CISO-hand leiding voor Cloud voorbereidingCISO cloud readiness guide

Micro soft richt zich zoals het Cloud-acceptatie raamwerk niet bevindt om de unieke beveiligings beperkingen te bepalen of te begeleiden van de duizenden ondernemingen die door deze documentatie worden ondersteund.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. Wanneer u overstapt naar de Cloud, wordt de rol van de Chief Information security officer of Chief Information Security-Office (CISO) niet supplanted door Cloud technologieën.When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. Heel wat het tegen deel heeft, de CISO en het kantoor van de CISO, meer engrained en geïntegreerd.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. In deze hand leiding wordt ervan uitgegaan dat de lezer bekend is met CISO-processen en dat deze processen worden gemodernd om Cloud transformatie mogelijk te maken.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

Dankzij de Cloud acceptatie kunnen services die niet vaak in traditionele IT-omgevingen worden overwogen.Cloud adoption enables services that weren't often considered in traditional IT environments. Selfservice of geautomatiseerde implementaties worden vaak uitgevoerd door toepassings ontwikkeling of andere IT-teams die niet traditioneel zijn afgestemd op de productie-implementatie.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. In sommige organisaties hebben bedrijfs onderdelen vergelijk bare mogelijkheden voor Self-service.In some organizations, business constituents similarly have self-service capabilities. Dit kan nieuwe beveiligings vereisten activeren die niet nodig zijn voor de on-premises wereld.This can trigger new security requirements that weren't needed in the on-premises world. Gecentraliseerde beveiliging is moeilijker, beveiliging wordt vaak een gedeelde verantwoordelijkheid voor het bedrijf en IT-cultuur.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Dit artikel kan een CISO voor de voor bereiding van die aanpak en het incrementele governance ondersteunen.This article can help a CISO prepare for that approach and engage in incremental governance.

Hoe kan een CISO zich voorbereiden op de cloud?How can a CISO prepare for the cloud?

Net als het meren deel van de beleids regels worden de beleids regels voor beveiliging en beheer binnen een organisatie op biologische wijze uitgebreid.Like most policies, security and governance policies within an organization tend to grow organically. Wanneer er beveiligings incidenten plaatsvinden, worden gebruikers door hun beleid geïnformeerd en wordt de kans op herhalingen verminderd.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. Natuurlijk maakt deze benadering beleids grootten en technische afhankelijkheden.While natural, this approach creates policy bloat and technical dependencies. Dankzij de Cloud transformatie trajecten wordt een unieke kans gemaakt om beleid te moderniseren en opnieuw in te stellen.Cloud transformation journeys create a unique opportunity to modernize and reset policies. Tijdens de voor bereiding van trans formatie traject, kan de CISO directe en meet bare waarde maken door als primaire belanghebbende in een beleids beoordelingte fungeren.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

In een dergelijke beoordeling is de rol van de CISO het maken van een kluis balans tussen de beperkingen van bestaande beleids regels en de verbeterde beveiliging postuur van cloud providers.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Het meten van deze voortgang kan veel vormen aannemen, vaak wordt deze gemeten in het aantal beveiligings beleidsregels dat veilig kan worden overgenomen van de Cloud provider.Measuring this progress can take many forms, often it is measured in the number of security policies that can be safely offloaded to the cloud provider.

Beveiligings Risico's overdragen: Wanneer Services worden verplaatst naar IaaS-hosting modellen (Infrastructure as a Service), neemt het bedrijf minder directe Risico's met zich mee voor hardware-inrichting.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. Het risico wordt niet verwijderd, maar wordt overgedragen naar de leverancier van de Cloud.The risk isn't removed, instead it is transferred to the cloud vendor. Als de aanpak van de leverancier van een Cloud voor hardware-inrichting hetzelfde niveau van risico beperking heeft, in een veilig herhaalbaar proces, wordt het risico van de uitvoering van hardware-inrichtingen verwijderd uit het bedrijfs gebied van de IT-omgeving en overgebracht naar de Cloud provider.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Dit vermindert het algehele beveiligings risico dat het bedrijf verantwoordelijk is voor het beheer, hoewel het risico zelf nog steeds regel matig moet worden bijgehouden en gecontroleerd.This reduces the overall security risk corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

Naarmate oplossingen een nieuwe ' up stack ' maken om PaaS (platform as a Service) of SaaS-modellen (Software as a Service) op te nemen, kunnen er extra Risico's worden vermeden of overgedragen.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. Wanneer het risico veilig wordt verplaatst naar een Cloud provider, kunnen de kosten voor het uitvoeren, bewaken en afdwingen van beveiligings beleid of een ander nalevings beleid ook veilig worden verminderd.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Groei uitgangspunt: De wijziging kan enge zijn voor zowel zakelijke als technische implementaties.Growth mindset: Change can be scary to both the business and technical implementors. Wanneer de CISO een groei uitgangspunt verschuiving in een organisatie leidt, hebben we vastgesteld dat deze natuurlijke vrees worden vervangen door een verhoogde interesse in de veiligheid en beleids naleving.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Door een beleids beoordeling, een trans formatie traject of eenvoudige implementatie beoordelingen met een groei uitgangspunt te nadert, kan het team snel overstappen, maar niet tegen de kosten van een redelijk en beheersbaar risico profiel.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Bronnen voor de Chief Information security officerResources for the chief information security officer

Kennis over de Cloud is fundamenteel voor het nadert van een beleids beoordeling met een groei uitgangspunt.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. De volgende bronnen kunnen de CISO meer inzicht krijgen in de beveiligings postuur van het Azure-platform van micro soft.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Security platform-resources:Security platform resources:

Privacy en controles:Privacy and controls:

AchtCompliance:

DoorzichtigheidsTransparency:

Volgende stappenNext steps

De eerste stap voor het uitvoeren van een actie in een governance strategie is een beleids beoordeling.The first step to taking action in any governance strategy is a policy review. Beleid en naleving kunnen een nuttige hand leiding zijn tijdens uw beleids beoordeling.Policy and compliance could be a useful guide during your policy review.