Métricas e indicadores de tolerância ao risco na disciplina de Base de SegurançaRisk tolerance metrics and indicators in the Security Baseline discipline

Aprenda a quantificar a tolerância ao risco comercial associada à disciplina de Base de Segurança.Learn to quantify business risk tolerance associated with the Security Baseline discipline. Definir métricas e indicadores ajuda a criar um caso de negócio para investir na maturidade desta disciplina.Defining metrics and indicators helps to create a business case for investing in the maturity of this discipline.

MétricasMetrics

A disciplina de Base de Segurança geralmente foca-se na identificação de potenciais vulnerabilidades nas suas implementações em nuvem.The Security Baseline discipline generally focuses on identifying potential vulnerabilities in your cloud deployments. Como parte da sua análise de risco, você vai querer recolher dados relacionados com o seu ambiente de segurança para determinar o risco que enfrenta, e quão importante é o investimento na sua disciplina de Base de Segurança para as suas implementações em nuvem planeada.As part of your risk analysis you'll want to gather data related to your security environment to determine how much risk you face, and how important investment in your Security Baseline discipline is for your planned cloud deployments.

Cada organização tem diferentes ambientes e requisitos de segurança e diferentes fontes potenciais de dados de segurança.Every organization has different security environments and requirements and different potential sources of security data. Seguem-se exemplos de métricas úteis que deve reunir para ajudar a avaliar a tolerância ao risco dentro da disciplina de Base de Segurança:The following are examples of useful metrics that you should gather to help evaluate risk tolerance within the Security Baseline discipline:

  • Classificação de dados: Número de dados e serviços armazenados na nuvem que não são classificados de acordo com os padrões de privacidade, conformidade ou impacto do negócio da sua organização.Data classification: Number of cloud-stored data and services that are unclassified according to on your organization's privacy, compliance, or business impact standards.
  • Número de lojas de dados sensíveis: Número de pontos finais de armazenamento ou bases de dados que contenham dados sensíveis e devem ser protegidos.Number of sensitive data stores: Number of storage endpoints or databases that contain sensitive data and should be protected.
  • Número de lojas de dados não encriptadas: Número de lojas de dados sensíveis que não estão encriptadas.Number of unencrypted data stores: Number of sensitive data stores that are not encrypted.
  • Superfície de ataque: Quantas fontes de dados, serviços e aplicações totais serão hospedadas na nuvem.Attack surface: How many total data sources, services, and applications will be cloud-hosted. Que percentagem destas fontes de dados são classificadas como sensíveis?What percentage of these data sources are classified as sensitive? Qual a percentagem destas aplicações e serviços críticos da missão?What percentage of these applications and services are mission-critical?
  • Normas abrangidas: Número de normas de segurança definidas pela equipa de segurança.Covered standards: Number of security standards defined by the security team.
  • Recursos cobertos: Ativos implantados que estão cobertos por normas de segurança.Covered resources: Deployed assets that are covered by security standards.
  • Conformidade global das normas: Relação de conformidade com as normas de segurança.Overall standards compliance: Ratio of compliance adherence to security standards.
  • Ataques por gravidade: Quantas tentativas coordenadas de perturbar os seus serviços hospedados na nuvem, como por exemplo através de ataques de negação de serviço distribuídos (DDoS), a sua experiência em infraestruturas?Attacks by severity: How many coordinated attempts to disrupt your cloud-hosted services, such as through distributed denial of service (DDoS) attacks, does your infrastructure experience? Qual é o tamanho e a gravidade destes ataques?What is the size and severity of these attacks?
  • Proteção contra malware: Percentagem de máquinas virtuais (VMs) implantadas que necessitaram de anti-malware, firewall ou outro software de segurança instalado.Malware protection: Percentage of deployed virtual machines (VMs) that have all required anti-malware, firewall, or other security software installed.
  • Latência do remendos: Há quanto tempo não há VMs que têm os sistemas operativos e os patches de software aplicados.Patch latency: How long has it been since VMs have had OS and software patches applied.
  • Recomendações de segurança: Número de recomendações de software de segurança para a resolução de normas de saúde para recursos implantados, organizadas por gravidade.Security health recommendations: Number of security software recommendations for resolving health standards for deployed resources, organized by severity.

Indicadores de tolerância ao riscoRisk tolerance indicators

As plataformas cloud fornecem um conjunto de funcionalidades de base que permitem às pequenas equipas de implementação configurar definições básicas de segurança sem um planeamento adicional extensivo.Cloud platforms provide a baseline set of features that enable small deployment teams to configure basic security settings without extensive additional planning. Como resultado, pequenas cargas de trabalho dev/teste ou experimentais que não incluam dados sensíveis representam um nível de risco relativamente baixo, e provavelmente não precisarão de muito no caminho da política formal de base de segurança.As a result, small dev/test or experimental first workloads that do not include sensitive data represent a relatively low level of risk, and will likely not need much in the way of formal Security Baseline policy. Assim que dados importantes ou funcionalidades críticas da missão são transferidos para a nuvem, os riscos de segurança aumentam, enquanto a tolerância para esses riscos diminui rapidamente.As soon as important data or mission-critical functionality is moved to the cloud, security risks increase, while tolerance for those risks diminishes rapidly. À medida que mais dados e funcionalidades são implantados na nuvem, mais provável é que precise de um maior investimento na disciplina de Base de Segurança.As more of your data and functionality is deployed to the cloud, the more likely you need an increased investment in the Security Baseline discipline.

Nas fases iniciais da adoção em nuvem, trabalhe com a sua equipa de segurança de TI e stakeholders empresariais para identificar os riscos comerciais relacionados com a segurança e, em seguida, determine uma linha de base aceitável para a tolerância ao risco de segurança.In the early stages of cloud adoption, work with your IT security team and business stakeholders to identify business risks related to security, then determine an acceptable baseline for security risk tolerance. Esta secção do Quadro de Adoção em Nuvem fornece exemplos, mas os riscos e linhas de base detalhadas para a sua empresa ou implementações podem ser diferentes.This section of the Cloud Adoption Framework provides examples, but the detailed risks and baselines for your company or deployments may be different.

Uma vez que tenha uma linha de base, estabeleça parâmetros mínimos que representem um aumento inaceitável dos seus riscos identificados.Once you have a baseline, establish minimum benchmarks representing an unacceptable increase in your identified risks. Estes critérios de referência funcionam como gatilhos para quando é necessário tomar medidas para remediar estes riscos.These benchmarks act as triggers for when you need to take action to remediate these risks. Seguem-se alguns exemplos de como as métricas de segurança, como as acima discutidas, podem justificar um maior investimento na disciplina de Base de Segurança.The following are a few examples of how security metrics, such as those discussed above, can justify an increased investment in the Security Baseline discipline.

  • Cargas de trabalho críticas da missão disparam.Mission-critical workloads trigger. Uma empresa que implemente cargas de trabalho críticas de missão para a nuvem deve investir na disciplina de Base de Segurança para evitar possíveis perturbações de serviço ou exposição a dados sensíveis.A company deploying mission-critical workloads to the cloud should invest in the Security Baseline discipline to prevent potential disruption of service or sensitive data exposure.
  • Disparador de dados protegidos.Protected data trigger. Uma empresa que hospeda dados na nuvem que podem ser classificados como confidenciais, privados ou de outra forma sujeitos a preocupações regulatórias.A company hosting data on the cloud that can be classified as confidential, private, or otherwise subject to regulatory concerns. Precisam de uma disciplina de Base de Segurança para garantir que estes dados não estejam sujeitos a perda, exposição ou roubo.They need a Security Baseline discipline to ensure that this data is not subject to loss, exposure, or theft.
  • Ataques externos disparam.External attacks trigger. Uma empresa que experimente ataques graves contra a sua infraestrutura de rede x vezes por mês poderia beneficiar da disciplina de Base de Segurança.A company that experiences serious attacks against their network infrastructure x times per month could benefit from the Security Baseline discipline.
  • Gatilho de conformidade com as normas.Standards compliance trigger. Uma empresa com mais de x% dos recursos fora dos padrões de segurança deve investir na disciplina de Base de Segurança para garantir que as normas são aplicadas de forma consistente em toda a sua infraestrutura de TI.A company with more than x% of resources out of security standards compliance should invest in the Security Baseline discipline to ensure standards are applied consistently across your IT infrastructure.
  • Gatilho do tamanho da propriedade da nuvem.Cloud estate size trigger. Uma empresa que acolhe mais do que x aplicações, serviços ou fontes de dados.A company hosting more than x applications, services, or data sources. Grandes implantações em nuvem podem beneficiar do investimento na disciplina de Base de Segurança para garantir que a sua superfície de ataque global esteja devidamente protegida contra acesso não autorizado ou outras ameaças externas.Large cloud deployments can benefit from investment in the Security Baseline discipline to ensure that their overall attack surface is properly protected against unauthorized access or other external threats.
  • Disparador de conformidade com o software de segurança.Security software compliance trigger. Uma empresa onde menos de x% das máquinas virtuais implantadas têm todos os softwares de segurança instalados.A company where less than x% of deployed virtual machines have all required security software installed. Uma disciplina de Base de Segurança pode ser usada para garantir que o software é instalado de forma consistente em todos os softwares.A Security Baseline discipline can be used to ensure software is installed consistently on all software.
  • Desarme o gatilho.Patching trigger. Uma empresa onde foram implantados máquinas ou serviços virtuais onde os patches de SO ou software não foram aplicados nos últimos x dias.A company where deployed virtual machines or services where OS or software patches have not been applied in the last x days. Uma disciplina de base de segurança pode ser usada para garantir que o remendamento seja mantido atualizado dentro de um horário exigido.A Security Baseline discipline can be used to ensure patching is kept up-to-date within a required schedule.
  • Focado na segurança.Security-focused. Algumas empresas terão fortes requisitos de segurança e confidencialidade de dados, mesmo para cargas de trabalho de teste e experimentais.Some companies will have strong security and data confidentiality requirements even for test and experimental workloads. Estas empresas terão de investir na disciplina de Base de Segurança antes de qualquer implementação poder começar.These companies will need to invest in the Security Baseline discipline before any deployments can begin.

As métricas exatas e os gatilhos que usa para medir a tolerância ao risco e o nível de investimento na disciplina de Base de Segurança serão específicos da sua organização, mas os exemplos acima devem servir de base útil para a discussão dentro da sua equipa de governação em nuvem.The exact metrics and triggers you use to gauge risk tolerance and the level of investment in the Security Baseline discipline will be specific to your organization, but the examples above should serve as a useful base for discussion within your cloud governance team.

Passos seguintesNext steps

Utilize o modelo de disciplina de Base de Segurança para documentar métricas e indicadores de tolerância que se alinham com o plano de adoção de nuvem atual.Use the Security Baseline discipline template to document metrics and tolerance indicators that align to the current cloud adoption plan.

Reveja as políticas de Base de Segurança como ponto de partida para desenvolver as suas próprias políticas para lidar com riscos específicos de negócio alinhados com os seus planos de adoção na nuvem.Review sample Security Baseline policies as a starting point to develop your own policies to address specific business risks aligned with your cloud adoption plans.