Guia de preparação da nuvem CISOCISO cloud readiness guide

As diretrizes da Microsoft, como a estrutura de adoção de nuvem, não estão posicionadas para determinar ou orientar as restrições de segurança exclusivas dos milhares de empresas com suporte nesta documentação.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. Ao migrar para a nuvem, a função do diretor de segurança de informações da empresa ou da CISO (diretor de segurança de informações) não é suplantado pelas tecnologias de nuvem.When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. Muito pelo contrário, o CISO e o escritório de CISO, se tornam mais integrantes e integrados.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. Este guia pressupõe que o leitor esteja familiarizado com os processos de CISO e está buscando modernizar esses processos para habilitar a transformação em nuvem.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

A adoção da nuvem permite que os serviços que não sejam considerados geralmente em ambientes de TI tradicionais.Cloud adoption enables services that weren't often considered in traditional IT environments. As implantações autoatendimento ou automatizadas geralmente são executadas pelo desenvolvimento de aplicativos ou outras equipes de ti que não estão tradicionalmente alinhadas à implantação de produção.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. Em algumas organizações, aspectos relacionados aos negócios da mesma forma têm recursos de autoatendimento.In some organizations, business constituents similarly have self-service capabilities. Isso pode disparar novos requisitos de segurança que não eram necessários no mundo local.This can trigger new security requirements that weren't needed in the on-premises world. A segurança centralizada é mais desafiadora, a segurança geralmente se torna uma responsabilidade compartilhada na empresa e na cultura de ti.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Este artigo pode ajudar um CISO a se preparar para essa abordagem e participar de governança incremental.This article can help a CISO prepare for that approach and engage in incremental governance.

Como um diretor de segurança da informação pode se preparar para a nuvem?How can a CISO prepare for the cloud?

Como a maioria das políticas, as políticas de segurança e governança em uma organização tendem a crescer de forma orgânica.Like most policies, security and governance policies within an organization tend to grow organically. Quando ocorrerem incidentes de segurança, eles formam a política para informar os usuários e reduzir a probabilidade de ocorrências repetidas.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. Enquanto natural, essa abordagem cria inchaço de política e dependências técnicas.While natural, this approach creates policy bloat and technical dependencies. As jornadas de transformação em nuvem criam uma oportunidade única para modernizar e redefinir políticas.Cloud transformation journeys create a unique opportunity to modernize and reset policies. Durante a preparação para qualquer jornada de transformação, o CISO pode criar valor imediato e mensurável, servindo como o principal interessado stakeholder em uma revisão da política.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

Nessa revisão, a função do CISO é criar um equilíbrio seguro entre as restrições de política/conformidade existente e a postura de segurança aprimorada dos provedores de nuvem.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Medir esse progresso pode assumir muitas formas, muitas vezes é medido no número de políticas de segurança que podem ser descarregadas com segurança para o provedor de nuvem.Measuring this progress can take many forms, often it's measured in the number of security policies that can be safely offloaded to the cloud provider.

Transferindo riscos de segurança: Como os serviços são movidos para modelos de Hospedagem de IaaS (infraestrutura como serviço), a empresa assume menos risco direto em relação ao provisionamento de hardware.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. O risco não é removido, em vez disso, é transferido para o fornecedor da nuvem.The risk isn't removed, instead it's transferred to the cloud vendor. Caso a abordagem de um fornecedor de nuvem para o provisionamento de hardware forneça o mesmo nível de mitigação de risco, em um processo de repetição seguro, o risco de execução de provisionamento de hardware é removido da área de responsabilidade de ti corporativa e transferido para o provedor de nuvem.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Isso reduz o risco geral de segurança que a ti corporativa é responsável por gerenciar, embora o risco em si ainda deva ser acompanhado e revisado periodicamente.This reduces the overall security risk that corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

À medida que as soluções se movem ainda mais "pilha para cima" para incorporar os modelos de PaaS (plataforma como serviço) ou SaaS (software como serviço), os riscos adicionais podem ser evitados ou transferidos.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. Quando o risco com segurança é movido para um provedor de nuvem, o custo de executar, monitorar e impor políticas de segurança ou outras políticas de conformidade podem ser reduzidas com segurança também.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Mentalidade de crescimento: A alteração pode ser assustadora tanto para os implementadores técnicos como para os negócios.Growth mindset: Change can be scary to both the business and technical implementors. Quando o CISO leva a uma mudança de mentalidade de crescimento em uma organização, descobrimos que os temores naturais são substituídos por um aumento de interesse em segurança e política de conformidade.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Abordar uma análise de política, uma jornada de transformação ou revisões de implementação simples com uma mentalidade de crescimento, permite que a equipe se movimente rapidamente, mas não com o custo de um perfil de risco razoável e gerenciável.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Recursos para o diretor de segurança de informaçõesResources for the chief information security officer

Saber conhecimento sore a nuvem é fundamental para abordar uma revisão da política com uma mentalidade de crescimento.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. Os recursos a seguir podem ajudar o CISO a entender melhor a postura de segurança da plataforma do Azure da Microsoft.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Recursos de plataforma de segurança:Security platform resources:

Privacidade e cookies:Privacy and controls:

RegulamentaCompliance:

TransparênciaTransparency:

Próximas etapasNext steps

A primeira etapa para executar uma ação em qualquer estratégia de governança é uma análise de política.The first step to taking action in any governance strategy is a policy review. A política e a conformidade podem ser um guia útil durante a revisão da política.Policy and compliance could be a useful guide during your policy review.