Funções de segurança de nuvem
Funções são tarefas e responsabilidades fundamentais para uma organização. Em outras palavras, funções são "trabalhos a serem feitos".
Este artigo fornece um resumo das funções organizacionais necessárias para gerenciar os riscos de segurança da informação em uma empresa. Essas funções e responsabilidades formam a parte humana de um sistema de segurança cibernética geral.
A segurança é um esporte de equipe
Os indivíduos da equipe de segurança precisam trabalhar em conjunto e ver uns aos outros como partes integrantes de toda a organização. Eles também fazem parte de uma comunidade de segurança maior, que se defende contra os mesmos adversários.
Essa cosmovisão holística ajuda as equipes a trabalhar em quaisquer lacunas não planejadas e sobreposições descobertas durante a evolução das funções e responsabilidades.
Tipos de funções de segurança
O diagrama a seguir descreve as funções organizacionais específicas na segurança. As funções descritas representam a visão ideal de uma equipe de segurança empresarial completa. As equipes de segurança com recursos limitados podem não ter responsabilidades formais definidas para todas essas funções. Cada função pode ser executada por uma ou mais pessoas, e cada pessoa pode executar uma ou mais funções dependendo de fatores como cultura, orçamento e recursos disponíveis.
Você pode saber mais sobre cada função nos artigos a seguir. Eles incluem um resumo dos objetivos, como a função pode evoluir e os relacionamentos e as dependências que são críticos para o sucesso.
- Política e padrões
- Operações de segurança
- Arquitetura de segurança
- Gerenciamento de conformidade de segurança
- Segurança de pessoas
- Segurança de aplicativo e DevSecOps
- Segurança de dados
- Segurança de infraestrutura e ponto de extremidade
- Gerenciamento de identidades e chaves
- Inteligência contra ameaças
- Gerenciamento de postura
- Preparação para incidentes
Funções e responsabilidades
As funções e responsabilidades de segurança são mencionadas em toda a documentação da Microsoft, incluindo o Azure Security Benchmark, o plano de modernização rápida para proteger o acesso com privilégios e as melhores práticas de segurança do Azure.
O diagrama a seguir descreve como essas funções são mapeados para os tipos de função em uma organização:
Mapeando a segurança para os resultados de negócios
No nível organizacional, as disciplinas de segurança são mapeadas para fases padrão de planejamento, criação e execução amplamente observadas em setores e organizações. A segurança é uma disciplina com suas próprias funções exclusivas e um elemento crítico a ser integrado às operações normais de negócios.
Tipos de cargo
No diagrama, as responsabilidades são organizadas em cargos típicos que têm conjuntos de habilidades comuns e perfis de carreira. Esses agrupamentos também ajudam a esclarecer como as tendências do setor afetam os profissionais de segurança:
- Liderança de segurança: esses cargos frequentemente abrangem funções, garantindo que as equipes se coordenem entre si. Elas também fornecem priorização e definem normas culturais, políticas e padrões de segurança.
- Arquiteto de segurança: esses cargos abrangem funções e fornecem um recurso de governança fundamental para garantir que todas as funções técnicas funcionem de forma coerente em uma arquitetura consistente.
- Conformidade e postura de segurança: uma função mais recente que representa a convergência de relatórios de conformidade com disciplinas de segurança tradicionais, como gerenciamento de vulnerabilidades e linhas de base de configuração. Embora o escopo e o público-alvo sejam diferentes para relatórios de segurança e conformidade, os dois medem a segurança da organização. A maneira como essa pergunta é respondida está se tornando mais semelhante por meio de ferramentas como Microsoft Secure Score e Microsoft Defender para Nuvem:
- O uso de feeds de dados sob demanda de serviços em nuvem reduz o tempo necessário para relatar a conformidade.
- O maior escopo de dados disponíveis está permitindo que a governança de segurança procure além das atualizações de software tradicionais e descubra vulnerabilidades de configurações de segurança e práticas operacionais.
- Engenheiro de segurança de plataforma: essas funções de tecnologia se concentram em plataformas que hospedam várias cargas de trabalho, no controle de acesso e na proteção de ativos. Esses cargos geralmente são agrupados em equipes com conjuntos de habilidades técnicas especializadas, incluindo segurança de rede, infraestrutura e pontos de extremidade, gerenciamento de identidades e chaves, entre outras. Essas equipes trabalham em controles preventivos e de investigação, sendo os controles de investigação uma parceria com o SecOps e os controles preventivos uma parceria principalmente com operações de TI. Para obter mais informações, confira Integração da segurança.
- Engenheiro de segurança do aplicativo: essas funções de tecnologia se concentram em controles de segurança para cargas de trabalho específicas, dando suporte a modelos de desenvolvimento clássicos e modelos de DevOps/DevSecOps modernos. Elas combinam habilidades de segurança de aplicativo/desenvolvimento para obter habilidades exclusivas de código e infraestrutura para componentes técnicos comuns como VMs, bancos de dados e contêineres. Essas funções podem estar localizados nas organizações centrais de TI ou de segurança ou até mesmo em equipes de negócios e desenvolvimento, dependendo dos fatores organizacionais.
Observação
À medida que as tendências de DevOps e infraestrutura como código evoluem, é provável que alguns profissionais de segurança migrarem de equipes de engenharia de segurança de plataforma para equipes de segurança de aplicativo e funções de gerenciamento de postura. O modelo de DevOps exige habilidades de segurança de infraestrutura, como proteger as operações no DevOps. As equipes de governança também exigirão essas habilidades e experiência para monitorar efetivamente a postura de segurança técnica em tempo real. Além disso, a infraestrutura como código automatiza tarefas técnicas manuais repetitivas, reduzindo o tempo necessário para essas habilidades nas funções de engenheiro de segurança de plataforma (embora aumente a necessidade de amplos conjuntos de habilidades técnicas e habilidades de automação ou script).
Próximas etapas
Saiba mais sobre Segurança no Microsoft Cloud Adoption Framework.