Motivações e riscos empresariais na disciplina de Base de SegurançaMotivations and business risks in the Security Baseline discipline

Este artigo discute as razões pelas quais os clientes normalmente adotam uma disciplina de Base de Segurança dentro de uma estratégia de governação em nuvem.This article discusses the reasons that customers typically adopt a Security Baseline discipline within a cloud governance strategy. Também fornece alguns exemplos de potenciais riscos empresariais que podem impulsionar declarações políticas.It also provides a few examples of potential business risks that can drive policy statements.

RelevânciaRelevance

A segurança é uma preocupação fundamental para qualquer organização de TI.Security is a key concern for any IT organization. As implementações em nuvem enfrentam muitos dos mesmos riscos de segurança que as cargas de trabalho acolhidas nos centros de dados tradicionais no local.Cloud deployments face many of the same security risks as workloads hosted in traditional on-premises datacenters. A natureza das plataformas de nuvem pública, com a falta de propriedade direta do hardware físico que armazena e executa as suas cargas de trabalho, significa que a segurança na nuvem requer a sua própria política e processos.The nature of public cloud platforms, with a lack of direct ownership of the physical hardware storing and running your workloads, means cloud security requires its own policy and processes.

Uma das principais coisas que distingue a governação de segurança em nuvem da política de segurança tradicional é a facilidade com que os recursos podem ser criados, potencialmente adicionando vulnerabilidades se a segurança não for considerada antes da implementação.One of the primary things that sets cloud security governance apart from traditional security policy is the ease with which resources can be created, potentially adding vulnerabilities if security isn't considered before deployment. A flexibilidade que tecnologias como o Software Defined Networking (SDN) proporcionam para mudar rapidamente a sua topologia de rede baseada na nuvem também pode facilmente modificar a sua superfície de ataque de rede de formas imprevistas.The flexibility that technologies like Software Defined Networking (SDN) provide for rapidly changing your cloud-based network topology can also easily modify your overall network attack surface in unforeseen ways. As plataformas cloud também fornecem ferramentas e funcionalidades que podem melhorar as suas capacidades de segurança de formas que nem sempre são possíveis em ambientes no local.Cloud platforms also provide tools and features that can improve your security capabilities in ways not always possible in on-premises environments.

O montante que investir na política de segurança e nos processos dependerá muito da natureza da sua implantação em nuvem.The amount you invest into security policy and processes will depend a great deal on the nature of your cloud deployment. As primeiras implementações de testes podem necessitar apenas das políticas de segurança mais básicas em vigor, enquanto uma carga de trabalho crítica da missão implicará a resposta a necessidades de segurança complexas e extensas.Initial test deployments may only need the most basic of security policies in place, while a mission-critical workload will entail addressing complex and extensive security needs. Todos os destacamentos terão de se envolver com a disciplina a um certo nível.All deployments will need to engage with the discipline at some level.

A disciplina de Base de Segurança abrange as políticas corporativas e os processos manuais que pode implementar para proteger a sua implementação em nuvem contra riscos de segurança.The Security Baseline discipline covers the corporate policies and manual processes that you can put in place to protect your cloud deployment against security risks.

Nota

Embora seja importante compreender a disciplina de Base de Identidade no contexto da disciplina de Base de Segurança e como isso se relaciona com o controlo de acesso, as Cinco Disciplinas de Governança em Nuvem tratam-na como uma disciplina separada.While it's important to understand the Identity Baseline discipline in the context of the Security Baseline discipline and how that relates to access control, the Five Disciplines of Cloud Governance treats it as a separate discipline.

Risco para os negóciosBusiness risk

A disciplina de Base de Segurança tenta resolver os principais riscos comerciais relacionados com a segurança.The Security Baseline discipline attempts to address core security-related business risks. Trabalhe com o seu negócio para identificar estes riscos e monitorizar cada um deles para relevância como planeia e implementar as suas implementações em nuvem.Work with your business to identify these risks and monitor each of them for relevance as you plan for and implement your cloud deployments.

Os riscos diferem entre organizações.Risks differ between organizations. Utilize esta lista de riscos comuns relacionados com a segurança como ponto de partida para discussões dentro da sua equipa de governação na nuvem:Use this list of common security-related risks as a starting point for discussions within your cloud governance team:

  • Violação de dados: A exposição inadvertida ou a perda de dados sensíveis alojados na nuvem podem levar à perda de clientes, problemas contratuais ou consequências legais.Data breach: Inadvertent exposure or loss of sensitive cloud-hosted data can lead to losing customers, contractual issues, or legal consequences.
  • Interrupção do serviço: Interrupções e outros problemas de desempenho devido a infraestruturas inseguras interrompem operações normais e podem resultar em perda de produtividade ou negócios perdidos.Service disruption: Outages and other performance issues due to insecure infrastructure interrupts normal operations and can result in lost productivity or lost business.

Passos seguintesNext steps

Utilize o modelo de disciplina de Base de Segurança para documentar riscos comerciais que são suscetíveis de ser introduzidos pelo plano de adoção em nuvem atual.Use the Security Baseline discipline template to document business risks that are likely to be introduced by the current cloud adoption plan.

Uma vez estabelecida uma compreensão dos riscos comerciais realistas, o próximo passo é documentar a tolerância da empresa para o risco e os indicadores e métricas-chave para monitorizar essa tolerância.Once an understanding of realistic business risks is established, the next step is to document the business's tolerance for risk and the indicators and key metrics to monitor that tolerance.