Ruoli e responsabilità di sicurezza

Completato

I singoli membri del team di sicurezza devono vedere se stessi come parte di un team di sicurezza che fa parte dell'intera organizzazione. Fanno anche parte di una comunità più grande interessata alla sicurezza che si difende contro gli stessi avversari.

Questa visione olistica consente al team di lavorare bene in generale. È particolarmente importante quando i team devono affrontare eventuali vuoti e sovrapposizioni non previsti, individuati durante l'evoluzione dei ruoli e delle responsabilità.

Responsabilità di sicurezza (funzioni)

Questo diagramma illustra le funzioni dell'organizzazione specifiche in relazione alla sicurezza. Rappresenta la configurazione ideale di un team di sicurezza aziendale completo e potrebbe essere una configurazione a cui aspirare per alcuni team di sicurezza. Una o più persone possono eseguire ogni funzione. Ogni persona può svolgere una o più funzioni in base a fattori come cultura, budget e risorse disponibili.

Gli articoli seguenti forniscono informazioni su ogni funzione e includono un riepilogo degli obiettivi. Illustrano la possibile evoluzione della funzione in seguito ai cambiamenti dell'ambiente delle minacce o della tecnologia cloud. Vengono anche esplorate le relazioni e le dipendenze cruciali per il successo della funzione.

• Criteri e standard
• Operazioni per la sicurezza
• Architettura di sicurezza
• Gestione della conformità alla sicurezza
• Sicurezza delle persone
• Sicurezza delle applicazioni e DevSecOps
• Sicurezza dei dati
• Infrastruttura e sicurezza degli endpoint
• Gestione delle identità e delle chiavi
• Intelligence per le minacce
• Gestione della postura
• Preparazione per gli eventi imprevisti

Il diagramma seguente riepiloga i ruoli e le responsabilità in un programma di sicurezza per acquisire familiarità con questi ruoli:

Per altre informazioni, vedere Funzioni per la sicurezza del cloud.

Corrispondenze tra sicurezza e risultati aziendali

A livello organizzativo, le discipline di sicurezza vengono mappate alle fasi standard di pianificazione-compilazione-esecuzione ampiamente diffuse nei settori e nelle organizzazioni. Questo ciclo risulta accelerato e diventa un ciclo di cambiamento continuo con l'era digitale e l'introduzione di DevOps. Illustra anche le corrispondenze tra la sicurezza e i normali processi aziendali.

La sicurezza è una disciplina con funzioni proprie univoche. L'integrazione nelle normali operazioni aziendali è un aspetto cruciale.

Tipi di ruolo

Nel diagramma precedente le etichette scure raggruppano queste responsabilità in ruoli tipici con set di competenze e profili di carriera comuni. Questi raggruppamenti sono anche utili per chiarire in che modo le tendenze del settore influiscono sui professionisti della sicurezza.

• Leadership della sicurezza: questi ruoli sono spesso estesi a più funzioni. Garantiscono che i team si coordinino tra loro, definiscano le priorità e stabiliscano norme culturali, criteri e standard per la sicurezza.
• Architetto della sicurezza: questi ruoli sono estesi a più funzioni e offrono una funzionalità di governance essenziale per garantire che tutte le funzioni tecniche interagiscano in armonia all'interno di un'architettura coerente.
• Comportamento di sicurezza e conformità: si tratta di un tipo di ruolo più recente che rappresenta la crescente convergenza della creazione di report di conformità con le discipline di sicurezza tradizionali, ad esempio la gestione delle vulnerabilità e le baseline di configurazione. Sebbene l'ambito e i destinatari siano diversi per la creazione di report sulla sicurezza e sulla conformità, rispondono a versioni diverse della domanda "Quanto è sicura l'organizzazione?" Il modo in cui si risponde a questa domanda è sempre più simile tramite strumenti come Microsoft Secure Score e Microsoft Defender per il cloud.
  • L'uso di feed di dati su richiesta dai servizi cloud riduce il tempo necessario per creare report di conformità.
  • L'ambito più esteso dei dati disponibili consente alla governance della sicurezza di andare oltre gli aggiornamenti software/patch tradizionali e di individuare e tenere traccia delle "vulnerabilità" dalle configurazioni di sicurezza e dalle procedure operative.
• Tecnico della sicurezza della piattaforma: questi ruoli tecnologici sono incentrati sulle piattaforme che ospitano più carichi di lavoro, con particolare attenzione al controllo di accesso e alla protezione degli asset. Questi ruoli sono spesso raggruppati in team con set di competenze tecniche specialistiche. Includono la sicurezza di rete, l'infrastruttura e gli endpoint e la gestione delle chiavi e delle identità. Questi team lavorano sui controlli preventivi, principalmente in collaborazione con le operazioni IT, e sui controlli di rilevamento, che rappresentano una collaborazione con SecOps. Per altre informazioni, vedere Integrazione della sicurezza.
• Tecnico della sicurezza delle applicazioni: questi ruoli tecnologici sono incentrati sui controlli di sicurezza per carichi di lavoro specifici e supportano i modelli di sviluppo classici e i modelli DevOps/DevSecOps moderni. Si tratta di una combinazione di competenze di sicurezza delle applicazioni e dello sviluppo per competenze di codice e infrastruttura univoche per componenti tecnici comuni come macchine virtuali, database e contenitori. Questi ruoli possono trovarsi in organizzazioni IT o di sicurezza centrali o all'interno di team aziendali e di sviluppo, in base ai fattori organizzativi.

Modernizzazione

L'architettura di sicurezza è influenzata da diversi fattori:

• Modello di engagement continuo: il rilascio continuo di aggiornamenti software e funzionalità cloud rende obsoleti i modelli di engagement fissi. Gli architetti dovranno interagire con tutti i team che si occupano di aree tecniche per guidare il processo decisionale lungo i cicli di vita delle funzionalità di tali team.
• Sicurezza dal cloud: incorporare funzionalità di sicurezza dal cloud per ridurre i tempi di abilitazione e i costi di manutenzione continuativa, come hardware, software, tempo e lavoro richiesto.
• Sicurezza del cloud: garantire la copertura di tutti gli asset cloud, incluse le applicazioni SaaS (software come un servizio), le macchine virtuali IaaS (infrastruttura distribuita come servizio) e le applicazioni e i servizi PaaS (piattaforma distribuita come servizio). Includere procedure di individuazione e sicurezza sia per i servizi approvati che non.
• Integrazione delle identità: gli architetti della sicurezza dovranno lavorare in stretto allineamento con i team di gestione delle identità per consentire alle organizzazioni di raggiungere i due obiettivi di produttività e garanzie di sicurezza.
• Integrazione del contesto interno nelle progettazioni di sicurezza, ad esempio contesto dalla gestione della postura e dagli eventi imprevisti esaminati dal centro operativo per la sicurezza: includere elementi come i punteggi di rischio relativi degli account utente e dei dispositivi, la riservatezza dei dati e i limiti di isolamento della sicurezza chiave per una difesa attiva.

Contenuti consigliati

• Ruoli di sicurezza MCRA - YouTube: panoramica dei ruoli e delle responsabilità in un programma di sicurezza. Questo video include una discussione su come stanno evolvendo per soddisfare le esigenze di attacchi moderni, tecnologia cloud e principi Zero Trust. Questa panoramica dei ruoli include anche CDA e dirigenti.

Verificare le conoscenze

1.

Chi è responsabile della sicurezza nel cloud?

CIO/CISO

Provider di servizi cloud

L'intero team

CEO

Devi rispondere a tutte le domande prima di controllare il lavoro svolto.