Attività iniziali: Implementare la sicurezza nell'ambiente aziendale
La sicurezza contribuisce alla creazione di garanzie di riservatezza, integrità e disponibilità per un'azienda. Le iniziative per la sicurezza si concentrano in modo critico sulla protezione dal potenziale impatto sulle operazioni provocato da azioni dannose o accidentali interne ed esterne.
Questa guida introduttiva illustra i passaggi essenziali che consentiranno di ridurre o evitare il rischio aziendale dovuto ad attacchi alla cybersecurity. Può consentire di definire rapidamente procedure essenziali per la sicurezza sul cloud e integrare la sicurezza nel processo di adozione del cloud.
I passaggi illustrati in questa guida sono destinati a tutti i ruoli che supportano le garanzie di sicurezza per gli ambienti cloud e le zone di destinazione. Le attività includono le priorità per l'attenuazione immediata dei rischi, indicazioni sulla creazione di una strategia di sicurezza moderna, l'operatività dell'approccio e l'esecuzione di tale strategia.
Il rispetto dei passaggi in questa guida contribuirà all'integrazione della sicurezza nei punti critici del processo. L'obiettivo consiste nell'evitare gli ostacoli dell'adozione del cloud e nel ridurre le interruzioni aziendali oppure operative non necessarie.
Microsoft ha creato funzionalità e risorse utili per accelerare l'implementazione di queste indicazioni per la sicurezza in Microsoft Azure. Nella guida sono disponibili riferimenti a tali risorse. Sono state progettate per consentire di definire, monitorare e applicare la sicurezza e vengono aggiornate ed esaminate spesso.
Il diagramma seguente illustra un approccio olistico per l'uso delle indicazioni per la sicurezza e degli strumenti della piattaforma per definire la visibilità e il controllo della sicurezza sulle risorse cloud in Azure. È consigliabile adottare questo approccio.
Usare questi passaggi per pianificare ed eseguire la strategia per la protezione delle risorse cloud e per l'uso del cloud per modernizzare le operazioni di sicurezza.
Passaggio 1: Definire le procedure di sicurezza essenziali
La protezione sul cloud inizia con l'applicazione delle procedure di sicurezza più importanti a persone, processi ed elementi tecnologici del sistema. Alcune decisioni relative all'architettura inoltre sono fondamentali e sono molto difficili da modificare in seguito, quindi devono essere applicate con attenzione.
Sia che si stia già operando nel cloud o si stia pianificando l'adozione futura, è consigliabile seguire le procedure di sicurezza essenziali (oltre a soddisfare eventuali requisiti di conformità alle normative espliciti). Per altre informazioni, vedere la documentazione sulla sicurezza Microsoft.
Nota
Ogni organizzazione deve definire i rispettivi standard minimi. L'esposizione ai rischi e la tolleranza correlata a tali rischi possono variare notevolmente in base a settore, cultura e altri fattori. È ad esempio possibile che una banca non tolleri eventuali danni potenziali alla propria reputazione derivanti da un attacco anche minore a un sistema di test. Alcune organizzazioni accetterebbero senza problemi lo stesso rischio se comportasse un'accelerazione di tre o sei mesi della trasformazione digitale.
Passaggio 2: Modernizzare la strategia per la sicurezza
Una sicurezza efficace sul cloud richiede una strategia che rispecchia l'ambiente delle minacce corrente e la natura della piattaforma cloud che ospita le risorse aziendali. Una strategia chiara consente di migliorare il lavoro di tutti i team per fornire un ambiente cloud aziendale sicuro e sostenibile. La strategia per la sicurezza deve consentire i risultati aziendali definiti, ridurre il rischio a un livello accettabile e permettere ai dipendenti di essere produttivi.
Una strategia per la sicurezza del cloud fornisce indicazioni a tutti i team che si occupano dell'idoneità di tecnologia, processi e persone per tale adozione. La strategia deve influire sull'architettura del cloud e sulle funzionalità tecniche, deve definire l'architettura e le funzionalità per la sicurezza e deve influenzare il training e la formazione dei team.
Risultati finali:
La strategia deve avere come risultato un documento facile da comunicare a molti stakeholder nell'organizzazione. Gli stakeholder possono potenzialmente includere dirigenti nel team di leadership dell'organizzazione.
È consigliabile illustrare la strategia in una presentazione per semplificare la discussione e l'aggiornamento. Questa presentazione può essere supportata con un documento, in base alla cultura e alle preferenze.
Presentazione della strategia: è possibile usare una singola presentazione della strategia oppure scegliere di creare anche versioni riepilogative per i destinatari della leadership.
Presentazione completa: deve includere il set completo di elementi per la strategia per la sicurezza nella presentazione principale o nelle diapositive di riferimento facoltative.
Riepiloghi per i dirigenti: le versioni da usare per i dirigenti senior e i membri del consiglio di amministrazione possono contenere solo elementi critici rilevanti per i ruoli specifici, ad esempio propensione al rischio, priorità principali o rischi accettati.
È inoltre possibile registrare motivazioni, risultati e giustificazioni aziendali nel modello della strategia e del piano.
Procedure consigliate per la creazione di una strategia per la sicurezza:
I programmi di successo incorporano questi elementi nel processo della strategia per la sicurezza:
Stretto allineamento alla strategia aziendale: l'obiettivo della sicurezza consiste nel proteggere il valore aziendale. È essenziale allineare tutte le iniziative per la sicurezza a tale finalità e ridurre al minimo i conflitti interni.
Creare una comprensione condivisa dei requisiti aziendali, IT e per la sicurezza.
Integrare la sicurezza nelle fasi iniziali dell'adozione del cloud per evitare crisi dell'ultimo minuto provocate da rischi evitabili.
Usare un approccio Agile per definire immediatamente i requisiti minimi per la sicurezza e migliorare continuamente le garanzie di sicurezza nel tempo.
Incoraggiare un cambiamento della cultura della sicurezza tramite azioni proattive intenzionali da parte della leadership.
Per altre informazioni, vedere Trasformazioni, mentalità e aspettative.
Modernizzare la strategia per la sicurezza: la strategia per la sicurezza deve includere considerazioni per tutti gli aspetti di un ambiente tecnologico moderno, per le minacce correnti e per le risorse della community per la sicurezza.
- Adattarsi al modello di responsabilità condivisa del cloud.
- Includere tutti i tipi di cloud e le distribuzioni multi-cloud.
- Preferire i controlli cloud nativi per evitare conflitti inutili e dannosi.
- Integrare la community per la sicurezza per rimanere aggiornati in merito all'evoluzione degli utenti malintenzionati.
Risorse correlate per contesto aggiuntivo:
Evoluzione di ambiente delle minacce, ruoli e strategie digitali
Considerazioni sulla strategia per Cloud Adoption Framework:
Team responsabile | Team responsabili e di supporto |
---|---|
Approvazione della strategia:
I dirigenti e i leader aziendali responsabili per i risultati o i rischi delle linee di business nell'organizzazione devono approvare questa strategia. Questo gruppo potrebbe includere il consiglio di amministrazione, in base all'organizzazione.
Passaggio 3: Sviluppare un piano di sicurezza
La pianificazione applica la strategia di sicurezza definendo risultati, attività cardine, sequenze temporali e proprietari delle attività. Questo piano illustra anche i ruoli e le responsabilità dei team.
La pianificazione per la sicurezza e la pianificazione per l'adozione del cloud non devono essere eseguite in isolamento. È essenziale invitare il team di sicurezza del cloud alle fasi iniziali dei cicli di pianificazione, per evitare l'interruzione del lavoro o l'incremento dei rischi dovuto a problemi di sicurezza individuati troppo tardi. La pianificazione per la sicurezza viene eseguita in modo ottimale con conoscenze approfondite e consapevolezza delle risorse digitali e del portfolio IT esistente, ottenute mediante l'integrazione completa nel processo di pianificazione per il cloud.
Risultati finali:
Piano di sicurezza: un piano di sicurezza deve essere parte della documentazione di pianificazione principale per il cloud. Può essere un documento che usa il modello di strategia e di piano, una presentazione dettagliata o un file di progetto. Può essere anche una combinazione di questi formati, in base alle dimensioni, alla cultura e alle procedure standard dell'organizzazione.
Il piano di sicurezza deve includere tutti questi elementi:
Piano delle funzioni dell'organizzazione, in modo da illustrare ai team il modo in cui i ruoli di sicurezza e le responsabilità correnti cambieranno con il passaggio al cloud.
Piano delle competenze per la sicurezza per supportare i membri del team durante la gestione delle modifiche significative a tecnologia, ruoli e responsabilità.
Architettura della sicurezza tecnica e roadmap delle funzionalità per guidare i team tecnici.
Microsoft fornisce architetture di riferimento e funzionalità tecnologiche per semplificare la creazione dell'architettura e della roadmap, tra cui:
- Informazioni sui componenti di Azure e sul modello di riferimento per accelerare la pianificazione e la progettazione dei ruoli di sicurezza di Azure.
Architettura di riferimento per la cybersecurity Microsoft per creare un'architettura di cybersecurity per un'azienda ibrida che si estende in risorse locali e cloud.
Architettura di riferimento del centro operazioni per la sicurezza per modernizzare il rilevamento, la risposta e il ripristino per la sicurezza.
Architettura di riferimento per l'accesso utente Zero Trust per modernizzare l'architettura del controllo di accesso per la generazione cloud.
Microsoft Defender for Cloud e Microsoft Defender for Cloud Apps per contribuire alla protezione delle risorse cloud.
Piano di sensibilizzazione e formazione per la sicurezza, in modo che tutti i team abbiano una conoscenza di base essenziale della sicurezza.
Contrassegno della sensibilità delle risorse per designare le risorse sensibili usando una tassonomia allineata all'impatto aziendale. La tassonomia viene creata congiuntamente da stakeholder aziendali, team di sicurezza e altre parti interessate.
Modifiche della sicurezza al piano cloud: aggiornare altre sezioni del piano di adozione del cloud per rispecchiare le modifiche attivate dal piano di sicurezza.
Procedure consigliate per la pianificazione per la sicurezza:
Il piano di sicurezza avrà maggiori probabilità di successo se la pianificazione adotta l'approccio seguente:
Presupposizione di un ambiente ibrido: include le applicazioni SaaS (Software as a Service) e gli ambienti locali. Include anche più provider IaaS (Infrastructure as a Service) e PaaS (Platform as a Service) per il cloud, se applicabile.
Adozione della sicurezza flessibile: stabilire prima di tutto requisiti minimi per la sicurezza e spostare tutti gli elementi non critici in un elenco classificato in ordine di priorità di passaggi successivi. Non deve trattarsi di un piano dettagliato tradizionale di 3-5 anni. L'ambiente cloud e delle minacce si evolve troppo rapidamente perché tale tipo di piano risulti utile. Il piano deve concentrarsi sullo sviluppo dei passaggi iniziali e dello stato finale:
Risultati positivi rapidi per l'immediato futuro che avranno un impatto elevato prima dell'inizio delle iniziative a lungo termine. Questo intervallo di tempo può essere di 3-12 mesi, in base alla cultura, alle procedure standard e altri fattori dell'organizzazione.
Visione chiara dello stato finale desiderato per guidare il processo di pianificazione di ogni team, la cui realizzazione potrebbe richiedere più anni.
Ampia condivisione del piano: incrementare la consapevolezza, il feedback e l'appoggio degli stakeholder.
Realizzazione dei risultati strategici: assicurarsi che il piano sia allineato e realizzi i risultati strategici illustrati nella strategia per la sicurezza.
Configurazione di proprietà, responsabilità e scadenze: assicurare che i proprietari di ogni attività siano identificati e si impegnino al completamento dell'attività in un intervallo di tempo specifico.
Connessione con il lato umano della sicurezza: coinvolgere le persone durante il periodo di trasformazione e di nuove aspettative nei modi seguenti:
Supporto attivo della trasformazione dei membri dei team mediante comunicazioni chiare e supporto per:
- Competenze da apprendere.
- Motivi per cui è necessario apprendere le competenze e rispettivi vantaggi.
- Modalità per ottenere la conoscenza e disponibilità di risorse utili per l'apprendimento.
È possibile documentare il piano usando il modello per la strategia e il piano. È inoltre possibile usare le risorse per la formazione per la sicurezza online Microsoft per contribuire alla formazione dei membri dei team.
Rendere coinvolgente la sensibilizzazione sulla sicurezza per aiutare le persone a partecipare attivamente alla rispettiva parte del processo per rendere sicura l'organizzazione.
Esaminare le risorse per la formazione e le indicazioni Microsoft: Microsoft ha pubblicato informazioni dettagliate e prospettive per aiutare l'organizzazione a pianificare la trasformazione al cloud e una strategia per la sicurezza moderna. Questi materiali includono risorse per la formazione registrate, documentazione, procedure consigliate per la sicurezza e standard consigliati.
Per indicazioni tecniche utili per creare il piano e l'architettura, vedere la documentazione relativa alla sicurezza Microsoft.
Team responsabile | Team responsabili e di supporto |
---|---|
Approvazione del piano di sicurezza:
Il team di leadership per la sicurezza (CISO o equivalente) deve approvare il piano.
Passaggio 4: Proteggere nuovi carichi di lavoro
È molto più facile iniziare in uno stato sicuro piuttosto che implementare la sicurezza successivamente nell'ambiente. È consigliabile iniziare con una configurazione sicura per garantire che i carichi di lavoro vengano sottoposti a migrazione e sviluppati e testati in un ambiente sicuro.
Durante l'implementazione della zona di destinazione molte decisioni possono influire sulla sicurezza e sui profili di rischio. Il team della sicurezza per il cloud deve esaminare la configurazione della zona di destinazione per assicurare che rispetti gli standard e i requisiti per la sicurezza definiti nelle baseline per la sicurezza dell'organizzazione.
Risultati finali:
- Assicurarsi che le nuove zone di destinazione rispettino i requisiti di conformità e sicurezza dell'organizzazione.
Indicazioni per supportare il completamento dei risultati finali:
Combinare i requisiti esistenti e le raccomandazioni per il cloud: iniziare con le indicazioni consigliate e quindi adattarle ai requisiti specifici per la sicurezza. Il tentativo di applicazione di criteri e standard locali esistenti può risultare difficile perché tali elementi fanno spesso riferimento a tecnologia o approcci per la sicurezza obsoleti.
Microsoft ha pubblicato indicazioni utili per creare le baseline per la sicurezza:
- Standard di sicurezza di Azure per la strategia e l'architettura: raccomandazioni per la strategia e l'architettura per definire la postura di sicurezza dell'ambiente.
- Benchmark di sicurezza di Azure: raccomandazioni specifiche per la configurazione per proteggere gli ambienti di Azure.
- Formazione per la baseline per la sicurezza di Azure.
Fornire protezioni: le protezioni devono includere l'applicazione e il controllo automatizzati dei criteri. Per questi nuovi ambienti i team devono impegnarsi per controllare e applicare le baseline per la sicurezza dell'organizzazione. Queste attività consentono di ridurre al minimo le sorprese di sicurezza durante lo sviluppo dei carichi di lavoro, nonché l'integrazione continua e la distribuzione continua ci/CD dei carichi di lavoro.
Microsoft offre alcune funzionalità native in Azure per abilitare questo processo:
Punteggio di sicurezza: usare una valutazione con punteggio della postura di sicurezza di Azure per tenere traccia delle iniziative e dei progetti relativi alla sicurezza nell'organizzazione.
Criteri di Azure: questa è la base delle funzionalità di visibilità e di controllo usate dagli altri servizi. Il servizio Criteri di Azure è integrato con Azure Resource Manager, in modo da consentire di controllare le modifiche e applicare i criteri in tutte le risorse di Azure prima, durante e dopo la creazione.
Criteri di Azure come codice: questo approccio mantiene le definizioni dei criteri nel controllo del codice sorgente e combina DevOps, infrastruttura come codice (IaC) e Criteri di Azure per distribuire criteri, iniziative (definizioni di set), assegnazioni ed esenzioni dei criteri su larga scala.
Migliorare le operazioni delle zone di destinazione: usare le procedure consigliate per migliorare la sicurezza in una zona di destinazione.
Team responsabile | Team responsabili e di supporto |
---|---|
Passaggio 5: Proteggere i carichi di lavoro cloud esistenti
Molte organizzazioni hanno già distribuito risorse in ambienti cloud aziendali senza applicare le procedure consigliate per la sicurezza, provocando un incremento del rischio aziendale.
Dopo avere verificato che le nuove applicazioni e le zone di destinazione seguano le procedure consigliate per la sicurezza, è necessario concentrarsi sull'applicazione degli stessi standard negli ambienti esistenti.
Risultati finali:
Assicurarsi che tutti gli ambienti cloud e le zone di destinazione esistenti rispettino i requisiti di conformità e sicurezza dell'organizzazione.
Testare l'idoneità operativa delle distribuzioni di produzione usando criteri per le baseline per la sicurezza.
Convalidare il rispetto delle indicazioni di progettazione e dei requisiti di sicurezza per le baseline per la sicurezza.
Indicazioni per supportare il completamento dei risultati finali:
Usare le stesse baseline per la sicurezza create nel Passaggio 4 come stato ideale. Potrebbe essere necessario modificare alcune impostazioni dei criteri in modo da controllarli solamente, invece di applicarli.
Bilanciare i rischi operativi e di sicurezza. Poiché è possibile che questi ambienti ospitino sistemi di produzione che consentono processi aziendali critici, potrebbe essere necessario implementare miglioramenti alla sicurezza in modo incrementale, per evitare i rischi di tempo di inattività delle operazioni.
Assegnare la priorità all'individuazione e alla correzione dei rischi di sicurezza in base alla criticità aziendale. Iniziare con i carichi di lavoro con impatto aziendale elevato in caso di compromissione e i carichi di lavoro con esposizione elevata ai rischi.
Per altre informazioni, vedere Identificare e classificare le applicazioni critiche.
Team responsabile | Team responsabili e di supporto |
---|---|
Passaggio 6: Regolamentare la gestione e il miglioramento della postura di sicurezza
Analogamente a tutte le discipline moderne, la sicurezza è un processo iterativo che deve concentrarsi sul miglioramento continuo. La postura di sicurezza può inoltre peggiorare se le organizzazioni non si concentrano su tale aspetto nel corso del tempo.
Un'applicazione coerente dei requisiti di sicurezza deriva da discipline rigorose per la governance e soluzioni automatiche. Quando il team della sicurezza per il cloud ha definito le baseline per la sicurezza, è necessario controllare tali requisiti per assicurarsi che vengano applicati in modo coerente a tutti gli ambienti cloud e imposti dove applicabile.
Risultati finali:
Assicurarsi che le baseline per la sicurezza dell'organizzazione vengano applicate a tutti i sistemi rilevanti. Controllare le anomalie usando un punteggio di sicurezza o un meccanismo analogo.
Documentare i criteri, i processi e le indicazioni per la progettazione delle baseline per la sicurezza nel modello della disciplina Baseline per la sicurezza.
Indicazioni per supportare il completamento dei risultati finali:
Usare le stesse baseline per la sicurezza e gli stessi meccanismi di controllo creati nel Passaggio 4 come componenti tecnici del monitoraggio delle baseline. Integrare queste baseline con controlli per persone e processi per garantire la coerenza.
Assicurarsi che tutti i carichi di lavoro e le risorse seguano convenzioni di denominazione e assegnazione di tag appropriate. Applicare le convenzioni di assegnazione di tag mediante Criteri di Azure, con un'attenzione specifica ai tag per la riservatezza dei dati.
Se non si ha esperienza di governance del cloud, definire criteri, processi e discipline per la governance usando la metodologia Governance.
Team responsabile | Team responsabili e di supporto |
---|---|
Passaggi successivi
I passaggi in questa guida hanno consentito di implementare la strategia, i controlli, i processi, le competenze e la cultura necessari per gestire in modo coerente i rischi di sicurezza nell'azienda.
Con il passaggio alla modalità operativa della sicurezza per il cloud, è necessario tenere in considerazione i passaggi successivi:
Esaminare la documentazione sulla sicurezza Microsoft. Fornisce indicazioni tecniche che consentono ai professionisti della sicurezza di creare e migliorare la strategia e l'architettura di cybersecurity e le roadmap classificate in ordine di priorità.
Esaminare le informazioni sula sicurezza disponibili in Controlli di sicurezza predefiniti per i servizi di Azure.
Esaminare gli strumenti e i servizi per la sicurezza di Azure in Servizi e tecnologie per la sicurezza disponibili in Azure.
Vedere il Centro protezione Microsoft. Contiene indicazioni complete, report e documentazione correlata che possono risultare utili per eseguire valutazioni dei rischi come parte dei processi per la conformità alle normative.
Esaminare gli strumenti di terze parti disponibili per agevolare il rispetto dei requisiti di sicurezza. Per altre informazioni, vedere Integrare le soluzioni di sicurezza in Microsoft Defender for Cloud.