo, in base ai fattori organizzativi.

Nota

Con l'evoluzione sia di DevOps che dell'infrastruttura come codice, si prevede la migrazione di alcuni talenti per la sicurezza dai team di progettazione della sicurezza per la piattaforma ai team responsabili della sicurezza delle applicazioni e ai ruoli di gestione delle posture. Ciò avviene perché il modello DevOps richiede competenze di sicurezza dell'infrastruttura, ad esempio la protezione delle operazioni in DevOps, e anche i team di governance richiederanno queste competenze ed esperienza per monitorare in modo efficace la postura di sicurezza tecnica in tempo reale. Inoltre, l'infrastruttura come codice automatizza le attività tecniche manuali ripetitive, riducendo la quantità di tempo necessaria per queste competenze nei ruoli di tecnico della sicurezza della piattaforma, aumentando tuttavia la necessità di ampi set di competenze tecniche e competenze di automazione o scripting.

Passaggi successivi

Esaminare la metodologia Secure