Motivações e riscos de negócios na disciplina de linha de base de segurança

Este artigo aborda os motivos pelos quais os clientes normalmente adotam uma disciplina de Linha de base de segurança dentro de uma estratégia de governança de nuvem. Também fornece alguns exemplos de riscos de negócios potenciais que podem conduzir as instruções de política.

Relevância

A segurança é uma preocupação importante para qualquer organização de TI. As implantações de nuvem enfrentam muitos dos mesmos riscos de segurança como cargas de trabalho hospedadas em datacenters tradicionais no local. A natureza das plataformas de nuvem pública, com uma falta de propriedade direta do hardware físico que armazena e executa suas cargas de trabalho, significa que a segurança da nuvem requer sua própria política e processos.

Uma das coisas principais que define o controle de segurança na nuvem, além da política de segurança tradicional, é a facilidade com a qual os recursos podem ser criados, potencialmente adicionando vulnerabilidades se a segurança não for considerada antes da implantação. A flexibilidade que as tecnologias como a Sdn (rede definida pelo software) oferece para alterar rapidamente sua topologia de rede baseada em nuvem também pode facilmente modificar sua superfície de ataque geral de rede de maneiras imprevisíveis. Plataformas de nuvem também fornecem ferramentas e recursos que podem melhorar os recursos de segurança de maneiras nem sempre possíveis em ambientes locais.

O valor que você investe na política de segurança e processos dependerá muito da natureza de sua implantação de nuvem. Implantações de teste inicial talvez só precisam da mais básica das políticas de segurança em vigor, enquanto uma carga de trabalho de missão crítica envolve atribuir necessidades de segurança abrangentes e complexas. Todas as implantações precisarão se envolver com a disciplina em algum nível.

A disciplina de Linha de base de segurança aborda as políticas corporativas e os processos manuais que você pode colocar em vigor para proteger sua implantação de nuvem contra riscos de segurança.

Observação

Embora seja importante entender a disciplina de linha de base de identidade no contexto da disciplina de linha de base de segurança e como isso se relaciona com o controle de acesso, as cinco disciplinas de governança de nuvem tratam dela como uma disciplina separada.

Riscos de negócios

A disciplina de linha de base de segurança tenta abordar riscos de negócios relacionados à segurança. Trabalhar com seus negócios para identificar esses riscos e monitorar cada um deles para relevância como planejar e implementar suas implantações de nuvem.

Os riscos diferem entre as organizações. Use esta lista de riscos comuns relacionados à segurança como um ponto de partida para discussões em sua equipe de governança de nuvem:

  • Violação de dados: A exposição inadvertida ou a perda de dados confidenciais hospedados na nuvem pode levar à perda de clientes, problemas contratuais ou consequências legais.
  • Interrupção do serviço: Interrupções e outros problemas de desempenho devido à infraestrutura insegura interrompem operações normais e podem resultar em perda de produtividade ou perda de negócios.

Próximas etapas

Use o modelo de disciplina de linha de base de segurança para documentar riscos de negócios que provavelmente serão introduzidos pelo plano de adoção de nuvem atual.

Quando um entendimento dos riscos de negócios realista é estabelecido, a próxima etapa é documentar a tolerância do negócio quanto a risco e os indicadores e métricas de chave para monitorar essa tolerância.