Métricas de tolerância a riscos e indicadores na disciplina de linha de base de segurançaRisk tolerance metrics and indicators in the Security Baseline discipline

Aprenda a quantificar a tolerância a riscos de negócios associada à disciplina de linha de base de segurança.Learn to quantify business risk tolerance associated with the Security Baseline discipline. Definir métricas e indicadores ajuda a criar um caso comercial para investir na maturidade dessa disciplina.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MétricasMetrics

A disciplina de linha de base de segurança geralmente se concentra na identificação de possíveis vulnerabilidades em suas implantações na nuvem.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. Como parte de sua análise de riscos, você desejará reunir dados relacionados ao seu ambiente de segurança para determinar a quantidade de riscos enfrentados e como o investimento importante na sua disciplina de linha de base de segurança é para suas implantações de nuvem planejadas.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

Cada organização tem requisitos e ambientes de segurança diferentes e diferentes possíveis fontes de dados de segurança.Every organization has different security environments and requirements and different potential sources of security data. Veja a seguir exemplos de métricas úteis que devem ser coletadas para ajudar a avaliar a tolerância a riscos na disciplina Linha de base de segurança:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Classificação de dados: Número de dados armazenados na nuvem e serviços que não são classificados de acordo com os padrões de privacidade, conformidade ou impacto de negócios da sua organização.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Número de armazenamentos de dados confidenciais: O número de pontos de extremidade de armazenamento ou bancos de dados que contêm e que devem ser protegidos.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Número de armazenamentos de dados não criptografados: Número de armazenamentos de dados confidenciais que não estão criptografados.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Superfície de ataque: Quantas fontes de dados, serviços e aplicativos do total serão hospedados na nuvem.Attack surface: How many total data sources, services, and applications will be cloud-hosted. Qual porcentagem dessas fontes de dados ser classificada como sensível?What percentage of these data sources are classified as sensitive? Qual é a porcentagem desses aplicativos e serviços serem de missão crítica?What percentage of these applications and services are mission-critical?
  • Padrões cobertos: Número de padrões de segurança definidos pela equipe de segurança.Covered standards: Number of security standards defined by the security team.
  • Recursos cobertos: Ativos implantados que são cobertos por padrões de segurança.Covered resources: Deployed assets that are covered by security standards.
  • Conformidade geral com os padrões: Taxa de adesão à conformidade com os padrões de segurança.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Ataques por severidade: Quantas tentativas coordenadas de interromper os serviços hospedados na nuvem, como por meio de ataques de DDoS (negação de serviço distribuído), sua experiência de infraestrutura?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? Qual é o tamanho e a gravidade desses ataques?What is the size and severity of these attacks?
  • Proteção contra malware: Porcentagem de VMs (máquinas virtuais) implantadas que têm todos os softwares Antimalware, firewall ou outro software de segurança necessários instalados.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Latência de patch: Quanto tempo foi desde que as VMs tivessem um sistema operacional e patches de software aplicados.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Recomendações de integridade de segurança: Número de recomendações de software de segurança para resolver padrões de integridade para recursos implantados, organizados por severidade.Security health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Indicadores de tolerância de riscoRisk tolerance indicators

Plataformas de nuvem fornecem um conjunto de recursos de linha de base que permitem que as equipes de implantação pequenas configurem as definições de segurança básicas sem planejamento adicional extensivo.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. Como resultado, pequenos desenvolvimento/teste ou as primeiras cargas de trabalho experimentais que não incluem dados confidenciais representam um nível de risco relativamente baixo e provavelmente não precisarão muito na forma de uma diretiva de linha de base de segurança formal.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. Assim que os dados importantes ou a funcionalidade de missão crítica são movidos para a nuvem, os riscos de segurança aumentam, enquanto a tolerância a esses riscos diminui rapidamente.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. Conforme mais dos seus dados e a funcionalidade são implantados na nuvem, será maior a probabilidade de você precisar de um investimento maior na disciplina de Linha de base de segurança.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

Nos estágios iniciais de adoção da nuvem, trabalhe com sua equipe e segurança de TI e stakeholders de negócios para identificar os riscos de negócios relacionados à identidade e, em seguida, determine uma linha de base aceitável para a tolerância do risco de segurança.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. Esta seção da estrutura de adoção de nuvem fornece exemplos, mas os riscos e as linhas de base detalhados para sua empresa ou implantações podem ser diferentes.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Assim que você tiver uma linha de base, estabeleça parâmetros de comparação mínimos que representem um aumento inaceitável em seus riscos identificados.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Esses benchmarks atuam como gatilhos para quando você precisa tomar medidas para corrigir esses riscos.These benchmarks act as triggers for when you need to take action to remediate these risks. Veja a seguir alguns exemplos de como métricas relacionadas à segurança, como as discutidas anteriormente, podem justificar o aumento de investimento na disciplina Linha de Base de Segurança.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Gatilhos de cargas de trabalho de missão crítica.Mission-critical workloads trigger. Uma empresa implantando cargas de trabalho de missão crítica para a nuvem deve investir na disciplina de Linha de base de segurança para impedir possíveis interrupções de serviço ou a exposição de dados confidenciais.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Gatilho de dados protegidos.Protected data trigger. Uma empresa que hospeda os dados na nuvem que podem ser classificados como confidenciais, privados ou caso contrário, sujeito a preocupações com regulamentação.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. Precisam de uma disciplina de linha de base de segurança para garantir que esses dados não estejam sujeitos a perda, exposição ou roubo.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Gatilho de ataques externos.External attacks trigger. Uma empresa que enfrenta ataques sérios em sua infraestrutura de rede x vezes por mês pode se beneficiar da disciplina de linha de base de segurança.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Gatilho de conformidade de padrões.Standards compliance trigger. Uma empresa com mais de x% dos recursos da conformidade com os padrões de segurança deve investir na disciplina de linha de base de segurança para garantir que os padrões sejam aplicados consistentemente em toda a sua infraestrutura de ti.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Gatilho de tamanho do estado de nuvem.Cloud estate size trigger. Uma empresa que hospeda mais de x aplicativos, serviços ou fontes de dados.A company hosting more than x applications, services, or data sources. Implantações de nuvem grande podem aproveitar o investimento na disciplina de linha de base de segurança para garantir que a superfície de ataque geral seja devidamente protegida contra acesso não autorizado ou outras ameaças externas.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Gatilho de conformidade do software de segurança.Security software compliance trigger. Uma empresa em que menos de x% das máquinas virtuais implantadas tenham todos os softwares de segurança necessários instalados.A company where less than x% of deployed virtual machines have all required security software installed. Uma disciplina de Linha de base de segurança pode ser usada para garantir que o software seja instalado consistentemente em todos os softwares.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Gatilho de aplicação de patch.Patching trigger. Uma empresa na qual foram implantadas máquinas virtuais ou serviços em que OS patches de sistema operacional ou software não foram aplicados nos últimos x dias.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. A disciplina de Linha de base de segurança pode ser usada para garantir a aplicação de patch ser mantida atualizada dentro de uma agenda necessária.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • Com foco em segurança.Security-focused. Algumas empresas terão fortes requisitos de segurança e confidencialidade de dados, mesmo para teste e cargas de trabalho experimentais.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Essas empresas precisarão investir na disciplina de linha de base de segurança antes de começam as implantações.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

As métricas e os gatilhos exatos que você usa para medir a tolerância a riscos e o nível de investimento na disciplina de linha de base de segurança serão específicos para sua organização, mas os exemplos acima devem servir como uma base útil para discussão em sua equipe de governança de nuvem.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Próximas etapasNext steps

Use o modelo de disciplina de linha de base de segurança para documentar os indicadores de métricas e de tolerância que se alinham ao plano de adoção de nuvem atual.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Examine as políticas de linha de base de segurança de exemplo como um ponto de partida para desenvolver suas próprias políticas para tratar de riscos comerciais específicos alinhados aos seus planos de adoção de nuvem.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.