Roles y responsabilidades de seguridad

Completado

Los miembros individuales del equipo de seguridad deben verse como parte de un equipo de seguridad que forma parte de toda la organización. También forman parte de una comunidad de seguridad más grande que defiende contra los mismos adversarios.

Esta vista holística permite al equipo trabajar bien en términos generales. Esto es especialmente importante, ya que los equipos trabajan en lagunas y superposiciones no planificadas que se detectan durante la evolución de los roles y las responsabilidades.

Responsabilidades de seguridad (funciones)

Este diagrama muestra las funciones organizativas específicas dentro de la seguridad. Representa una vista ideal de un equipo de seguridad empresarial completo y podría ser una vista aspirativa para algunos equipos de seguridad. Una o varias personas pueden realizar cada función. Cada persona puede realizar una o varias funciones con base en factores como la cultura, el presupuesto y los recursos disponibles.

Los artículos siguientes proporcionan información sobre cada función e incluyen un resumen de los objetivos. Se describe cómo la función puede evolucionar debido a los cambios en el entorno de amenazas o la tecnología en la nube. También exploran las relaciones y dependencias que son fundamentales para el éxito de la función.

• Directivas y estándares
• Operaciones de seguridad
• Arquitectura de seguridad
• Administración del cumplimiento de la seguridad
• Seguridad de las personas
• Seguridad de las aplicaciones y DevSecOps
• Seguridad de datos
• Infraestructura y seguridad de los puntos de conexión
• Administración de identidades y claves
• Información sobre amenazas
• Administración de la posición
• Preparación de incidentes

En el diagrama siguiente se resumen los roles y las responsabilidades de un programa de seguridad para ayudarle a familiarizarse con estos roles:

Para más información, consulte Funciones de seguridad en la nube.

Asignación de la seguridad a los resultados empresariales

A nivel organizativo, las materias de seguridad se asignan a las fases estándar de planeación, compilación y ejecución que se ven ampliamente en todos los sectores y organizaciones. Este ciclo se está acelerando en un ciclo de cambio continuo con la era digital y la llegada de DevOps. También se muestra cómo se asigna la seguridad a los procesos empresariales normales.

La seguridad es una materia con sus propias funciones únicas. La integración en operaciones empresariales normales es un elemento crítico.

Tipos de rol

En el diagrama anterior, las etiquetas oscuras agrupan estas responsabilidades en roles típicos que tienen conjuntos de aptitudes comunes y perfiles de carrera. Estas agrupaciones también ayudan a aportar claridad sobre cómo afectan las tendencias del sector a los profesionales de seguridad.

• Liderazgo de seguridad: estos roles abarcan con frecuencia varias funciones. Garantizan que los equipos se coordinen entre sí, priorizan y establecen normas culturales, directivas y estándares para la seguridad.
• Arquitecto de seguridad: estos roles abarcan todas las funciones y proporcionan una funcionalidad de gobernanza clave para garantizar que todas las funciones técnicas trabajen sin problemas dentro de una arquitectura coherente.
• Posición de seguridad y cumplimiento: este tipo de rol más reciente representa la creciente convergencia de los informes de cumplimiento con las materias de seguridad tradicionales, como administración de vulnerabilidades y líneas base de configuración. Aunque el ámbito y la audiencia son diferentes para los informes de seguridad y cumplimiento, responden a diferentes versiones de la pregunta “¿Qué tan segura es la organización?”. La forma en que se responde a la pregunta es cada vez más similar a través de herramientas como la Puntuación de seguridad de Microsoft y Microsoft Defender for Cloud.
  • El uso de fuentes de distribución de datos a petición desde los servicios en la nube reduce el tiempo necesario para notificar el cumplimiento.
  • El mayor ámbito de datos disponibles permite a la gobernanza de la seguridad mirar más allá de las actualizaciones o revisiones de software tradicionales, y detectar y hacer un seguimiento de las "vulnerabilidades" a partir de las configuraciones de seguridad y las prácticas operativas.
• Ingeniero de seguridad de plataformas: Estos roles tecnológicos se centran en plataformas que hospedan varias cargas de trabajo, centradas en el control de acceso y en la protección de los recursos. Estos roles suelen agruparse en equipos con conjuntos de capacidades técnicas especializadas. Incluyen la seguridad de red, la infraestructura y los puntos de conexión, así como la administración de identidades y claves. Estos equipos trabajan en controles preventivos y en controles de detección, con los controles de detección forman una asociación con SecOps, y los controles preventivos forman principalmente una asociación con las operaciones de TI. Para más información, consulte Integración de seguridad.
• Ingeniero de seguridad de aplicaciones: Estos roles tecnológicos se centran en los controles de seguridad para cargas de trabajo específicas y admiten modelos de desarrollo clásicos y modelos de DevOps/DevSecOps modernos. Son una combinación de aptitudes de seguridad de aplicaciones y desarrollo para código único, y aptitudes de infraestructura para componentes técnicos comunes, como VM, bases de datos y contenedores. Estos roles pueden estar en organizaciones centrales de TI o de seguridad, o en equipos empresariales y de desarrollo, en función de los factores de la organización.

Modernización

A continuación se mencionan los distintos factores que afectan a la arquitectura de seguridad:

• Modelo de compromiso continuo: la publicación continua de actualizaciones de software y las características en la nube hacen que los modelos de compromiso fijos queden obsoletos. Los arquitectos deben comprometerse con todos los equipos que trabajan en áreas temáticas técnicas para guiar la toma de decisiones a lo largo de los ciclos de vida de la capacidad de esos equipos.
• Seguridad de la nube: incorpore funcionalidades de seguridad de la nube para reducir el tiempo de habilitación y los costos de mantenimiento continuos como hardware, software, tiempo y esfuerzo.
• Seguridad de la nube: garantice la cobertura de todos los recursos en la nube, incluidas las aplicaciones de software como servicio (SaaS), las máquinas virtuales de infraestructura como servicio (IaaS) y las aplicaciones y servicios de plataforma como servicio (PaaS). Incluya la detección y seguridad de los servicios autorizados y no autorizados.
• Integración de identidades: los arquitectos de seguridad deben garantizar una estrecha alineación con los equipos de identidades para ayudar a las organizaciones a cumplir un doble objetivo: habilitar la productividad y proporcionar garantías de seguridad.
• Integración del contexto interno en los diseños de seguridad, como el contexto de la administración de la posición y los incidentes investigados por el centro de operaciones de seguridad: Incluya elementos como las puntuaciones de riesgo relativas de las cuentas de usuario y de dispositivo, la confidencialidad de los datos y los límites de aislamiento de seguridad clave para defenderse activamente.

Contenido recomendado

• Roles de seguridad de MCRA - YouTube: Información general sobre los roles y las responsabilidades de un programa de seguridad. Este vídeo incluye una explicación de cómo evolucionan para satisfacer las necesidades de los ataques modernos, la tecnología en la nube y los principios de Confianza cero. Esta vista de arriba abajo de los roles incluye el consejo y los ejecutivos.