IT Cloud readiness guideCISO cloud readiness guide

Microsofts vägledning som ramverket för moln införande är inte placerad för att fastställa eller vägleda de unika säkerhets begränsningarna i tusentals företag som stöds av den här dokumentationen.Microsoft guidance like the Cloud Adoption Framework is not positioned to determine or guide the unique security constraints of the thousands of enterprises supported by this documentation. När du flyttar till molnet är rollen som säkerhets tjänsteman eller IT (Chief information Security) inte supplanted av moln teknik.When moving to the cloud, the role of the chief information security officer or chief information security office (CISO) isn't supplanted by cloud technologies. Det stämmer att IT och kontoret i IT blir mer kornigt och integrerat.Quite the contrary, the CISO and the office of the CISO, become more engrained and integrated. Den här guiden förutsätter att läsaren är bekant med IT-processer och försöker att modernisera dessa processer för att aktivera moln omvandling.This guide assumes the reader is familiar with CISO processes and is seeking to modernize those processes to enable cloud transformation.

Moln införande möjliggör tjänster som inte ofta beaktas i traditionella IT-miljöer.Cloud adoption enables services that weren't often considered in traditional IT environments. Självbetjänings-eller automatiserade distributioner utförs ofta av program utveckling eller andra IT-team som inte traditionellt justeras till produktions distributionen.Self-service or automated deployments are commonly executed by application development or other IT teams not traditionally aligned to production deployment. I vissa organisationer har affärs komponenter liknande funktioner för självbetjäning.In some organizations, business constituents similarly have self-service capabilities. Detta kan utlösa nya säkerhets krav som inte behövs i den lokala världen.This can trigger new security requirements that weren't needed in the on-premises world. Centraliserad säkerhet är mer utmanande, och säkerheten blir ofta ett delat ansvar för verksamheten och IT-kulturen.Centralized security is more challenging, security often becomes a shared responsibility across the business and IT culture. Den här artikeln hjälper dig att förbereda en IT för den metoden och delta i stegvisa styrningar.This article can help a CISO prepare for that approach and engage in incremental governance.

Hur kan en IT-chef förbereda sig för molnet?How can a CISO prepare for the cloud?

Precis som de flesta principer är principerna för säkerhet och styrning inom en organisation att växa ekologiskt.Like most policies, security and governance policies within an organization tend to grow organically. När säkerhets incidenter sker kan de forma en princip för att informera användarna och minska sannolikheten för upprepade förekomster.When security incidents happen, they shape policy to inform users and reduce the likelihood of repeat occurrences. Även om det är naturligt skapar den här metoden princip överdriven storlek och tekniska beroenden.While natural, this approach creates policy bloat and technical dependencies. Moln omvandlings resan skapar en unik möjlighet att modernisera och återställa principer.Cloud transformation journeys create a unique opportunity to modernize and reset policies. När du förbereder en omvandlings resa kan IT skapa omedelbara och mätbara värden genom att betjäna den primära från intressenter i en princip granskning.While preparing for any transformation journey, the CISO can create immediate and measurable value by serving as the primary stakeholder in a policy review.

I en sådan granskning är rollen för IT att skapa en säker balans mellan begränsningarna i befintliga principer/efterlevnad och den förbättrade säkerhets position för moln leverantörer.In such a review, the role of the CISO is to create a safe balance between the constraints of existing policy/compliance and the improved security posture of cloud providers. Att mäta det här förloppet kan ta många former, och det mäts ofta i antalet säkerhets principer som kan avlastas på ett säkert sätt till moln leverantören.Measuring this progress can take many forms, often it's measured in the number of security policies that can be safely offloaded to the cloud provider.

Överföring av säkerhets risker: När tjänster flyttas till infrastruktur som en tjänst (IaaS) som värd modeller, antar företaget mindre direkt risk för maskin varu etablering.Transferring security risks: As services are moved into infrastructure as a service (IaaS) hosting models, the business assumes less direct risk regarding hardware provisioning. Risken tas inte bort, istället överförs den till moln leverantören.The risk isn't removed, instead it's transferred to the cloud vendor. Om en moln leverantörs metod för maskin varu etablering ger samma nivå av risk minskning, i en säker upprepnings bar process, tas risken för maskin varu etablering bort från företagets IT-ansvar och överförs till moln leverantören.Should a cloud vendor's approach to hardware provisioning provide the same level of risk mitigation, in a secure repeatable process, the risk of hardware provisioning execution is removed from corporate IT's area of responsibility and transferred to the cloud provider. Detta minskar den övergripande säkerhets risken som företaget ansvarar för hantering, även om risken fortfarande bör spåras och granskas regelbundet.This reduces the overall security risk that corporate IT is responsible for managing, although the risk itself should still be tracked and reviewed periodically.

När lösningar flyttas ytterligare "upp stack" för att införliva PaaS-(Platform as a Service) eller SaaS-modeller (program vara som en tjänst) kan ytterligare risker undvikas eller överföras.As solutions move further "up stack" to incorporate platform as a service (PaaS) or software as a service (SaaS) models, additional risks can be avoided or transferred. När risken har flyttats till en moln leverantör kan kostnaden för att köra, övervaka och verkställa säkerhets principer eller andra principer för efterlevnad också vara säker.When risk is safely moved to a cloud provider, the cost of executing, monitoring, and enforcing security policies or other compliance policies can be safely reduced as well.

Tillväxt tänkesätt: Ändringen kan vara skrämmande för både affärs-och teknik implementerare.Growth mindset: Change can be scary to both the business and technical implementors. När IT leder till en tillväxt tänkesätt i en organisation har vi funnit att dessa naturliga oroliga har ersatts av ökad intresse för säkerhet och policy efterlevnad.When the CISO leads a growth mindset shift in an organization, we've found that those natural fears are replaced with an increased interest in safety and policy compliance. Genom att följa en princip granskning, en omvandlings resa eller enkla implementerings recensioner med en tillväxt tänkesätt, gör det möjligt för teamet att flytta snabbt men inte till kostnaden för en rättvis och hanterbar risk profil.Approaching a policy review, a transformation journey, or simple implementation reviews with a growth mindset, allows the team to move quickly but not at the cost of a fair and manageable risk profile.

Resurser för säkerhets tjänsteman för Chief informationResources for the chief information security officer

Kunskap om molnet är grundläggande för att nå en princip granskning med en växande tänkesätt.Knowledge about the cloud is fundamental to approaching a policy review with a growth mindset. Följande resurser kan hjälpa IT att bättre förstå säkerhets position för Microsofts Azure-plattform.The following resources can help the CISO better understand the security posture of Microsoft's Azure platform.

Säkerhets plattforms resurser:Security platform resources:

Sekretess och kontroller:Privacy and controls:

FastställCompliance:

OhTransparency:

Nästa stegNext steps

Det första steget för att vidta åtgärder i en styrnings strategi är en princip granskning.The first step to taking action in any governance strategy is a policy review. Princip och efterlevnad kan vara en användbar guide under princip granskningen.Policy and compliance could be a useful guide during your policy review.