Руководство по подготовке руководителя по информационной безопасности к работе с облакомCISO cloud readiness guide

Руководство Майкрософт, как и облачная платформа внедрения, не предназначено для определения или указания уникальных ограничений безопасности тысяч предприятий, поддерживаемых этой документацией.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. При переходе в облако роль начальника информационной безопасности или главного офиса информационной безопасности (перспективы) не перемещается облачными технологиями.When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. Наоборот, руководитель и отдел по информационной безопасности становятся еще более влиятельными и интегрированными в работу организации.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. В этом учебнике предполагается, что читатель знаком с перспективы процессами и модернизировать эти процессы для включения преобразования в облако.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

При внедрении облака задействуются службы, которые часто не принимали во внимание в традиционных ИТ-средах.Cloud adoption enables services that weren't often considered in traditional IT environments. Самостоятельное или автоматизированное развертывание обычно выполняются с помощью разработки приложений или других ИТ-групп, обычно не ориентированных на развертывание в рабочей среде.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. В некоторых организациях бизнес-подразделения имеют одинаковые возможности самостоятельного обслуживания.In some organizations, business constituents similarly have self-service capabilities. Из-за этого может понадобиться составить новые требования к безопасности, которых не было в локальной среде.This can trigger new security requirements that weren't needed in the on-premises world. Централизованная безопасность является более сложной задачей, поэтому безопасность часто становится общей обязанностью для бизнеса и ИТ-культуры.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Эта статья поможет CISO подготовиться к такому подходу и принять участие в инкрементальной системе управления.This article can help a CISO prepare for that approach and engage in incremental governance.

Подготовка руководителей по ИТ-безопасности к работе с облакомHow can a CISO prepare for the cloud?

Как и большинство политик, политики безопасности и управления в организации обычно растут.Like most policies, security and governance policies within an organization tend to grow organically. Возникающие инциденты безопасности формируют политику, чтобы информировать пользователей и снизить вероятность повторения инцидентов.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. Такой подход, хоть и является естественным, вызывает расширение политики и технических зависимостей.While natural, this approach creates policy bloat and technical dependencies. Пути преобразования в облако создают уникальную возможность модернизировать и сброса политик.Cloud transformation journeys create a unique opportunity to modernize and reset policies. При подготовке к любой стратегии перехода CISO может создать непосредственную и измеримую ценность, выступая в качестве основного участника при проверке политики.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

В такой проверке роль перспективы заключается в обеспечении безопасного баланса между ограничениями существующей политики/соответствия и улучшенной безопасностью поставщиков облачных служб.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Измерение этого процесса может занять много форм, часто оно измеряется в количестве политик безопасности, которые можно безопасно разгрузить поставщику облачных служб.Measuring this progress can take many forms, often it's measured in the number of security policies that can be safely offloaded to the cloud provider.

Передача угроз безопасности. Поскольку службы перемещаются в модели размещения "инфраструктура как услуга" (IaaS), Бизнес предполагает меньше непосредственных рисков, касающихся подготовки оборудования.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. Риск не удаляется, а передается поставщику облачных вычислений.The risk isn't removed, instead it's transferred to the cloud vendor. Если поставщик облачной подготовки к подготовке к оборудованию обеспечивает такой же уровень защиты, как и в случае безопасного повторяемого процесса, риск выполнения подготовки оборудования удаляется из корпоративной области ответственности и передается поставщику облачных услуг.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Это снижает общую угрозу безопасности, которую ИТ-специалист несет за управление, хотя сам риск по-прежнему должен отслеживаться и проверяться периодически.This reduces the overall security risk that corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

По мере того как решения переходят в "стек" для внедрения моделей "платформа как услуга" (PaaS) или "программное обеспечение как услуга" (SaaS), можно избежать и передавать дополнительные риски.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. Когда риск безопасно перемещается в поставщик облачных служб, затраты на выполнение, мониторинг и применение политик безопасности или других политик соответствия также можно безопасно уменьшить.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Способ роста: Изменение может быть страшно как для бизнес-, так и для технических разработчиков.Growth mindset: Change can be scary to both the business and technical implementors. Когда CISO ведет политику с установкой на повышение профессиональной компетенции в организации, естественные страхи заменяются повышенным интересом к обеспечению безопасности и соблюдению политики.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Подход к проверке политики, пути преобразования или простым проверкам реализации с применением роста позволяет команде быстро перемещаться, но не за счет экономичного и управляемого профиля риска.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Материалы для начальника информационной безопасностиResources for the chief information security officer

Знания об облачной инфраструктуре очень важны для подхода к проверке политики с установкой на повышение профессиональной компетенции.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. Следующие ресурсы помогут CISO лучше распознавать состояние безопасности платформы Microsoft Azure.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Ресурсы по платформе безопасности:Security platform resources:

Конфиденциальность и управление:Privacy and controls:

ИмевшееCompliance:

ПрозрачTransparency:

Дальнейшие действияNext steps

Первым шагом для выполнения действий в любой стратегии управления является Проверка политики.The first step to taking action in any governance strategy is a policy review. Политика и соответствие требованиям могут быть полезными при проверке политики.Policy and compliance could be a useful guide during your policy review.