Definir uma estratégia de segurançaDefine a security strategy

Os objetivos finais para uma organização de segurança não mudam com a adoção de serviços na nuvem, mas como esses objetivos são alcançados mudarão.The ultimate objectives for a security organization don't change with adoption of cloud services, but how those objectives are achieved will change. As equipas de segurança devem continuar a concentrar-se na redução do risco de negócio de ataques e trabalhar para obter garantias de confidencialidade, integridade e disponibilidade incorporadas em todos os sistemas de informação e dados.Security teams must still focus on reducing business risk from attacks and work to get confidentiality, integrity, and availability assurances built into all information systems and data.

Modernizar a sua estratégia de segurançaModernize your security strategy

As equipas de segurança precisam de modernizar estratégias, arquiteturas e tecnologia à medida que a organização adota a nuvem e a opera ao longo do tempo.Security teams need to modernize strategies, architectures, and technology as the organization adopts cloud and operates it over time. Embora o tamanho e o número de mudanças possam inicialmente parecer assustadores, a modernização do programa de segurança permite que a segurança derrame alguns fardos dolorosos associados a abordagens antigas.While the size and number of changes can initially seem daunting, the modernization of the security program allows security to shed some painful burdens associated with legacy approaches. Uma organização pode operar temporariamente com estratégia e ferramentas antigas, mas esta abordagem é difícil de sustentar com o ritmo de mudança na nuvem e o ambiente de ameaça:An organization may temporarily operate with legacy strategy and tooling, but this approach is difficult to sustain with the pace of change in cloud and the threat environment:

  • É provável que as equipas de segurança fiquem de fora da tomada de decisão de adoção em nuvem se tomarem uma mentalidade antiga de segurança de "braços", onde a resposta começa sempre com "não" (em vez de trabalharem em conjunto com as equipas de TI e empresas para reduzir o risco, permitindo ao mesmo tempo o negócio).Security teams are likely to be left out of cloud adoption decision making if they take a legacy mindset of "arms-length" security where the answer always starts with "no" (instead of working together with IT and business teams to reduce risk while enabling the business).
  • As equipas de segurança terão dificuldade em detetar e defender contra ataques em nuvem se usarem apenas ferramentas antigas no local e aderirem exclusivamente ao perímetro de rede apenas doutrina para todas as defesas e monitorização.Security teams will have a difficult time detecting and defending against cloud attacks if they use only legacy on-premises tooling and exclusively adhere to network perimeter only doctrine for all defenses and monitoring. A defesa à escala de nuvens determina o uso de capacidades de deteção e automação nativas em nuvem e a introdução de um perímetro de identidade para ajudar a monitorizar e proteger os ativos em nuvem e móveis.Defending at cloud scale mandates the use of cloud native detection and automation capabilities and the introduction of an identity perimeter to help monitor and protect cloud and mobile assets.

Como esta transformação pode ser significativa, recomendamos que as equipas de segurança tomem uma abordagem ágil para modernizar a segurança que rapidamente moderniza os aspetos mais críticos da estratégia e, em seguida, melhorar continuamente gradualmente depois.Because this transformation can be significant, we recommend that security teams take an agile approach to modernizing security that rapidly modernizes the most critical aspects of the strategy and then continuously improve incrementally afterwards.

Segurança da nuvem e da nuvemSecurity of the cloud and from the cloud

À medida que a sua organização adota serviços na nuvem, as equipas de segurança trabalharão para dois objetivos principais:As your organization adopts cloud services, security teams will be working towards two main objectives:

  • Segurança * * da nuvem (assegurando recursos em nuvem): A segurança deve ser integrada no planeamento e funcionamento de serviços na nuvem para garantir que essas garantias de segurança fundamentais sejam aplicadas de forma consistente em todos os recursos.Security *of* the cloud (securing cloud resources): Security should be integrated into the planning and operation of cloud services to ensure that those core security assurances are consistently applied across all resources.
  • Segurança * * da nuvem (usando a nuvem para transformar a segurança): A segurança deve começar imediatamente a planear e a pensar em como usar tecnologias de nuvem para modernizar ferramentas e processos de segurança, particularmente ferramentas de segurança integradas nativamente.Security *from* the cloud (using the cloud to transform security): Security should immediately start planning and thinking about how to use cloud technologies to modernize security tools and processes, particularly natively integrated security tools. Cada vez mais, as ferramentas de segurança estão a ser hospedadas na nuvem e fornecem capacidades que são difíceis ou impossíveis de fazer num ambiente no local.Increasingly, security tools are being hosted in the cloud and providing capabilities that are difficult or impossible to do in an on-premises environment.

Muitas organizações começam por tratar os recursos em nuvem como mais um datacenter virtual, um ponto de partida eficaz para a segurança da nuvem.Many organizations start by treating cloud resources as another virtual datacenter, an effective starting point for security of the cloud. À medida que as organizações se modernizam usando a segurança da nuvem, a maioria vai encontrar-se rapidamente superando este modelo de pensamento.As organizations modernize using security from the cloud, most will find themselves quickly outgrowing this model of thinking. A segurança de um datacenter definido por software utilizando ferramentas hospedadas em nuvem permite capacidades para além do que os modelos no local podem oferecer:Securing a software-defined datacenter using cloud-hosted tools enables capabilities beyond what on-premises models can offer:

  • Ativação rápida e dimensionamento das capacidades de segurança.Rapid enablement and scaling of security capabilities.
  • Inventário de ativos altamente eficaz e descoberta de higiene de configuração de segurança.Highly effective asset inventory and security configuration hygiene discovery.
  • Avaliação contínua da postura e controlos de segurança da organização.Continuous assessment of the organization's security posture and controls.
  • Uma deteção de ameaças muito melhorada que usa vastos repositórios de inteligência de ameaças e as capacidades de processamento e armazenamento quase ilimitadas da nuvem.Vastly improved threat detection that uses vast repositories of threat intelligence and the nearly unlimited processing and storage capabilities of the cloud.

O nível certo de atrito de segurançaThe right level of security friction

A segurança cria naturalmente atrito que abranda os processos, é fundamental identificar quais os elementos saudáveis nos seus processos de DevOps e TI e que não são:Security naturally creates friction that slows down processes, it is critical to identifying which elements are healthy in your DevOps and IT processes and which are not:

  • Fricção saudável: Tal como a resistência no exercício torna um músculo mais forte, integrando o nível certo de atrito de segurança fortalece o sistema ou aplicação, forçando o pensamento crítico no momento certo.Healthy friction: Much like the resistance in exercise makes a muscle stronger, integrating the right level of security friction strengthens the system or application by forcing critical thinking at the right time. Isto normalmente assume a forma de considerar como e por que um intruso pode tentar comprometer uma aplicação ou sistema durante o design, e rever, identificar e idealmente corrigir potenciais vulnerabilidades que um intruso pode explorar em código de software, configurações ou práticas operacionais.This typically takes the form of considering how and why an attacker may try to compromise an application or system during design, and reviewing, identifying, and ideally fixing potential vulnerabilities an attacker can exploit in software code, configurations, or operational practices.
  • Atrito pouco saudável: Impede mais valor do que protege.Unhealthy friction: Impedes more value than it protects. Isto acontece frequentemente quando os bugs de segurança gerados por ferramentas têm uma alta taxa falsamente positiva (como falsos alarmes) ou quando o esforço para descobrir ou corrigir problemas de segurança excede em muito o impacto potencial de um ataque.This often happens when security bugs generated by tools have a high false positive rate (such as false alarms) or when the effort to discover or fix security issues far exceeds the potential impact of an attack.

Responsabilidades autónomas e integradasStandalone and integrated responsibilities

Fornecer garantias de confidencialidade, integridade e disponibilidade requer que peritos em segurança operem funções de segurança dedicadas e trabalhem em estreita colaboração com outras equipas da organização:Providing confidentiality, integrity, and availability assurances requires security experts to operate dedicated security functions and work closely with other teams in the organization:

  • Funções de segurança únicas: As equipas de segurança desempenham funções independentes que não são encontradas em outros lugares da organização, tais como operações de segurança, gestão de vulnerabilidades e outras funções.Unique security functions: Security teams perform independent functions that are not found elsewhere in the organization, such as security operations, vulnerability management, and other functions.
  • Integração da segurança noutras funções: As equipas de segurança também servem como especialistas em assuntos para outras equipas e funções da organização que estão a impulsionar iniciativas empresariais, avaliando riscos, projetando ou desenvolvendo aplicações, e operando sistemas de TI.Integrating security into other functions: Security teams also serve as subject matter experts to other teams and functions in the organization who are driving business initiatives, assessing risk, designing or developing applications, and operating IT systems. As equipas de segurança aconselham estas equipas com conhecimentos e contexto sobre atacantes, métodos de ataque e tendências, vulnerabilidades que poderiam permitir o acesso não autorizado, e opções para medidas de mitigação ou soluções alternativas e seus potenciais benefícios ou armadilhas.Security teams advise these teams with expertise and context on attackers, attack methods and trends, vulnerabilities that could allow unauthorized access, and options for mitigation steps or workarounds and their potential benefits or pitfalls. Esta função de segurança assemelha-se à de uma função de qualidade, uma vez que será tecida em muitos lugares grandes e pequenos em apoio de um único resultado.This function of security resembles that of a quality function as it will be woven into many places large and small in support of a single outcome.

Executar estas responsabilidades, mantendo o ritmo acelerado de mudança na nuvem e a transformação do negócio, requer que as equipas de segurança modernizem as suas ferramentas, tecnologias e processos.Executing on these responsibilities while keeping up with the rapid pace of change in the cloud and the transformation of business requires security teams to modernize their tools, technologies, and processes.

Transformações, mentalidades e expectativasTransformations, mindsets, and expectations

Muitas organizações estão a gerir uma cadeia de múltiplas transformações simultâneas na organização.Many organizations are managing a chain of multiple simultaneous transformations in the organization. Estas transformações internas normalmente começam porque quase todos os mercados externos estão se transformando para atender às novas preferências dos clientes pelas tecnologias móveis e na nuvem.These internal transformations typically start because nearly all external markets are transforming to meet new customer preferences for mobile and cloud technologies. As organizações enfrentam frequentemente a ameaça competitiva de novas startups e a transformação digital de concorrentes tradicionais que podem perturbar o mercado.Organizations often face the competitive threat of new startups and the digital transformation of traditional competitors who can disrupt the market.

Cadeia de múltiplas transformações simultâneas na organização

O processo de transformação interna inclui tipicamente:The internal transformation process typically includes:

  • Transformação digital do negócio para captar novas oportunidades e manter-se competitiva contra startups nativas digitais.Digital transformation of the business to capture new opportunities and stay competitive against digital native startups.
  • Transformação tecnológica da organização de TI para apoiar a iniciativa com serviços na nuvem, práticas de desenvolvimento modernizadas e mudanças relacionadas.Technology transformation of the IT organization to support the initiative with cloud services, modernized development practices, and related changes.
  • A transformação da segurança adapta-se à nuvem e simultaneamente aborda um ambiente de ameaça cada vez mais sofisticado.Security transformation to both adapt to the cloud and simultaneously address an increasingly sophisticated threat environment.

O conflito interno pode ser dispendiosoInternal conflict can be costly

A mudança cria stress e conflito, o que pode moer a tomada de decisão para parar.Change creates stress and conflict, which can grind decision making to a halt. Isto é especialmente verdade na segurança, onde a responsabilidade pelo risco de segurança é muitas vezes deslocada sobre o assunto peritos (equipas de segurança), em vez dos proprietários dos ativos (empresários) que são responsáveis pelos resultados do negócio e todos os outros tipos de risco.This is especially true in security where accountability for security risk is often misplaced on the subject matter experts (security teams), rather than on the owners of the assets (business owners) that are accountable for business outcomes and all other risk types. Esta prestação de contas mal colocada acontece frequentemente porque todas as partes interessadas vêem incorretamente a segurança como um problema técnico ou absoluto a resolver, em vez de um risco dinâmico em curso como a espionagem corporativa e outras atividades criminosas tradicionais.This misplaced accountability often happens because all stakeholders incorrectly view security as a technical or absolute problem to be solved, rather than a dynamic ongoing risk like corporate espionage and other traditional criminal activities.

Durante este período de transformação, a liderança de todas as equipas deve trabalhar ativamente para reduzir conflitos que podem descarrilar projetos críticos e incentivar as equipas a contornar a mitigação do risco de segurança.During this time of transformation, leadership of all teams must work actively to reduce conflict that can both derail critical projects and incentivize teams to bypass security risk mitigation. O conflito internecina entre equipas pode resultar em:Internecine conflict between teams can result in:

  • Riscos de segurança acrescidos, tais como incidentes de segurança evitáveis ou danos empresariais acrescidos de ataques (especialmente quando as equipas ficam frustradas com a segurança e contornam os processos normais ou quando as abordagens de segurança desatualizadas são facilmente ignoradas pelos atacantes).Increased security risk such as avoidable security incidents or increased business damage from attacks (particularly when teams get frustrated by security and bypass normal processes or when outdated security approaches are easily bypassed by attackers).
  • Impacto negativo no negócio ou missão, como quando os processos de negócio não são ativados ou atualizados rapidamente o suficiente para satisfazer as necessidades do mercado (muitas vezes quando os processos de segurança sustentam iniciativas empresariais fundamentais).Negative impact on the business or mission such as when business processes aren't enabled or updated fast enough to meet market needs (often when security processes hold up key business initiatives).

É fundamental manter-se atento à saúde da relação dentro e entre as equipas para ajudá-las a navegar na paisagem em mudança que pode deixar membros valiosos da equipa inseguros e inquietos.It's critical to stay aware of relationship health within and between teams to help them navigate the shifting landscape that could leave valuable team members insecure and unsettled. Paciência, empatia e educação nestas mentalidades e o potencial positivo do futuro ajudarão as suas equipas a navegar melhor neste período, impulsionando bons resultados de segurança para a organização.Patience, empathy, and education on these mindsets and the positive potential of the future will help your teams better navigate this period, driving good security outcomes for the organization.

Os líderes podem ajudar a impulsionar mudanças culturais com passos proativos concretos como:Leaders can help drive culture changes with concrete proactive steps like:

  • Modelando publicamente o comportamento que esperam das suas equipas.Publicly modeling the behavior they expect of their teams.
  • Ser transparente sobre os desafios das mudanças, incluindo destacar as suas próprias lutas para se adaptarem.Being transparent about the challenges of the changes, including highlighting their own struggles to adapt.
  • Recordando regularmente às equipas a urgência e a importância da modernização e integração da segurança.Regularly reminding teams of the urgency and importance of modernizing and integrating security.

Resiliência da cibersegurançaCybersecurity resilience

Muitas estratégias de segurança clássicas têm-se centrado exclusivamente na prevenção de ataques, uma abordagem insuficiente para as ameaças modernas.Many classic security strategies have been focused solely on preventing attacks, an approach that is insufficient for modern threats. As equipas de segurança devem assegurar que a sua estratégia vai além disso e também permite a deteção, resposta e recuperação rápidas de ataques para aumentar a resiliência.Security teams must ensure their strategy goes beyond this and also enables rapid attack detection, response, and recovery to increase resilience. As organizações devem assumir que os atacantes comprometem alguns recursos (por vezes chamados de violação de assumir) e trabalhar para garantir que os recursos e os desenhos técnicos sejam equilibrados entre a prevenção de ataques e a gestão de ataques (em vez da abordagem padrão típica de apenas tentar evitar ataques).Organizations must assume that attackers will compromise some resources (sometimes called assume breach) and work to ensure that resources and technical designs are balanced between attack prevention and attack management (rather than the typical default approach of only attempting to prevent attacks).

Muitas organizações já estão nesta viagem porque têm gerido o aumento constante do volume e da sofisticação dos ataques nos últimos anos.Many organizations are already on this journey because they have been managing the steady rise in volume and sophistication of attacks in recent years. Esta viagem começa frequentemente com o primeiro grande incidente, que pode ser um evento emocional onde as pessoas perdem o seu sentido prévio de invulnerabilidade e segurança.This journey often starts with the first major incident, which can be an emotional event where people lose their prior sense of invulnerability and safety. Embora não tão severo como uma perda de vida, este evento pode desencadear emoções semelhantes começando com a negação e terminando em aceitação.While not as severe as a loss of life, this event can trigger similar emotions starting with denial and ultimately ending in acceptance. Esta suposição de "falhanço" pode ser difícil para alguns aceitar no início, mas tem fortes paralelos com o bem estabelecido princípio de engenharia "falha-segurança" e o pressuposto permite que as suas equipas se concentrem numa melhor definição de sucesso: resiliência.This assumption of "failure" may be difficult for some to accept at first, but it has strong parallels to the well-established "fail-safe" engineering principle and the assumption allows your teams to focus on a better definition of success: resilience.

As funções do quadro de cibersegurança do NIST servem como um guia útil sobre como equilibrar os investimentos entre as atividades complementares de identificar, proteger, detetar, responder e recuperar numa estratégia resiliente.The functions of the NIST cybersecurity framework serve as a useful guide on how to balance investments between the complementary activities of identify, protect, detect, respond, and recover in a resilient strategy.

Mais sobre a resiliência da cibersegurança e os objetivos finais dos controlos de cibersegurança são discutidos em como manter o risco da sua organização baixo.More on cybersecurity resilience and the ultimate goals of cybersecurity controls is discussed in How do you keep your organization's risk down.

Como a nuvem está a mudar a segurançaHow the cloud is changing security

Mudar para a nuvem para a segurança é mais do que uma simples mudança de tecnologia, é uma mudança geracional na tecnologia semelhante a passar de computadores principais para desktops e para servidores empresariais.Shifting to the cloud for security is more than a simple technology change, it is a generational shift in technology akin to moving from mainframes to desktops and onto enterprise servers. Navegar com sucesso esta mudança requer mudanças fundamentais nas expectativas e mentalidades por parte das equipas de segurança.Successfully navigating this change requires fundamental shifts in expectations and mindset by security teams. Adotar as mentalidades e expectativas certas reduzirá o conflito dentro da sua organização e aumentará a eficácia das equipas de segurança.Adopting the right mindsets and expectations will reduce conflict within your organization and increase the effectiveness of security teams.

Embora estes possam fazer parte de qualquer plano de modernização da segurança, o ritmo acelerado de mudança na nuvem torna a sua adoção uma prioridade urgente.While these could be part of any security modernization plan, the rapid pace of change in the cloud makes adopting them an urgent priority.

  • Parceria com objetivos partilhados.Partnership with shared goals. Nesta era de decisões aceleradas e constante evolução do processo, a segurança já não pode adotar uma abordagem "de comprimento de armamento" para aprovar ou negar alterações ao ambiente.In this age of fast paced decisions and constant process evolution, security can no longer adopt an "arms-length" approach to approving or denying changes to the environment. As equipas de segurança devem associar-se estreitamente com as equipas de negócios e TI para estabelecer objetivos comuns em torno da produtividade, fiabilidade e segurança e trabalhar em grupo com esses parceiros para os alcançar.Security teams must partner closely with business and IT teams to establish shared goals around productivity, reliability, and security and work collectively with those partners to achieve them.

    Esta parceria é a forma final de "mudança de esquerda" — o princípio da integração da segurança no início dos processos para tornar a correção de questões de segurança mais fácil e eficaz.This partnership is the ultimate form of "shift left"—the principle of integrating security earlier in the processes to make fixing security issues easier and more effective. Isto requer uma mudança cultural por todos os envolvidos (segurança, negócios e TI), exigindo que cada um aprenda a cultura e as normas de outros grupos, ao mesmo tempo que ensina os outros sobre os seus próprios.This requires a culture change by all involved (security, business, and IT), requiring each to learn the culture and norms of other groups while simultaneously teaching others about their own.

    As equipas de segurança devem:Security teams must:

    • Aprenda os objetivos de negócio e ti e por que cada um é importante e como eles estão pensando em alcançá-los à medida que se transformam.Learn the business and IT objectives and why each is important and how they are thinking about achieving them as they transform.
    • Partilhe por que razão a segurança é importante no contexto desses objetivos e riscos de negócio, o que outras equipas podem fazer para cumprir objetivos de segurança e como devem fazê-lo.Share why security is important in the context of those business goals and risks, what other teams can do to meet security goals, and how they should do it.

    Embora não seja uma tarefa fácil, é essencial para assegurar de forma sustentável a organização e os seus ativos.While not an easy task, it is essential for sustainably securing the organization and its assets. Esta parceria resultará provavelmente em compromissos saudáveis, em que apenas os objetivos mínimos de segurança, negócios e fiabilidade podem ser atingidos inicialmente, mas melhorar gradualmente ao longo do tempo.This partnership will likely result in healthy compromises where only the minimum security, business, and reliability goals may be met initially, but incrementally improve steadily over time.

  • A segurança é um risco contínuo, não um problema.Security is an ongoing risk, not a problem. Não se pode "resolver" o crime.You can't "solve" crime. No fundo, a segurança é apenas uma disciplina de gestão de risco, que por acaso está focada em ações maliciosas por seres humanos e não em eventos naturais.At its core, security is just a risk management discipline, which happens to be focused on malicious actions by humans rather than natural events. Como todos os riscos, a segurança não é um problema que possa ser resolvido por uma solução, é uma combinação da probabilidade e do impacto dos danos causados por um evento negativo, um ataque.Like all risks, security is not a problem that can be fixed by a solution, it is a combination of the likelihood and impact of damage from a negative event, an attack. É mais comparável à espionagem corporativa tradicional e às atividades criminosas em que as organizações enfrentam agressores humanos motivados que têm incentivo financeiro para atacar com sucesso a organização.It is most comparable to traditional corporate espionage and criminal activities where organizations face motivated human attackers who have financial incentive to successfully attack the organization.

  • O sucesso na produtividade ou na segurança requer ambos.Success in either productivity or security requires both. Uma organização deve focar-se na segurança e na produtividade no ambiente de "inovação ou tornar-se irrelevante".An organization must focus on both security and productivity in today's "innovation or become irrelevant" environment. Se a organização não for produtiva e impulsionar uma nova inovação, pode perder competitividade no mercado que a faz enfraquecer financeiramente ou eventualmente falhar.If the organization is not productive and driving new innovation, it may lose competitiveness in the marketplace that causes it to weaken financially or eventually fail. Se a organização não for segura e perder o controlo dos ativos para os atacantes, pode perder competitividade no mercado que a faz enfraquecer financeiramente e eventualmente falhar.If the organization is not secure and loses control of assets to attackers, it may lose competitiveness in the marketplace that causes it to weaken financially and eventually fail.

  • Ninguém é perfeito.Nobody's perfect. Nenhuma organização é perfeita para adotar a nuvem, nem mesmo a Microsoft.No organization is perfect at adopting the cloud, not even Microsoft. As equipas de TI e segurança da Microsoft enfrentam muitos dos mesmos desafios que os nossos clientes fazem, como descobrir como estruturar bem os programas, equilibrar o suporte a softwares antigos com o suporte à inovação de ponta e até lacunas tecnológicas nos serviços na nuvem.Microsoft's IT and security teams grapple with many of the same challenges that our customers do such as figuring out how to structure programs well, balancing supporting legacy software with supporting cutting edge innovation, and even technology gaps in cloud services. À medida que estas equipas aprendem a operar melhor e a proteger a nuvem, estão a partilhar ativamente as suas lições aprendidas através de documentos como este, juntamente com outros no site de ti showcase, ao mesmo tempo que fornecem feedback às nossas equipas de engenharia e fornecedores de terceiros para melhorar as suas ofertas.As these teams learn how to better operate and secure the cloud, they are actively sharing their lessons learned via documents like this along with others on the IT showcase site, while continuously providing feedback to our engineering teams and third-party vendors to improve their offerings.

    Com base na nossa experiência, recomendamos que as equipas sejam mantidas num padrão de aprendizagem e melhoria contínuas em vez de um padrão de perfeição.Based on our experience, we recommend that teams are held to a standard of continuous learning and improvement rather than a standard of perfection.

  • Oportunidade em transformação.Opportunity in transformation. É importante encarar a transformação digital como uma oportunidade positiva para a segurança.It's important to view digital transformation as a positive opportunity for security. Embora seja fácil ver as potenciais desvantagens e o risco desta mudança, é fácil perder a enorme oportunidade de reinventar o papel da segurança e ganhar um lugar à mesa onde as decisões são tomadas.While it's easy to see the potential downsides and risk of this change, it's easy to miss the massive opportunity to reinvent the role of security and earn a seat at the table where decisions are made. A parceria com o negócio pode resultar num aumento do financiamento de segurança, reduzir os esforços repetitivos desperdiçados em segurança e tornar o trabalho em segurança mais agradável, uma vez que estarão mais ligados à missão da organização.Partnering with the business can result in increased security funding, reduce wasteful repetitive efforts in security, and make working in security more enjoyable as they will be more connected to the organization's mission.

Adotar o modelo de responsabilidade partilhadaAdopting the shared responsibility model

O alojamento de serviços de TI na nuvem divide as responsabilidades operacionais e de segurança das cargas de trabalho entre o fornecedor de nuvem e o inquilino do cliente, criando uma parceria de facto com responsabilidades partilhadas.Hosting IT services in the cloud splits the operational and security responsibilities for workloads between the cloud provider and the customer tenant, creating a de facto partnership with shared responsibilities. Todas as equipas de segurança devem estudar e compreender este modelo de responsabilidade partilhada para adaptar os seus processos, ferramentas e conjuntos de habilidades ao novo mundo.All security teams must study and understand this shared responsibility model to adapt their processes, tools, and skill sets to the new world. Isto ajudará a evitar criar inadvertidamente lacunas ou sobreposições na sua postura de segurança, resultando em riscos de segurança ou recursos desperdiçados.This will help avoid inadvertently creating gaps or overlaps in your security posture resulting in security risks or wasted resources.

Este diagrama ilustra como as responsabilidades de segurança serão distribuídas entre fornecedores de nuvem e organizações de clientes em nuvem numa parceria de facto:This diagram illustrates how security responsibilities will be distributed between cloud vendors and cloud customer organizations in a de facto partnership:

Responsabilidades de segurança distribuídas

Como existem diferentes modelos de serviços na nuvem, as responsabilidades por cada carga de trabalho variarão consoante seja hospedado em software como um serviço (SaaS), plataforma como serviço (PaaS), infraestrutura como serviço (IaaS), ou num datacenter no local.As there are different models of cloud services, the responsibilities for each workload will vary depending on whether it is hosted on software as a service (SaaS), platform as a service (PaaS), infrastructure as a service (IaaS), or in an on-premises datacenter.

Iniciativas de segurança de edifíciosBuilding security initiatives

Este diagrama ilustra as três iniciativas primárias de segurança que a maioria dos programas de segurança deve seguir para ajustar a sua estratégia de segurança e objetivos de programa de segurança para a nuvem:This diagram illustrates the three primary security initiatives that most security programs should follow to adjust their security strategy and security program goals for the cloud:

Iniciativas de segurança primária

A construção de uma postura de segurança resiliente na nuvem requer várias abordagens complementares paralelas:Building a resilient security posture in the cloud requires several parallel complementary approaches:

  • Confie, mas verifique: Para as responsabilidades desempenhadas pelo fornecedor de nuvem, as organizações devem ter uma abordagem de "confiança mas verificação".Trust but verify: For responsibilities performed by the cloud provider, organizations should take a "trust but verify" approach. As organizações devem avaliar as práticas de segurança dos seus fornecedores de nuvem e os controlos de segurança que oferecem para garantir que o fornecedor de nuvem satisfaz as necessidades de segurança da organização.Organizations should evaluate the security practices of their cloud providers and the security controls they offer to ensure the cloud provider meets the security needs of the organization.

  • Modernizar a infraestrutura e a segurança das aplicações: Para elementos técnicos sob o controlo da organização, priorize a modernização da ferramenta de segurança e os conjuntos de competências associados para minimizar as lacunas de cobertura para garantir recursos na nuvem.Modernize infrastructure and application security: For technical elements under the organization's control, prioritize modernizing security tooling and associated skill sets to minimize coverage gaps for securing resources in the cloud. Trata-se de dois diferentes esforços complementares:This is composed of two different complementary efforts:

    • Segurança da infraestrutura: As organizações devem utilizar a nuvem para modernizar a sua abordagem para proteger e monitorizar os componentes comuns utilizados por muitas aplicações, tais como sistemas operativos, redes e infraestruturas de contentores.Infrastructure security: Organizations should use the cloud to modernize their approach to protecting and monitoring the common components used by many applications, such as operating systems, networks, and container infrastructure. Estas capacidades em nuvem podem muitas vezes incluir a gestão de componentes de infraestruturas em ambientes iaas e no local.These cloud capabilities can often including managing infrastructure components across both IaaS and on-premises environments. A otimização desta estratégia é importante porque esta infraestrutura é uma dependência das aplicações e dados que nela funcionam, que muitas vezes permitem processos de negócio críticos e armazenam dados empresariais críticos.Optimizing this strategy is important because this infrastructure is a dependency of the applications and data that run on it, which often enable critical business processes and store critical business data.

    • Segurança da aplicação: As organizações também devem modernizar a forma como asseguram as aplicações e tecnologias únicas que são desenvolvidas por ou para a sua organização.Application security: Organizations should also modernize the way they secure the unique applications and technology that is developed by or for their organization. Esta disciplina está a mudar rapidamente com a adoção de processos de DevOps ágeis, o uso crescente de componentes de código aberto, e a introdução de APIs em nuvem e serviços em nuvem para substituir componentes de aplicações ou aplicações de interligação.This discipline is changing rapidly with the adoption of agile DevOps processes, the increasing use of open-source components, and introduction of cloud APIs and cloud services to replace application components or interconnect applications.

      Obter este direito é fundamental porque estas aplicações muitas vezes permitem processos de negócio críticos e armazenam dados de negócios críticos.Getting this right is critical because these applications often enable critical business processes and store critical business data.

    • Perímetro moderno: As organizações devem ter uma abordagem abrangente para proteger os dados em todas as cargas de trabalho, devendo as organizações estabelecer um perímetro moderno de controlos de identidade consistentes e geridos centralmente para proteger os seus dados, dispositivos e contas.Modern perimeter: Organizations should have a comprehensive approach for protecting data across all workloads, organizations should establish a modern perimeter of consistent, centrally managed identity controls to protect their data, devices, and accounts. Isto é fortemente influenciado por uma estratégia de confiança zero discutida em detalhe no Módulo 3 do workshop ciso.This is heavily influenced by a zero trust strategy discussed in detail in Module 3 of the CISO workshop.

Segurança e confiançaSecurity and trust

O uso da palavra confiança na segurança pode ser confuso.The use of the word trust in security can be confusing. Esta documentação refere-se a ela de duas formas que ilustram aplicações úteis deste conceito:This documentation refers to it in two ways that illustrate useful applications of this concept:

  • A confiança zero é um termo comum da indústria para uma abordagem estratégica da segurança que assume que uma rede corporativa ou intranet é hostil (digna de confiança zero) e projeta a segurança em conformidade.Zero trust is a common industry term for a strategic approach to security that assumes a corporate or intranet network is hostile (worthy of zero trust) and designs security accordingly.
  • Confiança mas verificar é uma expressão que captura a essência de duas organizações diferentes trabalhando em conjunto para um objetivo comum, apesar de ter outros interesses potencialmente divergentes.Trust but verify is an expression that captures the essence of two different organizations working together toward a common goal despite having some other potentially divergent interests. Isto captura concisamente muitas das nuances das fases iniciais da parceria com um fornecedor de nuvem comercial para organizações.This concisely captures many of the nuances of the early stages of partnering with a commercial cloud provider for organizations.

Um fornecedor de nuvem e suas práticas e processos podem ser responsáveis para satisfazer requisitos contratuais e regulamentares e podem ganhar ou perder a confiança.A cloud provider and their practices and processes can be accountable to meet contractual and regulatory requirements and could earn or lose trust. Uma rede é uma ligação não-viável que não pode enfrentar consequências se for usada por atacantes (tal como não se pode responsabilizar uma estrada ou um carro por criminosos que as utilizam).A network is a nonliving connection that cannot face consequences if it is used by attackers (much like you cannot hold a road or a car accountable for criminals using them).

Como a nuvem está a mudar as relações de segurança e as responsabilidadesHow cloud is changing security relationships and responsibilities

Tal como nas transições anteriores para uma nova geração de tecnologia, como a computação de desktop e a computação de servidores empresariais, a mudança para a computação em nuvem está a perturbar relações, papéis, responsabilidades e conjuntos de habilidades há muito estabelecidos.As with previous transitions to a new generation of technology like desktop computing and enterprise server computing, the shift to cloud computing is disrupting long-established relationships, roles, responsibilities, and skill sets. As descrições de trabalho a que nos habituámos ao longo das últimas décadas não mapeiam de forma limpa para uma empresa que agora inclui capacidades de nuvem.The job descriptions we have become accustomed to over the last few decades do not cleanly map to an enterprise that now includes cloud capabilities. À medida que a indústria trabalha colectivamente para normalizar um novo modelo, as organizações terão de se concentrar em fornecer o máximo de esclarecimento possível para ajudar a gerir a incerteza da ambiguidade durante este período de mudança.As the industry collectively works to normalize a new model, organizations will have to focus on providing as much clarify as possible to help manage the uncertainty of ambiguity during this period of change.

As equipas de segurança são afetadas por estas mudanças no negócio e na tecnologia que apoiam, bem como pelos seus próprios esforços de modernização interna para melhor orientarem-se para ameaçar os atores.Security teams are affected by these changes in the business and technology they support as well as their own internal modernization efforts to better orient to threat actors. Os atacantes estão a evoluir ativamente para procurar constantemente os pontos fracos mais fáceis de explorar nas pessoas, processos e tecnologia da organização e segurança devem desenvolver capacidades e habilidades para abordar estes ângulos.Attackers are actively evolving to constantly search for the easiest weak points to exploit in the people, process, and technology of the organization and security must develop capabilities and skills to address these angles.

Esta secção descreve as relações-chave que mudam frequentemente na viagem à nuvem, incluindo lições aprendidas sobre minimizar o risco e abraçar as oportunidades para melhorar:This section describes the key relationships that frequently change on the journey to the cloud, including lessons learned on minimizing risk and embracing the opportunities to improve:

  • Entre os intervenientes na segurança e nas empresas: A liderança de segurança terá de se associar cada vez mais aos líderes empresariais para permitir que as organizações reduzam os riscos.Between security and business stakeholders: Security leadership will need to increasingly partner with business leaders to enable organizations to reduce risk. Os líderes de segurança devem apoiar a tomada de decisões empresariais como peritos em matéria de segurança (PME) e devem esforçar-se por se tornar conselheiros de confiança destes líderes empresariais.Security leaders should support business decision making as security subject matter expert (SMEs) and should strive to grow into trusted advisors to these business leaders. Esta relação ajudará a garantir que os líderes empresariais considerem os riscos de segurança enquanto fazem decisões empresariais, informam a segurança das prioridades das empresas e ajudam a garantir que os investimentos em segurança sejam priorizados adequadamente ao lado de outros investimentos.This relationship will help ensure business leaders consider security risks while making business decisions, inform security of business priorities, and help ensure security investments are prioritized appropriately alongside other investments.

  • Entre a liderança de segurança e os membros da equipa: Os líderes de segurança devem levar estas informações da liderança empresarial de volta para as suas equipas para orientar as suas prioridades de investimento.Between security leadership and team members: Security leadership should take these insights from business leadership back to their teams to guide their investment priorities.

    Ao estabelecer um tom de cooperação com os líderes empresariais e as suas equipas em vez de uma relação clássica de "braço-longo", os líderes de segurança podem evitar uma dinâmica adversária que impede tanto os objetivos de segurança como de produtividade.By setting a tone of cooperation with business leaders and their teams rather than a classic "arms-length" relationship, security leaders can avoid an adversarial dynamic that impedes both security and productivity goals.

    Os líderes de segurança devem esforçar-se por fornecer clareza à sua equipa sobre como gerir as suas decisões diárias sobre a produtividade e as trocas de segurança, uma vez que isso pode ser novo para muitos nas suas equipas.Security leaders should strive to provide clarity to their team on how to manage their daily decisions on productivity and security tradeoffs as this may be new to many on their teams.

  • Entre equipas de aplicação e infraestruturas (e fornecedores de nuvem): Esta relação está a sofrer mudanças significativas devido às múltiplas tendências na indústria de TI e segurança que visam aumentar a velocidade da inovação e a produtividade dos desenvolvedores.Between application and infrastructure teams (and cloud providers): This relationship is undergoing significant changes because of multiple trends in the IT and security industry aimed at increasing innovation speed and developer productivity.

    As velhas normas e funções organizacionais foram interrompidas, mas novas normas e funções ainda estão a emergir, por isso recomendamos aceitar a ambiguidade, acompanhar o pensamento atual, e experimentar o que funciona para as suas organizações até que isso funcione.The old norms and organizational functions have been disrupted, but new norms and functions are still emerging, so we recommend accepting the ambiguity, keeping up with current thinking, and experiment with what works for your organizations until it does. Não recomendamos a adoção de uma abordagem de espera neste espaço porque pode colocar a sua organização em grande desvantagem competitiva.We don't recommend adopting a wait-and-see approach in this space because it might put your organization at a major competitive disadvantage.

    Estas tendências desafiam as normas tradicionais para funções e relações de aplicações e infraestruturas:These trends are challenging the traditional norms for roles and relationships of applications and infrastructure:

    • DevOps-fusing disciplinas: No seu estado ideal, isto cria efetivamente uma única equipa altamente funcional que combina ambos os conjuntos de conhecimentos de matéria para inovar rapidamente, lançar atualizações e resolver problemas (segurança e outros).DevOps-fusing disciplines: In its ideal state, this effectively creates a single highly functional team that combines both sets of subject matter expertise together to rapidly innovate, release updates, and resolve issues (security and otherwise). Embora este estado ideal leve algum tempo a concretizar e as responsabilidades no meio ainda sejam ambíguas, as organizações já estão a colher alguns benefícios de lançamentos rápidos devido a esta abordagem cooperativa.While this ideal state will take some time to achieve and the responsibilities in the middle are still ambiguous, organizations are already reaping some benefits of rapid releases because of this cooperative approach. A Microsoft recomenda integrar a segurança neste ciclo para ajudar a aprender essas culturas, partilhar aprendizagens de segurança e trabalhar para um objetivo comum de libertar rapidamente aplicações seguras e fiáveis.Microsoft recommends integrating security into this cycle to help learn those cultures, share security learnings, and work towards a common goal of rapidly releasing secure and reliable applications.

    DevOps-fusing disciplinas

    • A contentorização torna-se uma componente comum da infraestrutura: As aplicações são cada vez mais hospedadas e orquestradas por tecnologias como Docker, Kubernetes e tecnologias similares.Containerization becoming a common infrastructure component: Applications are increasingly being hosted and orchestrated by technologies like Docker, Kubernetes, and similar technologies. Estas tecnologias simplificam o desenvolvimento e a libertação, resumindo muitos elementos da configuração e configuração do sistema operativo subjacente.These technologies simplify development and release by abstracting many elements of the setup and configuration of the underlying operating system.

    Infraestrutura de contentorização

    Embora os contentores tenham começado como uma tecnologia de desenvolvimento de aplicações gerida por equipas de desenvolvimento, está a tornar-se uma componente comum de infraestruturas que está a mudar cada vez mais para equipas de infraestruturas.While containers began as an application development technology managed by development teams, it is becoming a common infrastructure component that is increasingly shifting to infrastructure teams. Esta transição ainda está em curso em muitas organizações, mas é uma direção natural e positiva muitos dos desafios atuais serão melhor resolvidos com conjuntos tradicionais de competências em infraestruturas como networking, armazenamento e gestão de capacidades.This transition is still in progress at many organizations, but it is a natural and positive direction many of the current challenges will be best solved with traditional infrastructure skill sets like networking, storage, and capacity management.

    As equipas de infraestruturas e os membros da equipa de segurança que as apoiam devem ser doadamento de formação, processos e ferramentas para ajudar a gerir, monitorizar e proteger esta tecnologia.Infrastructure teams and security team members that support them should be provided with training, processes, and tooling to help manage, monitor, and secure this technology.

    • Serviços de aplicação sem servidor e nuvem: Uma das tendências dominantes na indústria neste momento é a redução do tempo e do trabalho de desenvolvimento necessários para construir ou atualizar aplicações.Serverless and cloud application services: One of the dominant trends in industry right now is reducing the amount of time and development work required to build or update applications.

      Serviços de aplicação sem servidor e nuvem

      Os desenvolvedores também estão a usar cada vez mais serviços na nuvem para:Developers are also increasingly using cloud services to:

      • Executar código em vez de hospedar aplicações em máquinas virtuais (VMs) e servidores.Run code instead of hosting applications on virtual machines (VMs) and servers.
      • Fornecer funções de aplicação em vez de desenvolver os seus próprios componentes.Provide application functions instead of developing their own components. Isto levou a um modelo sem servidor que utiliza serviços de nuvem existentes para funções comuns.This has led to a serverless model that uses existing cloud services for common functions. O número e variedade de serviços na nuvem (e o seu ritmo de inovação) também excedeu a capacidade das equipas de segurança de avaliar e aprovar o uso desses serviços, deixando-os a escolher entre permitir que os desenvolvedores utilizem qualquer serviço, tentando impedir que as equipas de desenvolvimento utilizem serviços não aprovados, ou tentando encontrar uma maneira melhor.The number and variety of cloud services (and their pace of innovation) has also exceeded the ability of security teams to evaluate and approve the use of those services, leaving them to choose between allowing developers to use any service, attempting to prevent the development teams from using unapproved services, or trying to find a better way.
      • Aplicações sem código e aplicações de energia: Outra tendência emergente é o uso de tecnologias sem código como as Microsoft Power Apps.Codeless applications and Power Apps: Another emerging trend is the use of codeless technologies like Microsoft Power Apps. Esta tecnologia permite que pessoas sem competências de codificação criem aplicações que atinjam resultados de negócio.This technology enables people without coding skills to create applications that achieve business outcomes. Devido a este baixo atrito e ao elevado potencial de valor, esta tendência tem o potencial de aumentar rapidamente de popularidade e os profissionais de segurança seriam sensatos em compreender rapidamente as suas implicações.Because of this low friction and high value potential, this trend has the potential to rise in popularity quickly and security professionals would be wise to rapidly understand its implications. Os esforços de segurança devem centrar-se nas áreas em que um ser humano pode cometer um erro na aplicação, nomeadamente a conceção da aplicação e permissões de ativos através da modelação de ameaças dos componentes da aplicação, interações/relacionamentos e permissões de funções.Security efforts should be focused on the areas where a human could make a mistake in the application, namely the design of the application and asset permissions via threat modeling the application components, interactions/relationships, and role permissions.
  • Entre desenvolvedores e autores de componentes de código aberto: Os desenvolvedores também estão a aumentar a eficiência utilizando componentes e bibliotecas de código aberto em vez de desenvolverem os seus próprios componentes.Between developers and open-source component authors: Developers are also increasing efficiency by using open-source components and libraries instead of developing their own components. Isto traz valor através da eficiência, mas também introduz riscos de segurança criando uma dependência externa e um requisito para manter e corrigir adequadamente esses componentes.This brings value through efficiency, but also introduces security risks by creating an external dependency and a requirement to properly maintain and patch those components. Os desenvolvedores estão efetivamente assumindo o risco de segurança e outros bugs quando usam estes componentes e têm que garantir que há um plano para mitigar os mesmos padrões que o código que eles iriam desenvolver.Developers are effectively assuming the risk of security and other bugs when they use these components and have to ensure there is a plan to mitigate them at the same standards as code they would develop.

  • Entre aplicações e dados: A linha entre a segurança dos dados e aplicações está a ficar turva em locais e os novos regulamentos estão a criar a necessidade de uma cooperação mais estreita entre as equipas de dados/privacidade e as equipas de segurança:Between applications and data: The line between security of data and applications is becoming blurred in places and new regulations are creating a need for closer cooperation between data/privacy teams and security teams:

    • Algoritmos de aprendizagem automática (machine learning): os algoritmos de aprendizagem automática são semelhantes às aplicações na medida em que são projetados para processar dados para criar um resultado.Machine learning (machine learning) algorithms: machine learning algorithms are similar to applications in that they are designed to process data to create an outcome. As principais diferenças são as seguintes:The key differences are:

      • Aprendizagem automática de alto valor: A aprendizagem automática confere frequentemente uma vantagem competitiva significativa e é muitas vezes considerada propriedade intelectual sensível e um segredo comercial.High-value machine learning: Machine learning often confers a significant competitive advantage and is often considered sensitive intellectual property and a trade secret.

      • Impressão de sensibilidade: A aprendizagem de máquinas supervisionada é sintonizada usando conjuntos de dados, que imprime características do conjunto de dados no algoritmo.Sensitivity imprint: Supervised machine learning is tuned using data sets, which imprints characteristics of the dataset on the algorithm. Por isso, o algoritmo afinado pode ser considerado sensível devido ao conjunto de dados usado para treiná-lo.Because of this, the tuned algorithm may be considered sensitive because of the dataset used to train it. Por exemplo, treinar um algoritmo de aprendizagem automática para encontrar bases secretas do exército num mapa usando um conjunto de dados de bases secretas do exército faria dele um ativo sensível.For example, training a machine learning algorithm to find secret army bases on a map using a dataset of secret army bases would make it a sensitive asset.

      Nota

      Nem todos os exemplos são óbvios, por isso é fundamental reunir uma equipa com as partes interessadas certas de equipas de ciência de dados, stakeholders de negócios, equipas de segurança, equipas de privacidade, entre outras.Not all examples are obvious, so it's critical to bring a team together with the right stakeholders from data science teams, business stakeholders, security teams, privacy teams, and others. Estas equipas devem ter a responsabilidade de cumprir os objetivos comuns de inovação e responsabilidade.These teams should have a responsibility to meet common goals of innovation and responsibility. Devem abordar questões comuns como como e onde armazenar cópias de dados em configurações inseguras, como classificar algoritmos, bem como quaisquer preocupações das suas organizações.They should address common issues such as how and where to store copies of data in insecure configurations, how to classify algorithms, as well as any concerns of your organizations.

      A Microsoft publicou os nossos princípios de IA responsável para orientar as nossas próprias equipas e os nossos clientes.Microsoft has published our principles of responsible AI to guide our own teams and our customers.

      • Propriedade de dados e privacidade: Regulamentos como o RGPD aumentaram a visibilidade das questões de dados e aplicações.Data ownership and privacy: Regulations like GDPR have increased the visibility of data issues and applications. As equipas de candidatura têm agora a capacidade de controlar, proteger e rastrear dados sensíveis a um nível comparável ao rastreio de dados financeiros por bancos e instituições financeiras.Application teams now have the ability to control, protect, and track sensitive data at a level comparable to tracking financial data by banks and financial institutions. Os proprietários de dados e as equipas de aplicações precisam de construir uma compreensão rica do que as aplicações de dados armazenam e quais os controlos necessários.Data owners and applications teams need to build a rich understanding of what data applications store and what controls are required.
  • Entre organizações e fornecedores de nuvem: À medida que as organizações acolhem cargas de trabalho na nuvem, estão a entrar numa relação comercial com cada um desses fornecedores de nuvem.Between organizations and cloud providers: As organizations host workloads in the cloud, they are entering into a business relationship with each of those cloud providers. A utilização de serviços na nuvem traz frequentemente valor de negócio, tais como:The use of cloud services often brings business value such as:

    • Acelerar as iniciativas de transformação digital reduzindo o tempo ao mercado para novas capacidades.Accelerating digital transformation initiatives by reducing time to market for new capabilities.

    • O valor crescente das atividades de TI e segurança, libertando equipas para se concentrarem em atividades de maior valor (alinhados com o negócio) em vez de tarefas de base de nível inferior que são fornecidas de forma mais eficiente pelos serviços na nuvem em seu nome.Increasing value of IT and security activities by freeing teams to focus on higher value (business-aligned) activities rather than lower-level commodity tasks that are provided more efficiently by cloud services on their behalf.

    • Maior fiabilidade e capacidade de resposta: A maioria das nuvens modernas também têm alta altura em comparação com os centros de dados tradicionais no local e mostraram que podem escalar rapidamente (como durante a pandemia COVID-19) e fornecer resiliência após eventos naturais como relâmpagos (que teriam mantido muitos equivalentes no local para baixo por muito mais tempo).Increased reliability and responsiveness: Most modern clouds also have high uptime compared to traditional on-premises datacenters and have shown they can scale rapidly (such as during the COVID-19 pandemic) and provide resiliency following natural events like lightning strikes (which would have kept many on-premises equivalents down for much longer).

      Embora benéfica, esta mudança para a nuvem não é sem risco.While beneficial, this shift to the cloud is not without risk. À medida que as organizações adotam serviços na nuvem, devem considerar áreas de risco potenciais, incluindo:As organizations adopt cloud services, they should consider potential risk areas including:

    • Continuidade do negócio e recuperação de desastres: O fornecedor de nuvem é financeiramente saudável com um modelo de negócio que é provável que sobreviva e prospere durante o uso do serviço pela sua organização?Business continuity and disaster recovery: Is the cloud provider financially healthy with a business model that's likely to survive and thrive during your organization's use of the service? O provedor de nuvem já eviscerou disposições para permitir a continuidade do cliente se o fornecedor tiver experiência financeira ou outra falha, como fornecer o seu código fonte aos clientes ou abri-lo?Has the cloud provider made provisions to allow customer continuity if the provider experiences financial or other failure, such as providing their source code to customers or open-sourcing it?

      Para obter mais informações e documentos sobre a saúde financeira da Microsoft, consulte as relações com investidoresda Microsoft.For more information and documents regarding Microsoft's financial health, see Microsoft investor relations.

    • Segurança: O fornecedor de nuvem segue as melhores práticas da indústria para a segurança?Security: Does the cloud provider follow industry best practices for security? Isto foi validado por organismos reguladores independentes?Has this been validated by independent regulatory bodies?

      • O Microsoft Cloud App Security permite-lhe descobrir o uso de mais de 16.000 aplicações em nuvem, que estão classificadas e pontuadas com base em mais de 70 fatores de risco para lhe proporcionar uma visibilidade contínua no uso da nuvem, sombra de TI e o risco que a TI sombra representa para a sua organização.Microsoft Cloud App Security allows you to discover usage of over 16,000 cloud applications, which are ranked and scored based on more than 70 risk factors to provide you with ongoing visibility into cloud use, shadow IT, and the risk that shadow IT poses to your organization.
      • O Microsoft Service Trust Portal disponibiliza certificações de conformidade regulamentar, relatórios de auditoria, testes de canetas e mais disponíveis para os clientes.The Microsoft Service Trust Portal makes regulatory compliance certifications, audit reports, pen tests, and more available to customers. Estes documentos incluem muitos detalhes das práticas de segurança interna (nomeadamente o relatório SOC 2 tipo 2 e o plano de segurança do sistema Moderado FedRAMP).These documents include many details of internal security practices (notably the SOC 2 type 2 report and FedRAMP Moderate system security plan).
    • Concorrente de negócios: O fornecedor de nuvem é um concorrente de negócios significativo na sua indústria?Business competitor: Is the cloud provider a significant business competitor in your industry? Tem proteções suficientes no contrato de serviços na nuvem ou outros meios para proteger o seu negócio contra ações potencialmente hostis?Do you have sufficient protections in the cloud services contract or other means to protect your business against potentially hostile actions?

      Reveja este artigo para comentar como a Microsoft evita competir com clientes na nuvem.Review this article for commentary on how Microsoft avoids competing with cloud customers.

    • Multicloud: Muitas organizações têm uma estratégia multicloud de facto ou intencional.Multicloud: Many organizations have a de facto or intentional multicloud strategy. Este pode ser um objetivo intencional para reduzir a dependência de um único fornecedor ou para aceder a melhores capacidades de raça, mas também pode acontecer porque os desenvolvedores escolheram serviços de nuvem preferidos ou familiares, ou a sua organização adquiriu outro negócio.This could be an intentional objective to reduce reliance on a single supplier or to access unique best of breed capabilities, but can also happen because developers chose preferred or familiar cloud services, or your organization acquired another business. Independentemente da razão, esta estratégia pode introduzir riscos e custos potenciais que têm de ser geridos, incluindo:Regardless of the reason, this strategy can introduce potential risks and costs that have to be managed including:

      • Tempo de inatividade de várias dependências: Os sistemas projetados para confiar em várias nuvens estão expostos a mais fontes de risco de inatividade, uma vez que as perturbações nos fornecedores de nuvem (ou o uso da sua equipa) podem causar uma interrupção/interrupção do seu negócio.Downtime from multiple dependencies: Systems architected to rely on multiple clouds are exposed to more sources of downtime risk as disruptions in the cloud providers (or your team's use of them) could cause an outage/disruption of your business. Esta maior complexidade do sistema também aumentaria a probabilidade de eventos de perturbação, uma vez que os membros da equipa são menos propensos a compreender plenamente um sistema mais complexo.This increased system complexity would also increase the likelihood of disruption events as team members are less likely to fully understand a more complex system.
      • Poder de negociação: As organizações maiores também devem considerar se uma estratégia de unima (compromisso/parceria mútua) ou multicloud (capacidade de mudança de negócio) alcançará uma maior influência sobre os seus fornecedores de nuvem para obter os pedidos de recursos da sua organização priorizados.Negotiating power: Larger organizations also should consider whether a single-cloud (mutual commitment/partnership) or multicloud strategy (ability to shift business) will achieve greater influence over their cloud providers to get their organization's feature requests prioritized.
      • Aumento das despesas de manutenção: As TI e os recursos de segurança já estão sobrecarregados com as cargas de trabalho existentes e a acompanhar as mudanças de uma única plataforma em nuvem.Increased maintenance overhead: IT and security resources already are overburdened from their existing workloads and keeping up with the changes of a single cloud platform. Cada plataforma adicional aumenta ainda mais esta sobrecarga e afasta os membros da equipa de atividades de maior valor, como agilização do processo técnico para acelerar a inovação empresarial, consultar grupos empresariais sobre uma utilização mais eficaz das tecnologias, e assim por diante.Each additional platform further increases this overhead and takes team members away from higher value activities like streamlining technical process to speed business innovation, consulting with business groups on more effective use of technologies, and so on.
      • Pessoal e formação: Muitas vezes, as organizações não consideram os requisitos de pessoal necessários para apoiar várias plataformas e a formação necessária para manter o conhecimento e a moeda de novas funcionalidades que são lançadas a um ritmo acelerado.Staffing and training: Organizations often do not consider the staffing requirements necessary to support multiple platforms and the training required to maintain knowledge and currency of new features which are released in a rapid pace.