Modernizar rapidamente sua postura de segurança
Como parte das diretrizes de adoção de confiança zero, este artigo descreve o cenário de negócios da modernização rápida de sua postura de segurança. Em vez de se concentrar no trabalho técnico necessário para implementar uma arquitetura de confiança zero, este cenário se concentra em como desenvolver sua estratégia e prioridades e, em seguida, como implementar sistematicamente suas prioridades, peça por peça, enquanto mede e relata seu progresso.
Sua postura de segurança é definida como a capacidade geral de defesa de segurança cibernética de sua organização, juntamente com o nível de preparação e status operacional para lidar com ameaças de segurança cibernética contínuas. Essa postura deve ser quantificável e mensurável, de forma semelhante a qualquer outra métrica importante que diga respeito ao status operacional ou bem-estar de sua organização.
Modernizar rapidamente sua postura de segurança envolve trabalhar em sua organização, especialmente com toda a diretoria executiva, para desenvolver uma estratégia e um conjunto de prioridades e objetivos. Em seguida, é possível identificar o trabalho técnico necessário para atingir os objetivos e liderar as várias equipes para alcançá-los. Os outros cenários de negócios nestas diretrizes de adoção são projetados para ajudar a acelerar esse trabalho técnico. Por fim, uma parte fundamental de uma postura de segurança forte é a capacidade de comunicar status, progresso e valor aos líderes de negócios.
A rápida modernização da postura de segurança depende de sua capacidade de conduzir sistematicamente cada componente da arquitetura de confiança zero ao longo do ciclo de vida de adoção. Cada artigo do cenário de negócios de confiança zero recomenda objetivos em quatro estágios. Você pode pensar em cada objetivo como um projeto técnico que você pode liderar durante o processo de adoção. Uma representação mais granular do processo de adoção para um único objetivo ou conjunto de objetivos é ilustrada aqui.
A tabela a seguir é uma versão acessível da ilustração.
| Definir a estratégia | Plano | Ready | Adotar | Governar e gerenciar |
|---|---|---|---|---|
| Alinhamento da organização Metas estratégicas Resultados |
Equipe de stakeholders Planos técnicos Prontidão das habilidades |
Avaliar Teste Piloto |
Implementar incrementalmente em toda a sua infraestrutura digital | Acompanhar e medir Monitorar e detectar Iterar para obter maturidade |
A modernização rápida se refere à sua habilidade de acelerar a capacidade da sua organização de implantar configurações de segurança e recursos de proteção contra ameaças em toda a sua infraestrutura digital em um ritmo que o ajude a se antecipar às ameaças e a reduzir os principais riscos. Pense nisso como um volante que você está construindo, no qual criou um processo repetível através do qual pode alimentar muitos projetos técnicos.
À medida que você cria a capacidade da sua organização para implantar configurações de segurança, é possível começar a escalonar sua implementação. Por exemplo, depois de definir a estratégia e os objetivos para um cenário de negócios, você pode escalonar a implementação dos objetivos técnicos. Veja um exemplo.
Alguns cenários de negócios são amplos e convém priorizar elementos específicos do cenário para trabalhar primeiro. Ou você pode primeiro priorizar zonas específicas da sua infraestrutura digital para implantação de configuração.
Definir fase de estratégia
Um dos maiores desafios da adoção de confiança zero é obter apoio e contribuição de líderes em toda a sua organização. Essas diretrizes de adoção foram projetadas para ajudá-lo a se comunicar com eles para que você possa obter alinhamento organizacional, definir suas metas estratégicas e identificar resultados finais.
Definir a segurança como um imperativo de nível de negócios é o primeiro passo para uma abordagem de segurança moderna e escalonável.
| Função tradicional da segurança como extensão da responsabilidade de TI | Postura de segurança moderna com confiança zero |
|---|---|
| A proteção tradicional conta com especialistas em segurança que fazem parte da equipe de TI. A segurança é uma função de TI. | A segurança é uma responsabilidade compartilhada entre todos os níveis do negócio. A responsabilidade pela segurança cabe ao executivo, enquanto a responsabilidade é compartilhada usando os três princípios de confiança zero: Presumir violação, Verificar explicitamente e Usar acesso com privilégios mínimos.. Um modelo de confiança zero move a segurança de reativa (quem fez o quê e quando com base no registro) para privilégio mínimo (com base no acesso just-in-time aos sistemas, conforme necessário). Ele também implementa elementos de arquitetura e recursos de operações de segurança para limitar os danos de uma violação. |
O artigo de visão geral da adoção da confiança zero traduz como a confiança zero se aplica às funções de liderança em muitas organizações. Este artigo inclui descrições comerciais dos princípios de confiança zero e uma tradução comercial das áreas técnicas incluídas em uma arquitetura de confiança zero, incluindo identidades, dispositivos e aplicativos. Esses tópicos são bons lugares para começar as conversas com sua equipe de líderes. Certifique-se de sondar e obter insights sobre o que motiva os líderes em sua organização para que você possa estabelecer mais facilmente as prioridades e obter alinhamento e participação.
Para esse cenário de negócios, ao modernizar rapidamente sua postura de segurança, você faz o trabalho de obter alinhamento sobre os riscos para sua organização, sua estratégia de segurança e suas prioridades técnicas. O ideal é que isso ajude a recrutar financiamento e recursos para fazer o trabalho.
Entenda as motivações dos líderes da sua empresa
Obter alinhamento começa com a compreensão do que motiva seus líderes e por que eles devem se preocupar com sua postura de segurança. A tabela a seguir fornece exemplos de perspectivas, mas é importante que você se reúna com cada um desses líderes e equipes e chegue a um entendimento compartilhado das motivações uns dos outros.
| Função | Por que modernizar rapidamente sua postura de segurança é importante |
|---|---|
| Diretor executivo (CEO) | Fundamentalmente, espera-se que o CEO maximize os retornos aos acionistas dentro da lei. Para isso, o negócio deve estar capacitado para atingir suas metas e objetivos estratégicos, inclusive a estratégia de segurança, de forma quantificável que permita a avaliação de riscos e custos. A agilidade e a execução dos negócios devem ser potencializadas pela postura de segurança. |
| Diretor de marketing (CMO) | A forma como o negócio é visto interna e externamente se relaciona com a confiança dos funcionários e clientes. A prontidão para violações e a estratégia de comunicação de incidentes de segurança são vitais para gerenciar percepções e opiniões. |
| Diretor de informações (CIO) | Os aplicativos usados por uma força de trabalho móvel e híbrida devem estar acessíveis enquanto protegem os dados da empresa. A segurança deve ser um resultado mensurável e alinhado com a estratégia de TI. |
| Diretor de segurança da informação (CISO) | A maioria dos padrões e protocolos de segurança de melhores práticas exige que as organizações aprimorem continuamente a adequação, a suficiência e a eficácia do sistema de gerenciamento de segurança da informação. A modernização da postura de segurança permite a evolução das políticas e procedimentos de segurança empresarial que, por sua vez, promovem a estratégia geral de segurança dentro da empresa. |
| Diretor de tecnologia (CTO) | A tecnologia usada para proteger os negócios não pode ser restrita ao que é alcançável usando apenas o pensamento anterior do datacenter. Tecnologias complementares que protejam e possibilitem os resultados dos negócios de forma segura devem ser adotadas. |
| Diretor de operações (COO) | A empresa deve ser capaz de operar de forma lucrativa antes, durante e depois de um ataque. A postura de segurança deve permitir tolerância a falhas e capacidade de recuperação para evitar a interrupção dos negócios. |
| Diretor financeiro (CFO) | A postura de segurança deve ser um custo previsível com um resultado mensurável, como outras prioridades de negócios. |
Além disso, diferentes partes da sua organização terão motivações e incentivos diferentes para fazer esse trabalho. A tabela a seguir resume algumas dessas motivações. Certifique-se de se conectar com os stakeholders para entender suas motivações.
| Área | Motivações |
|---|---|
| Necessidades comerciais | Para operar uma empresa com uma postura de segurança que esteja integrada às suas necessidades e prioridades. Essa postura de segurança se alinha aos resultados dos negócios e capacita a empresa que tenta implementar a segurança sem criar atrito operacional oneroso. |
| Necessidades de TI | Uma postura de segurança padronizada que atenda aos requisitos de segurança de TI e de tecnologia operacional (OT), defina e instrumentalize ferramentas e metodologias de postura de segurança e forneça gastos previsíveis alinhados aos resultados finais. |
| Necessidades operacionais | Implementar as soluções de segurança existentes de forma padronizada. Diminuir o esforço de gerenciamento necessário para implementar e manter uma postura de segurança. A governança da postura de segurança resulta em modelo de operações de segurança (SecOps) com funções e responsabilidades definidas. |
| Necessidades estratégicas | Para aumentar incrementalmente o atrito criado por soluções de segurança para cenários de ataque e arruinar o retorno sobre o investimento de um invasor. Para pressupor a violação, é necessário um planejamento que minimize o raio de alcance e as superfícies de ataque e reduza o tempo de recuperação de uma violação. |
Alcançar alinhamento de negócios
Para ter sucesso na implementação dos princípios de confiança zero em conjunto com suas equipes parceiras, é fundamental que você alcance o alinhamento dos negócios. Ao estabelecer os riscos e lacunas em sua postura de segurança atual, as etapas para mitigá-los e o método usado para acompanhar e comunicar o progresso, você cria confiança em sua postura de segurança em evolução.
O alinhamento dos negócios pode ser alcançado usando uma ou ambas as abordagens a seguir.
Adote uma abordagem baseada em riscos na qual você identifica os principais riscos para sua organização e as mitigações mais apropriadas.
Crie uma estratégia defensiva, baseada em entender onde seus ativos digitais estão, do que eles são compostos e o perfil de risco relativo com base na exfiltração ou perda de acesso aos seus ativos digitais.
Você pode progredir neste artigo usando qualquer uma das abordagens. Os objetivos técnicos e o trabalho descritos nos outros cenários de negócios dão suporte a ambas as abordagens.
Você pode até mesmo adotar uma abordagem baseada em risco para começar (mitigando seus principais riscos) e, em seguida, fazer a transição para uma estratégia defensiva para preencher as lacunas. Esta seção discute como usar ambas as abordagens para modernizar rapidamente sua postura de segurança.
Abordagem baseada em riscos
Algumas organizações optam por priorizar o trabalho e medir o progresso em relação ao risco. Duas ferramentas comuns para identificar riscos incluem exercícios teóricos e normas ISO.
Avaliação de exercícios teóricos
Uma maneira fácil de começar é usar seis exercícios teóricos para ajudar a preparar sua equipe de segurança cibernética, fornecidos pelo Center for Internet Security (CIS).
Esses exercícios teóricos são projetados para ajudar as organizações a percorrer diferentes cenários de risco com o objetivo de avaliar o estado de preparação da organização. Cada um deles foi projetado para ser concluído em conjunto com sua equipe de partes interessadas “em apenas 15 minutos.”
Esses exercícios orientam os participantes pelo processo de um incidente simulado e exigem que departamentos e equipes respondam. Os exercícios ajudam você a avaliar sua preparação de maneira interdisciplinar.
Esses exercícios são representativos e incluem diferentes unidades de negócios, não apenas TI ou segurança. Considere trabalhar e modificar os exercícios, se necessário, para garantir que eles sejam relevantes para sua organização e incluam representação de diferentes partes da organização, incluindo marketing, liderança executiva e funções voltadas para o cliente que possam ser afetadas pelo cenário.
O resultado desses exercícios alimenta sua estratégia geral e prioridades. O resultado ajuda a identificar lacunas e priorizar correções. Em seguida, essas prioridades informam seu trabalho na fase de planejamento. Esses exercícios também podem ajudar a criar urgência e investimento em toda a sua equipe de liderança para mitigar os riscos que foram identificados em conjunto.
Usar recursos e ferramentas das normas ISO
Muitas organizações usam os recursos e as ferramentas das normas da Organização Internacional de Normalização (ISO) para avaliar o risco de uma organização. Eles fornecem uma maneira estruturada e abrangente para você analisar e medir os riscos que se aplicam à sua organização, bem como as mitigações. Para ver mais informações, consulte a seção Acompanhamento do progresso do artigo de visão geral.
Como os exercícios teóricos, o resultado dessa revisão mais formal dos riscos da sua organização alimenta sua estratégia e prioridades gerais. O resultado também deve ajudar a criar urgência e investimento em todas as equipes para participar da modernização da postura de segurança.
Estratégia defensiva
Crie uma estratégia defensiva, toda a infraestrutura digital é avaliada para identificar onde seus ativos digitais estão, do que eles são compostos e o perfil de risco relativo com base na exfiltração ou perda de acesso aos seus ativos digitais.
Você prioriza as áreas defensivas nas quais deve se concentrar, considerando cada área e estimando o dano potencial ao seu negócio para esses tipos comuns de incidentes:
- Perda de dados
- Vazamento de dados
- Violação de dados
- Perda de acesso a dados
- Perda de conformidade devido a incidentes cibernéticos
Depois de identificar as áreas prioritárias a serem protegidas, você pode trabalhar sistematicamente para aplicar os princípios de confiança zero a essas áreas. Você também pode apresentar um caso defensável para o financiamento e os recursos necessários a fim de realizar esse trabalho.
Desenvolva a estratégia para modernizar rapidamente sua postura de segurança
Depois de fazer um balanço dos riscos e áreas defensivas da sua infraestrutura digital onde você deseja investir em proteção, vários outros recursos podem ajudar a informar sua estratégia.
Essas diretrizes de adoção
Quer esteja a adotar uma abordagem de risco ou uma abordagem defensiva (ou ambas), utilize as orientações de adoção Zero Trust neste artigo como ponto de partida e priorize o trabalho com base nas prioridades da sua organização. As diretrizes deste artigo fornecem uma abordagem sistemática para aplicar os princípios de confiança zero. Elas se baseiam em fortalecer os alvos mais comuns que os invasores usam para obter acesso a um ambiente (identidades e dispositivos) e aplicar proteções ao seu ambiente interno (como acesso com privilégios mínimos e segmentação de rede) a fim de evitar ou limitar os danos de uma violação.
Sua organização atual e os pontos fortes dos recursos
Considere também onde há maturidade da equipe e recursos e onde é possível acelerar para obter ganhos rápidos. Por exemplo, se você tiver uma equipe de rede altamente motivada e com bons recursos, poderá acelerar as recomendações que exigem esse conjunto de habilidades.
Modelo de responsabilidade compartilhada para a nuvem
Outro recurso que é frequentemente usado para ajudar a informar a estratégia e as prioridades é o modelo de responsabilidade compartilhada. Sua responsabilidade pela segurança é baseada no tipo de serviço de nuvem. O diagrama a seguir resume o equilíbrio de responsabilidades para você e para a Microsoft.
Para ver mais informações, consulte Responsabilidade compartilhada na nuvem na biblioteca de Conceitos básicos de segurança do Azure.
A responsabilidade compartilhada é um modelo de planejamento frequentemente usado pelas equipes de segurança para ajudar a transformar a mentalidade e a estratégia de “controlar tudo” para “compartilhar responsabilidade com o provedor de nuvem.” Esse modelo enfatiza a estratégia de mover aplicativos e recursos para provedores de nuvem confiáveis para reduzir o trabalho de segurança que resta para sua organização.
Isso pode se tornar parte de sua estratégia de longo prazo, começando com a aquisição de novos aplicativos baseados em nuvem como motivação para desativar aplicativos e servidores herdados que sua organização mantém pessoalmente.
Seu segmento vertical da indústria
A natureza ou segmento vertical da indústria da sua empresa é um grande impulsionador da sua estratégia. Isso influencia muito o conteúdo de sua infraestrutura digital, seus riscos e suas obrigações de conformidade legal.
Retorno sobre o investimento do invasor
Por fim, aumentar o custo de um ataque para invasores torna sua organização mais resiliente ao risco de segurança cibernética. Além de atender a requisitos regulatórios específicos, seus gastos orçamentários devem tornar mais caro e difícil para um invasor obter acesso ao seu ambiente e executar atividades como exfiltração ou destruição dos dados. Em outras palavras, você reduz o retorno sobre o investimento (ROI) dos invasores, fazendo com que eles possivelmente passem para outra organização.
Os invasores são frequentemente categorizados por nível de sofisticação e recursos (como ferramentas existentes e pessoal experiente), do mais baixo ao mais alto: amador, crime organizado e estados-nação.
Os princípios de confiança zero ajudam sua organização a identificar e priorizar a melhor forma de gastar seu orçamento de defesa de segurança a fim de aumentar o custo de um ataque para que você possa se defender contra todos os níveis de invasores.
A imagem a seguir mostra a relação qualitativa entre seu orçamento de defesa de segurança com os princípios de confiança zero e sua força defensiva.
A força defensiva pode aumentar rapidamente ao implementar e praticar a higiene básica de segurança com base nos princípios de confiança zero. Além dos ganhos iniciais, você obtém força defensiva adicional implementando medidas de segurança mais avançadas. Maior força defensiva fornece proteção contra níveis mais altos de invasores.
A figura a seguir mostra a relação qualitativa entre sua força defensiva e o impacto do custo e do ROI de um invasor.
À medida que sua força defensiva aumenta, o custo para o invasor aumenta e o ROI do esforço de ataque é reduzido.
O modelo de ROI do invasor ajuda os líderes a entender que há poucas certezas absolutas. Uma postura de segurança nunca é considerada perfeita ou impenetrável. No entanto, há muitas oportunidades para sua organização ser estratégica e priorizar seu orçamento e recursos. É um incentivo adicional para que sua equipe de líderes de negócios trabalhe em conjunto para proteger sua organização.
Identifique os resultados de sua postura de segurança
Depois de trabalhar em conjunto para obter alinhamento de negócios e identificar prioridades estratégicas, identifique os resultados específicos. Eles podem orientar a priorização e o planejamento adicionais.
A tabela a seguir lista as metas de resultados comuns para modernizar rapidamente sua postura de segurança.
| Objetivo | Resultado |
|---|---|
| Resultados da segurança | As organizações querem aumentar o atrito de segurança o suficiente para impedir os invasores sem restringir os resultados de negócios e tecnologia. |
| Governança | Os ativos, dados e aplicativos da empresa precisam ser protegidos, ao mesmo tempo em que aderem aos padrões de arquitetura e aumentam a conformidade. |
| Prevenção | O controle de acesso e a proteção de ativos estão alinhados a uma cadeia de ferramentas de segurança integrada que inclui todos os ativos físicos e digitais. |
| Visibilidade | O status de risco e segurança da organização deve ser mensurável e visível para vários tipos de público-alvo. Resultados de segurança previsíveis devem levar a resultados de gastos previsíveis. |
| Resposta | As funções e responsabilidades do departamento de SecOps são definidas e implementadas em toda a organização, liderança e funções operacionais de negócios. Ferramentas e processos correlacionam operações e resultados de segurança. A automação permite a detecção rápida de incidentes e aumenta a capacidade da implementação de responder sem intervenção manual. |
Documente e relate sua postura de segurança
Por fim, é importante que você relate sua postura de segurança de maneira contínua, usando um ou mais mecanismos, incluindo mecanismos de pontuação da Microsoft e outros dashboards. Há muitos métodos e ferramentas que você pode usar. Por meio desse cenário, você identificará relatórios e ferramentas que são mais úteis para sua organização. Você também desenvolverá um método de documentação da postura de segurança que funcione para sua organização.
Fase de planejamento
Os planos de adoção convertem as metas ambiciosas de uma estratégia de confiança zero em um plano prático. Suas equipes coletivas podem usar o plano de adoção para orientar seus esforços técnicos e alinhá-los à estratégia de negócios da sua organização.
Modernizar rapidamente sua postura de segurança envolve adotar uma abordagem graduada para desenvolver maturidade, incluindo a adoção de métodos para medir e relatar seu progresso e status.
Muitas organizações podem adotar uma abordagem de quatro estágios para essas atividades técnicas, resumidas no gráfico a seguir.
| Etapa 1 | Etapa 2 | Etapa 3 | Etapa 4 |
|---|---|---|---|
| Identificar riscos para sua organização Identificar lacunas em sua postura de segurança Capturar seu status inicial da classificação de segurança Identificar os requisitos regulatórios Definir expectativas de liderança |
Desenvolver um plano de prontidão de resposta Inventariar sua infraestrutura digital Implementar práticas básicas de higiene Atualizar seu status para a classificação de segurança Capturar seu status no Gerenciador de Conformidade |
Visualizar sua postura de segurança usando dashboards apropriados ao público-alvo Documentar e gerenciar a shadow IT usando o Microsoft Defender para Aplicativos de Nuvem Desenvolver uma metodologia para aplicação de patch e atualização de sistemas |
Educar continuamente seus usuários Evoluir os recursos de SecOps da sua organização Continuar a gerenciar riscos |
Se essa abordagem em etapas funcionar para a sua organização, você poderá usar:
Essa apresentação de slides do PowerPoint disponível para download para apresentar e acompanhar seu progresso ao longo desses estágios e objetivos para líderes de negócios e outros stakeholders. Esse é o slide para esse cenário de negócios.
Essa pasta de trabalho do Excel para atribuir proprietários e acompanhar seu progresso para esses estágios, objetivos e respectivas tarefas. Confira a planilha para esse cenário de negócios.
Equipe de stakeholders
Sua equipe de stakeholders para esse cenário de negócios inclui líderes em toda a sua organização que estão investidos em sua postura de segurança e provavelmente incluem as seguintes funções e responsabilidades:
| Participante | Funções e responsabilidades |
|---|---|
| Responsável | Estratégia, direção, escalonamento, abordagem, alinhamento de negócios e coordenação de gerenciamento. |
| Líder de projeto | Compromisso geral, recursos, linha do tempo, cronograma, comunicações e outros elementos. |
| CISO | Segurança e governança de identidades, dispositivos e aplicativos. É responsável pela determinação, acompanhamento e geração de relatórios de riscos e políticas. |
| Lead de arquitetura | Requisitos técnicos, arquitetura, revisões, decisões e priorização. |
| Lead de segurança e usabilidade (EUC) do usuário final | Necessidades e feedback de seus usuários. |
| Arquiteto de gerenciamento de dispositivos | A estratégia para proteger os dados da organização em dispositivos, incluindo o gerenciamento de dispositivos. |
| Lead de gerenciamento de aplicativos | Priorização e requisitos técnicos para investimentos em aplicativos, incluindo a adequação dos aplicativos aos padrões com autenticação moderna e políticas de acesso condicional do Microsoft Entra. |
| Administradores de serviço | Ambiente do locatário (preparação, teste e configuração). |
| Representantes de unidades de negócios | Necessidade e feedback de suas unidades de negócios. |
A coleção de slides do PowerPoint de recursos para esse conteúdo de adoção inclui o slide a seguir com um modo de exibição de stakeholders que você pode personalizar para sua própria organização.
Planos técnicos e prontidão de habilidades
A Microsoft fornece recursos para ajudá-lo a modernizar rapidamente sua postura de segurança. As seções a seguir destacam recursos para tarefas específicas nos quatro estágios definidos anteriormente.
Etapa 1
Na etapa 1, você começa a entender sua postura de segurança atual. Inicie as conversas com toda a sua equipe de liderança e organização para saber o que é confiança zero e como ela se alinha à estratégia e aos objetivos da empresa.
| Objetivos da etapa 1 | Recursos |
|---|---|
| Identificar riscos para sua organização | Implementar a segurança em todo o ambiente empresarial Este guia de introdução descreve as principais etapas que atenuarão ou evitarão o risco comercial de ataques de segurança cibernética. Ele pode ajudar você a estabelecer rapidamente práticas de segurança essenciais na nuvem e integrar a segurança ao processo de adoção da nuvem. Consulte também os recursos mencionados anteriormente neste artigo:
|
| Identificar lacunas em sua postura de segurança | Conceitos de confiança zero e objetivos de implantação Esta série de artigos fornece recomendações por área (como identidade e pontos de extremidade). Você pode usar esses artigos para avaliar quantas das recomendações já estão completas e quais permanecem. Além disso, os recursos de planejamento nos outros cenários de negócios incluem recursos recomendados para fazer esse trabalho. |
| Capturar seu status inicial da classificação de segurança | Avaliar sua postura de segurança com o Microsoft Secure Score Compreender sua classificação de segurança inicial permite que você defina metas de segurança quantificáveis e meça o progresso ao longo do tempo. Isso também permite que você reconheça tendências de queda em sua postura, facilitando a justificativa para implantações de recursos mais modernos. |
| Identificar os requisitos regulatórios | Consulte a sua equipe de conformidade para saber mais sobre as normas às quais a sua organização está sujeita. Liste as estruturas regulatórias e de governança e quaisquer constatações de auditoria ou controles específicos que devem ser cumpridos para alcançar o status de conformidade segura. Dê uma olhada no Gerenciador de Conformidade do Microsoft Purview para ver se sua organização começou a acompanhar o progresso em relação a requisitos específicos. Alguns dos padrões mais comumente exigidos e como configurar o Microsoft Entra ID para conformidade podem ser encontrados em nossa biblioteca de documentação de normas. |
| Definir expectativas de liderança | Use o artigo de visão geral como um recurso para facilitar as conversas com sua equipe de liderança quanto à confiança zero. Ele enquadra a segurança como um requisito comercial imperativo e define confiança zero especificamente para as funções de liderança. Use os slides de progresso na seção Cenários de negócios para apresentar o trabalho e acompanhar seu progresso em alto nível para líderes de negócios e outros stakeholders. |
Etapa 2
Na etapa 2, você continua a detalhar sua postura de segurança atual, incluindo:
- Desenvolver um plano de prontidão de resposta
- Iniciar um inventário da sua infraestrutura digital
- Implementar uma higiene básica
Desenvolver um plano de prontidão de resposta
A confiança zero pressupõe violação, considera o impacto de um ataque de longa duração em seu ambiente e permite que você se recupere rapidamente de um incidente. Sua expectativa de um ataque deve levar à prontidão operacional para detectar, responder e recuperar.
Nesta etapa, você desenvolve um plano de prontidão de resposta para tipos comuns de ataques. Esse plano inclui como responder aos usuários, aos clientes e como se comunicar com o público, se necessário.
Para cada um dos cenários a seguir, considere um exercício teórico que documente a resposta atual à perda de acesso a:
- Autenticação: Microsoft Entra ID ou os Active Directory Domain Services (AD DS) locais
- Produtividade: bloqueio de locatário
- Perda de dados: exclusão maliciosa ou criptografia de dados, cenários aleatórios
- Vazamento de dados: exfiltração de dados para espionagem industrial ou do estado-nação, WikiLeaks
- Negação de serviço: linha de negócios (LOB) ou dados (como dados estruturados ou um data lake)
Certifique-se de incluir representantes de todas as funções que serão afetadas, incluindo RH, marketing e grupos empresariais relevantes.
Para cada cenário:
- Considere a estratégia de comunicação para comunicação pública e interna. Seu plano deve permitir que você se comunique de forma responsável em conformidade com os regulamentos de seu governo e setor. Sua resposta também deve reduzir a quantidade de informações que você pode compartilhar acidentalmente com invasores.
- Avalie o estado interno de prontidão para responder para equipes de TI e de negócios e quando uma equipe de suporte externa, como a equipe de detecção e resposta da Microsoft (DART) ou outro parceiro de violação, é necessária para aumentar a prontidão operacional/resiliência cibernética ou responder a um incidente se as equipes internas ficarem sobrecarregadas.
Além de desenvolver planos de prontidão para ataques comuns, esse exercício pode ajudar a obter suporte e investimento em toda a sua organização para o trabalho de implementação de mitigações.
Inventariar sua infraestrutura digital
Ao planejar a prontidão para violação, você deve entender o estado de seus ativos físicos e digitais. O primeiro objetivo nesta etapa é fazer o inventário. Observe que os outros cenários de negócios incluem fazer um inventário dos ativos afetados pelo cenário. Esses inventários e o status dos itens passam a fazer parte da sua postura de segurança.
Para esse cenário de negócios, é recomendado que você crie uma lista de todos os ativos e serviços físicos e digitais e aplicativos LOB. Os ativos físicos incluem pontos de extremidade (celulares, PCs e notebooks) e servidores (físicos ou virtuais). Exemplos de ativos digitais incluem serviços como emails e dados de retenção no Exchange Online, arquivos e registros no SharePoint Online, serviços PaaS do SQL, data lakes, arquivos em servidores de arquivos locais ou compartilhamentos de arquivos do Azure. Considere o uso de um serviço do agente de segurança de acesso à nuvem (CASB), como o Microsoft Defender para Nuvem, para expor os serviços usados pelos usuários, incluindo locais de dados de shadow IT.
Estes são os ativos digitais a serem incluídos em seu inventário:
- Identidades
- Dispositivos
- Dados
- Aplicativos
- Infraestrutura
- Rede
Pode não ser possível elaborar uma lista detalhada de ativos e seu status nesta fase. Em alguns casos, esse inventário depende de ter ferramentas instaladas, como o Microsoft Intune e o Defender para Aplicativos de Nuvem. Basta começar o processo. À medida que você trabalha nos outros cenários de negócios, esses inventários se tornarão mais completos.
O ideal é que você faça o seguinte:
- Classifique seus ativos digitais por confidencialidade e importância de conteúdo. Se não tiver conhecimento da localização desses ativos, considere usar o Microsoft Purview para descobrir dados críticos.
- Mantenha uma lista atualizada de vulnerabilidades que existem em sua infraestrutura digital para todos os ativos.
O diagrama de arquitetura de confiança zero a seguir ilustra a relação desses ativos entre si.
Implementar higiene básica
Esta etapa também inclui a implementação de práticas básicas de higiene. De acordo com o Relatório de Defesa Digital da Microsoft (2022), "Embora os atores estatais possam ser tecnicamente sofisticados e empregar uma ampla variedade de táticas, seus ataques muitas vezes podem ser mitigados por uma boa higiene cibernética." O relatório estima: “Noventa e oito por cento dos ataques podem ser interrompidos com a implementação de medidas básicas de higiene.”
| Objetivos da etapa 2 | Recursos |
|---|---|
| Desenvolver um plano de prontidão de resposta | Os ataques cibernéticos são inevitáveis. Sua empresa está preparada? (Harvard Business Review) |
| Inventariar sua infraestrutura digital | Como fazer para gerenciar o inventário e a documentação de ativos de TI? (artigo no LinkedIn). O Modelo de avaliação de ativos, avaliação de risco e implementação de controle de TI da Information Systems Audit and Control Association (ISACA) inclui exemplos de como medir e categorizar ativos. |
| Implementar práticas básicas de higiene | Documentar as práticas básicas de higiene para sua organização, incluindo como medir o sucesso. Práticas de higiene são práticas de segurança cibernética realizadas rotineiramente para mitigar violações online. Muitas dessas práticas estão incluídas na Etapa 1 de outros cenários de negócios. Algumas estão incluídas em etapas posteriores. Como ter uma melhor higiene cibernética |
| Atualizar seu status para a classificação de segurança | À medida que você trabalha com as recomendações em cenários de negócios, atualizar seu status para a classificação de segurança. A classificação é uma medida de progresso e sucesso que você pode comunicar em toda a sua organização. Avaliar sua postura de segurança com o Microsoft Secure Score |
| Capturar seu status no Gerenciador de Conformidade | Se você começou a usar o gerenciador de conformidade do Microsoft Purview para acompanhar seu trabalho de conformidade regulatória, volte periodicamente para atualizar seu status. Como a classificação de segurança, essa é uma medida de progresso e sucesso que pode ser incluída como parte de sua postura de segurança. |
Etapa 3
Uma postura de segurança requer instrumentação para criar visibilidade. Você vai querer unificar suas ferramentas e métodos no menor número possível de exibições ou dashboards para simplificação. O primeiro objetivo nesta etapa é visualizar sua postura de segurança usando dashboards apropriados para o público-alvo.
Presumir uma violação exige que procuremos e instrumentemos a preparação para violações, implementando e instrumentando o monitoramento contínuo. Nesta etapa, documente e analise o número de portais ou exibições que realizam essa função. Esta documentação interna pode ser relatórios que você compila manualmente ou relatórios de suas ferramentas de segurança, como Pontuação Segura, Gerenciador de Conformidade, Microsoft Defender XDR, Microsoft Defender para Nuvem, Microsoft Sentinel e outras ferramentas.
Por exemplo:
- Uma exibição executiva resumida do risco, da preparação para violações e dos incidentes atuais.
- Uma exibição resumida do CISO para ativos de segurança de TI e OT.
- Exibições de analistas de segurança para responder a incidentes.
- Uma exibição histórica sobre o gerenciamento de eventos e informações de segurança (SIEM) e a orquestração, automação e resposta de segurança (SOAR) para atender às demandas regulatórias e à busca de ameaças de execução prolongada.
A criação e a manutenção de exibições específicas por função criam transparência com o status da postura de segurança para os stakeholders que compartilham o ônus do gerenciamento de segurança, desde os líderes executivos até os responsáveis pela resposta a incidentes.
A Etapa 3 também inclui o amadurecimento do gerenciamento de shadow IT e a correção das áreas de higiene.
| Objetivos da etapa 3 | Recursos |
|---|---|
| Visualizar sua postura de segurança usando dashboards apropriados ao público-alvo | A seção de acompanhamento do progresso no artigo de visão geral fornece vários exemplos. À medida que você implanta e configura recursos de segurança adicionais, procure exibições adicionais com escopo de público-alvo que sejam importantes para sua organização. Por exemplo, consulte Monitorar arquiteturas de segurança de confiança zero (TIC 3.0) com o Microsoft Sentinel. |
| Documentar e gerenciar a shadow IT usando o Defender para Aplicativos de Nuvem | Esta é uma área de higiene que você pode amadurecer nesta etapa se tiver implantado o Defender para Aplicativos de Nuvem. Consulte Integrar aplicativos SaaS para confiança zero com o Microsoft 365. |
| Desenvolver uma metodologia para aplicação de patches e atualização de sistemas regularmente e com prazo estabelecido | Essa tarefa dentro desse cenário de negócios não se trata de aplicar patch e atualizar sistemas. Em vez disso, trata-se de desenvolver uma metodologia para garantir que a correção e a atualização dos vários componentes do seu patrimônio digital aconteçam regularmente com responsabilidade, visibilidade e boa comunicação com todos os indivíduos afetados. Procure oportunidades para automatizar isso, sempre que possível. Quais são as práticas recomendadas para aplicar patches e atualizar seus sistemas de TI? (artigo no LinkedIn) A aplicação de patch leva à perfeição? (Revista Infosecurity) |
Etapa 4
Os objetivos da etapa 4 são amadurecer a capacidade da sua organização de prevenir e responder a ataques.
| Objetivos da etapa 4 | Recursos |
|---|---|
| Educar continuamente os usuários | Para ajudar os clientes da Microsoft a implantar o treinamento de usuários de forma rápida, fácil e eficaz, use o Microsoft Cybersecurity Awareness Kit, desenvolvido em parceria com a Terranova Security. Você pode utilizar o treinamento de simulação de ataque no portal do Microsoft Defender para executar cenários de ataque realistas na sua organização. Esses ataques simulados podem ajudar você a identificar e encontrar usuários vulneráveis. Consulte Introdução ao treinamento de simulação de ataque. Consulte também o infográfico de dicas de segurança do Microsoft 365 e os modelos e materiais de distribuição do Microsoft Entra para o usuário final. |
| Evolua a capacidade de operações de segurança da sua organização | A Integração do Microsoft Defender XDR às suas operações de segurança fornece diretrizes para criar e treinar sua equipe do SOC (Security Operations Center), incluindo como desenvolver e formalizar um processo para responder a incidentes. Consulte a biblioteca de operações de segurança da Microsoft para obter orientação sobre como responder a incidentes e guias estratégicos para responder a tipos de ataque específicos. |
| Continuar a gerenciar riscos | Desenvolva uma maneira sistemática para sua organização avaliar e gerenciar riscos continuamente. Revisite os exercícios teóricos ou as normas ISO para recalibrar onde você está e o que realizou. |
Fase de preparação
A fase Preparar para este cenário de negócios é um pouco diferente de outros cenários de negócios. Em vez de avaliar e testar recursos ou configurações de segurança específicos, a fase Preparar para esse cenário inclui a formação da equipe de stakeholders e, em seguida, o trabalho em cada etapa e objetivo com uma abordagem agile.
Por exemplo, para cada objetivo:
- Avalie o que é necessário para atingir o objetivo, o que inclui quem é necessário.
- Comece com uma abordagem sensata e teste-a. Ajuste conforme necessário.
- Teste a abordagem e ajuste com base no que você aprendeu.
A tabela a seguir é um exemplo de como isso pode funcionar para o objetivo Identificar riscos à sua organização na Fase 1 da Fase do Plano.
| Preparar tarefa | Ações |
|---|---|
| Avaliar | Decida quais recursos você usará para avaliar os riscos e quem deve ser incluído nas atividades. Essa avaliação pode incluir o uso dos exercícios teóricos ou das normas ISO. Determine quem em sua organização deve participar. |
| Teste | Usando os recursos que você está direcionando, revise os exercícios recomendados com um pequeno grupo de partes interessadas para avaliar sua prontidão para envolver toda a equipe de partes interessadas. |
| Piloto | Se você estiver usando exercícios de mesa, experimente um dos cenários com os participantes escolhidos. Analise os resultados e determine se você está pronto para prosseguir com os outros exercícios. Se você estiver usando as normas ISO, direcione uma parte da norma para testar a avaliação. |
Ao adotar uma abordagem agile como essa, você permite oportunidades para ajustar e otimizar sua metodologia e processo. Você também cria confiança à medida que avança.
Fase de adoção
Na fase de adoção, a estratégia e os planos de implementação são implementados de forma incremental nas áreas funcionais. Para esse cenário, isso envolve a realização dos objetivos definidos nas quatro etapas ou os objetivos e etapas que você personalizou para sua organização.
No entanto, modernizar sua postura de segurança inclui atingir os objetivos técnicos recomendados nos outros cenários de negócios (ou priorizados pela sua organização). Tudo isso se soma à sua postura de segurança.
Ao fazer a transição para a fase de adoção desse cenário e dos outros, certifique-se de comunicar status, progresso e valor.
Governar e gerenciar
A governança de segurança é um processo constante. À medida que você faz a transição para essa fase, mude para o acompanhamento e a medição dos resultados de cada parte da arquitetura de confiança zero que você implementou. Juntamente com o monitoramento e a detecção, você identificará oportunidades de iteração para a maturidade.
Acompanhar e medir
Este artigo de cenário sugere diferentes relatórios e dashboards que você pode usar para avaliar seu status e medir o progresso. Em última análise, convém desenvolver um conjunto de métricas que possa ser usado para mostrar o progresso e identificar onde pode estar surgindo uma nova vulnerabilidade. Você pode usar os vários relatórios e dashboards para reunir as métricas mais importantes para sua organização.
Métricas da equipe e da organização
A tabela a seguir lista alguns exemplos de métricas que podem ser usadas para monitorar a postura de segurança da equipe e da organização.
| Habilitação dos negócios | Postura de segurança | Resposta de segurança | Aprimoramento de segurança |
|---|---|---|---|
| Tempo médio para revisão de segurança | Número de novos aplicativos revisados | Tempo médio para recuperação (MTTR) | Número de projetos de modernização em aberto |
| Número de dias para revisão de segurança do aplicativo | Pontuação da classificação de segurança | Tempo médio para reconhecimento (MTTA) | Número de marcos do projeto de modernização alcançados nos últimos 60 dias |
| Tempo médio de inicialização e início de sessão dos dispositivos gerenciados | Percentual de aplicativos em conformidade | Tempo para restaurar sistemas críticos | Número de etapas manuais repetitivas removidas dos fluxos de trabalho |
| Número de interrupções de segurança no fluxo de trabalho do usuário | Número de contas privilegiadas que atendem a 100% dos requisitos | Número de incidentes de alta gravidade | Número de lições aprendidas com incidentes internos e externos |
| Percentual de tempo de assistência técnica de TI gasto em atividades de segurança de baixo valor | Número de contas que atendem a 100% dos requisitos | Taxa de crescimento de incidentes (geral) |
Painéis e relatórios no produto
Além das ferramentas de acompanhamento baseadas no PowerPoint e Excel que foram projetadas para trabalhar com estas diretrizes de adoção, a Microsoft fornece experiências no produto para acompanhar seu progresso em direção à implantação técnica.
O Gerenciamento de Exposição de Segurança da Microsoft é uma solução de segurança que fornece uma visão unificada da postura de segurança entre ativos e cargas de trabalho da empresa. Nessa ferramenta, as Iniciativas de Segurança ajudam você a avaliar a preparação e a maturidade em áreas específicas de risco de segurança. As Iniciativas de Segurança adotarão uma abordagem proativa para gerenciar programas de segurança para objetivos específicos relacionados a riscos ou domínios.
Use a iniciativa Confiança Zero para acompanhar o progresso da sua organização e implementar a segurança de Confiança Zero. Essa iniciativa está alinhada a estrutura de adoção de Confiança Zero da Microsoft, permitindo que você acompanhe seu progresso com métricas alinhadas com cenários de negócios. Essas métricas capturam a cobertura de recursos entre recomendações acionáveis priorizadas para ajudar as equipes de segurança a proteger sua organização. A iniciativa também fornece dados em tempo real sobre o progresso da Confiança Zero que podem ser compartilhados com os stakeholders.
Cada métrica inclui insights que ajudam as equipes a entender o estado atual, fornecendo detalhes das recomendações, identificando quais ativos são afetados e medindo o impacto na maturidade geral da Confiança Zero.
A adoção da Confiança Zero é um jogo de equipe que envolve as equipes de segurança e de operações de TI, que devem estar alinhadas e trabalhar juntas para priorizar as alterações que melhoram a maturidade geral da Confiança Zero. No nível da métrica e da tarefa, é possível compartilhar a recomendação com a equipe e o proprietário apropriados. O proprietário pode, então, vincular-se diretamente à experiência do administrador do respectivo controle de segurança para configurar e implementar a recomendação.
Essa estrutura de adoção da Confiança Zero incentiva você a adotar uma abordagem baseada em riscos e/ou uma estratégia defensiva. Com qualquer uma dessas abordagens, você pode direcionar outras iniciativas de segurança na ferramenta de gerenciamento de exposição, como a proteção contra ransomware ou uma iniciativa de ameaça específica, e ver seu trabalho ser acumulado para a maturidade de Confiança Zero na iniciativa de Confiança Zero.
Você pode usar a iniciativa de Confiança Zero junto com esta estrutura de adoção da Confiança Zero. As métricas e tarefas da iniciativa são organizadas por cenário de negócios de Confiança Zero.
Monitorar e detectar
Ao trabalhar em cada cenário de negócios, estabeleça como você monitorará e detectará alterações no ambiente e violações. Muitos dos recursos de monitoramento e detecção são fornecidos por meio das ferramentas XDR (Detecção e Resposta Estendida), incluindo o pacote de produtos do Microsoft Defender XDR e o Microsoft Sentinel. Elas são implementadas no cenário de negócios Prevenir ou reduzir danos aos negócios decorrentes de uma violação.
Iterar para obter maturidade
Implementar a confiança zero é uma jornada. Em organizações de escala empresarial, pode levar anos para ela ser totalmente implementada. Neste tempo, os invasores também continuam a evoluir suas técnicas. É importante usar suas métricas em conjunto com os recursos de monitoramento e detecção para identificar onde é necessário iterar e amadurecer um aspecto de seu ambiente de confiança zero. Além disso, continue a avaliar e evoluir a maneira como você mede o sucesso e comunica o progresso, o status e o valor.
Próximas etapas
- Visão geral da estrutura de adoção de confiança zero
- Trabalho remoto e híbrido seguro
- Identificar e proteger dados comerciais confidenciais
- Prevenir ou reduzir danos comerciais causados por uma violação
- Atender a requisitos regulatórios e de conformidade
Recursos de acompanhamento do progresso
Para qualquer um dos cenários comerciais de Confiança Zero, você pode usar os seguintes recursos para acompanhamento do progresso.
| Recurso de acompanhamento do progresso | Isso ajuda a… | Projetado para |
|---|---|---|
Arquivo Visio ou PDF que pode ser baixado da grade de fases do Plano de Cenário de Adoção 
|
Compreender facilmente os aprimoramentos de segurança para cada cenário comercial e o nível de esforço para os estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Conjunto de slides do PowerPoint para baixar do acompanhamento da adoção da Confiança Zero 
|
Acompanhe seu progresso pelos estágios e objetivos da fase de Planejamento. | Clientes potenciais do projeto de cenário de negócios, líderes empresariais e outros stakeholders. |
Pasta de trabalho do Excel para baixar com objetivos e tarefas do cenário de negócios 
|
Atribuir a propriedade e acompanhar seu progresso nas fases, objetivos e tarefas da fase de Planejamento. | Clientes potenciais de projeto de cenário de negócios, clientes potenciais de TI e implementadores de TI. |
Para obter recursos adicionais, consulte Avaliação da Confiança Zero e recursos de acompanhamento de progresso.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de