Funzioni per la sicurezza del cloud

Le funzioni sono attività e responsabilità chiave per un'organizzazione. In altre parole, le funzioni sono "processi da eseguire".

Questo articolo fornisce un riepilogo delle funzioni organizzative necessarie per gestire i rischi per la sicurezza delle informazioni in un'azienda. Questi ruoli e responsabilità costituiscono la componente umana di un sistema generale di cybersecurity.

La sicurezza è uno sport di squadra

Gli individui del team di sicurezza devono collaborare e vedersi come parti integranti dell'intera organizzazione. Fanno anche parte di una comunità di sicurezza più ampia che difende contro gli stessi avversari.

Questa visione globale olistica aiuta il team a lavorare attraverso eventuali lacune non pianificate e si sovrappone durante l'evoluzione dei ruoli e delle responsabilità.

Tipi di funzioni di sicurezza

Il diagramma seguente illustra funzioni organizzative specifiche all'interno della sicurezza. Le funzioni rappresentate rappresentano una visualizzazione ideale di un team di sicurezza aziendale completo. I team di sicurezza con risorse limitate potrebbero non avere responsabilità formali definite in tutte queste funzioni. Ogni funzione può essere eseguita da una o più persone e ogni persona può eseguire una o più funzioni a seconda di fattori quali cultura, budget e risorse disponibili.

Per altre informazioni su ogni funzione, vedere gli articoli seguenti. Includono un riepilogo degli obiettivi, il modo in cui la funzione può evolvere e le relazioni e le dipendenze fondamentali per il successo.

• Criteri e standard
• Operazioni per la sicurezza
• Architettura di sicurezza
• Gestione della conformità alla sicurezza
• Sicurezza delle persone
• Sicurezza delle applicazioni e DevSecOps
• Sicurezza dei dati
• Infrastruttura e sicurezza degli endpoint
• Gestione delle identità e delle chiavi
• Intelligence per le minacce
• Gestione della postura
• Preparazione per gli eventi imprevisti

Ruoli e responsabilità

I ruoli e le responsabilità di sicurezza vengono indicati in tutta la documentazione Microsoft, tra cui Azure Security Benchmark, piano di modernizzazione rapido per proteggere l'accesso con privilegi e procedure consigliate per la sicurezza di Azure.

Il diagramma seguente illustra in che modo queste funzioni vengono mappate ai tipi di ruolo all'interno di un'organizzazione:

Mapping della sicurezza ai risultati aziendali

A livello di organizzazione, le discipline di sicurezza vengono mappate alle fasi standard di pianificazione-compilazione-esecuzione viste ampiamente in tutti i settori e le organizzazioni. La sicurezza è una disciplina con le proprie funzioni univoche e un elemento critico da integrare nelle normali operazioni aziendali.

Tipi di ruolo

Nel diagramma le responsabilità sono organizzate in ruoli tipici con set di competenze e profili di carriera comuni. Questi raggruppamenti sono anche utili per chiarire in che modo le tendenze del settore influiscono sui professionisti della sicurezza:

• Leadership della sicurezza: questi ruoli si estendono frequentemente su funzioni, assicurandosi che i team si coordinano tra loro. Forniscono anche la definizione delle priorità e impostano norme, criteri e standard culturali per la sicurezza.
• Architetto della sicurezza: questi ruoli si estendono su funzioni e forniscono una funzionalità di governance chiave per garantire che tutte le funzioni tecniche funzionino in modo armonico all'interno di un'architettura coerente.
• Comportamento e conformità della sicurezza: tipo di ruolo più recente che rappresenta la convergenza dei report di conformità con discipline di sicurezza tradizionali, ad esempio gestione delle vulnerabilità e linee di base di configurazione. Anche se l'ambito e il gruppo di destinatari sono diversi per la sicurezza e la creazione di report di conformità, entrambi misurano la sicurezza dell'organizzazione. Il modo in cui si risponde a questa domanda è sempre più simile tramite strumenti come Microsoft Secure Score e Microsoft Defender per il cloud:
  • L'uso di feed di dati su richiesta dai servizi cloud riduce il tempo necessario per creare report di conformità.
  • L'ambito più ampio dei dati disponibili consente alla governance della sicurezza di guardare oltre gli aggiornamenti software tradizionali e individuare le vulnerabilità dalle configurazioni di sicurezza e dalle procedure operative.
• Ingegnere della sicurezza della piattaforma: questi ruoli tecnologici si concentrano sulle piattaforme che ospitano più carichi di lavoro, sia il controllo di accesso che la protezione degli asset. Questi ruoli sono spesso raggruppati in team con set di competenze tecniche specializzate, tra cui sicurezza di rete, infrastruttura ed endpoint, gestione di identità e chiavi e altre. Questi team lavorano sia sui controlli preventivi, principalmente una partnership con le operazioni IT, sia sui controlli di rilevamento, che rappresentano una partnership con SecOps. Per altre informazioni, vedere Integrazione della sicurezza.
• Ingegnere della sicurezza delle applicazioni: questi ruoli tecnologici si concentrano sui controlli di sicurezza per carichi di lavoro specifici, supportando sia i modelli di sviluppo classici che il modello DevOps/DevSecOps moderno. Combinano competenze di sicurezza di applicazioni/sviluppo per competenze univoce di codice e infrastruttura per componenti tecnici comuni, ad esempio macchine virtuali, database e contenitori. Questi ruoli possono trovarsi in organizzazioni IT o di sicurezza centrali o all'interno di team aziendali e di sviluppo, a seconda dei fattori dell'organizzazione.

Nota

Con l'avanzamento delle tendenze devOps e dell'infrastruttura come codice, alcuni talenti della sicurezza eseguiranno probabilmente la migrazione dai team di progettazione della sicurezza della piattaforma ai team di sicurezza delle applicazioni e ai ruoli di gestione del comportamento. Il modello DevOps richiede competenze di sicurezza dell'infrastruttura, ad esempio la protezione delle operazioni in DevOps. I team di governance richiederanno anche queste competenze ed esperienza per monitorare in modo efficace il comportamento di sicurezza tecnica in tempo reale. Inoltre, l'infrastruttura come codice automatizza le attività tecniche manuali ripetitive, riducendo il tempo necessario per queste competenze nei ruoli del tecnico della sicurezza della piattaforma (anche se aumentando la necessità di set di competenze tecniche generali e di automazione o competenze di scripting).

Passaggi successivi

Altre informazioni sulla sicurezza in Microsoft Cloud Adoption Framework.