Governação de segurança
A governação de segurança faz uma ponte entre as suas prioridades empresariais com a implementação técnica, como arquitetura, normas e política. As equipas de governação fornecem supervisão e monitorização para manter e melhorar a postura de segurança ao longo do tempo. Estas equipas também comunicam a conformidade conforme exigido pela regulamentação dos organismos.
Os objetivos empresariais e o risco proporcionam a melhor direção para a segurança. Esta direção garante que a segurança concentra os seus esforços em questões importantes para a organização. Também informa os proprietários de riscos que utilizam linguagem e processos familiares na arquitetura de gestão de riscos.
Para saber mais sobre a governação de segurança, watch o seguinte vídeo.
Conformidade e relatórios
A conformidade e os relatórios sobre os requisitos de segurança externos e, por vezes, a política interna são elementos básicos necessários para operar num determinado setor. Os requisitos obrigatórios são como alimentar um urso no zoológico. Se não alimentar o urso todos os dias, pode comê-lo.
Arquitetura e normas
A arquitetura, as normas e a política fornecem a tradução crítica dos requisitos empresariais e o risco para o ambiente técnico. Recomendamos que tenha uma vista unificada no seu património empresarial em vez de dividir a cloud versus no local. Os atacantes não se preocupam com os seus processos internos e seguem o caminho da menor resistência ao objetivo. Isto inclui mover-se lateralmente entre ambientes na cloud e no local. A maioria das empresas atualmente são um ambiente híbrido que abrange:
- No local: Inclui várias gerações de tecnologia e, muitas vezes, uma quantidade significativa de software e hardware legados. Por vezes, esta tecnologia inclui tecnologia operacional que controla sistemas físicos com um potencial impacto na vida ou na segurança.
- Clouds: Normalmente, inclui vários fornecedores para:
- Aplicações de Software como serviço (SaaS)
- Infraestrutura como um serviço (IaaS)
- Plataforma como serviço (PaaS)
Gestão da postura de segurança
A esperança e a comunicação de problemas não é um plano. A governação na era da cloud tem de ter um componente ativo que se envolva continuamente com outras equipas. A gestão da postura de segurança é uma função emergente. Representa um passo em frente na convergência a longo prazo das funções de segurança. Estas funções respondem à pergunta "quão seguro é o ambiente?", incluindo a gestão de vulnerabilidades e relatórios de conformidade de segurança.
No mundo no local, a governação de segurança seguiu a cadência de dados que poderia obter sobre o ambiente. Esta forma de obter dados pode demorar algum tempo e estar constantemente desatualizada. Agora, a tecnologia da cloud fornece visibilidade a pedido sobre a postura de segurança atual e a cobertura de ativos. Esta visibilidade impulsiona uma transformação importante da governação numa organização mais dinâmica. Esta organização fornece uma relação mais próxima com outras equipas de segurança para monitorizar padrões de segurança, fornecer orientações e melhorar processos.
No seu estado ideal, a governação é o centro da melhoria contínua. Esta melhoria envolve toda a sua organização para melhorar constantemente a postura de segurança.
Os principais princípios de sucesso para a governação são:
- Deteção contínua de recursos e tipos de recursos: Um inventário estático não é possível num ambiente de cloud dinâmico. A sua organização tem de se concentrar na deteção contínua de recursos e tipos de recursos. Na cloud, são adicionados novos tipos de serviços regularmente. Os proprietários de cargas de trabalho giram dinamicamente para cima e para baixo instâncias de aplicações e serviços conforme necessário, tornando a gestão do inventário uma disciplina dinâmica. As equipas de governação precisam de detetar continuamente tipos de recursos e instâncias para acompanhar este ritmo de alteração.
- Melhoria contínua da postura de segurança do recurso: As equipas de governação devem concentrar-se na melhoria das normas e na imposição dessas normas, para acompanhar a cloud e os atacantes. As organizações de tecnologias de informação (TI) têm de reagir rapidamente a novas ameaças e adaptarem-se em conformidade. Os atacantes estão continuamente a evoluir as suas técnicas e as defesas estão continuamente a melhorar e podem ter de ser ativadas. Nem sempre pode obter toda a segurança necessária na configuração inicial.
- Governação orientada por políticas: Esta governação fornece uma execução consistente ao corrigir algo uma vez na política que é automaticamente aplicada em escala entre recursos. Este processo limita qualquer tempo desperdiçado e esforço em tarefas manuais repetidas. É frequentemente implementado com arquiteturas de automatização de políticas Azure Policy ou de terceiros.
Para manter a agilidade, a orientação das melhores práticas é frequentemente iterativa. Digere pequenas informações de várias origens para criar toda a imagem e fazer continuamente pequenos ajustes.
Disciplinas de governação e proteção
As disciplinas de proteção incluem controlo de acesso, proteção de ativos e segurança de inovação. A equipa de governação de segurança fornece normas e orientações para impulsionar a execução consistente de melhores práticas e controlos de segurança.
No estado ideal, as equipas de proteção aplicam estes controlos e fornecem feedback sobre o que está a funcionar, como desafios na aplicação dos controlos. Em seguida, as equipas trabalham em conjunto para identificar as melhores soluções.
Operações de governação e segurança
As operações de segurança e governação de segurança funcionam em conjunto para fornecer visibilidade completa. Garantem que as lições aprendidas com incidentes do mundo real estão integradas na arquitetura, nas normas e na política.
As operações de governação e segurança proporcionam tipos complementares de visibilidade.
- As operações de segurança fornecem informações sobre o risco imediato de ataques ativos.
- A governação de segurança fornece uma visão ampla ou longa do risco de potenciais ataques futuros e vetores de ataques.
Os arquitetos de segurança na função de governação ajudam a identificar as lições aprendidas com os incidentes. Por exemplo, a causa principal dos incidentes principais. Capturam as lições sobre os padrões da sua organização para garantir uma aplicação consistente em toda a empresa.
Para obter mais informações, veja Integração de segurança.
Nota
Algumas organizações colocam a monitorização da postura de segurança em operações de segurança. Recomendamos que esta monitorização seja monitorizada na governação. Esta colocação cria uma melhor relação com as equipas de engenharia e operações de TI que aplicam as normas. Esta relação resulta frequentemente em comunicações de maior qualidade e melhores resultados de segurança. Caso contrário, tem uma equipa de governação que nunca vê o impacto real dos seus padrões no mundo real.
Passos seguintes
A próxima disciplina é a segurança da inovação.
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários