Compartilhar via

Administre com segurança sua propriedade na nuvem

  • Artigo

A governança de segurança conecta suas prioridades de negócios com implementações técnicas, como arquitetura, padrões e políticas. As equipes de governança fornecem supervisão e monitoramento para sustentar e melhorar a postura de segurança ao longo do tempo. Essas equipes também relatam a conformidade que os órgãos reguladores exigem.

Diagrama que mostra os principais componentes da governança de segurança, incluindo gerenciamento de riscos, conformidade, aplicação de políticas e monitoramento contínuo.

As metas e o risco de negócios fornecem a orientação mais eficaz para a segurança. Essa abordagem garante que os esforços de segurança estejam concentrados nas principais prioridades da organização. Além disso, ajuda os proprietários de riscos usando linguagem e processos familiares dentro da estrutura de gerenciamento de riscos.

Diagrama mostrando as metodologias envolvidas na adoção da nuvem. O diagrama tem caixas para cada fase: equipes e funções, estratégia, plano, preparar, adotar, governar e gerenciar. O quadro deste artigo é destacado.

Este artigo é um guia de apoio à metodologia Govern . Ele fornece áreas de otimização de segurança para você considerar à medida que avança nessa fase de sua jornada.

Modernização da postura de segurança

Usar apenas relatórios de problemas não é uma estratégia eficaz para manter sua postura de segurança. Na era da nuvem, a governança requer uma abordagem ativa que colabore continuamente com outras equipes. O gerenciamento da postura de segurança é uma função emergente e essencial. Esta função aborda a questão crítica da segurança ambiental. Ele abrange áreas-chave, como gerenciamento de vulnerabilidades e relatórios de conformidade de segurança.

Em um ambiente local, a governança de segurança depende dos dados periódicos disponíveis sobre o ambiente. Essa abordagem geralmente resulta em informações desatualizadas. A tecnologia em nuvem revoluciona esse processo, fornecendo visibilidade sob demanda da postura de segurança atual e da cobertura de ativos. Essa visão em tempo real transforma a governança em uma organização mais dinâmica. Ele promove uma colaboração mais próxima com outras equipes de segurança para monitorar os padrões de segurança, fornecer orientação e aprimorar processos.

Em seu estado ideal, a governança impulsiona a melhoria contínua em toda a organização. Esse processo contínuo envolve todas as partes da organização para garantir avanços constantes de segurança.

A seguir estão os princípios-chave para a governança de segurança:

  • Descoberta contínua de ativos e tipos de ativos: um inventário estático não é possível em um ambiente de nuvem dinâmico. Sua organização precisa se concentrar na descoberta contínua de ativos e tipos de ativos. Na nuvem, novos tipos de serviços são adicionados regularmente. Os proprietários da carga de trabalho ajustam dinamicamente o número de instâncias de aplicativos e serviços conforme necessário, o que cria um ambiente em constante mudança. Essa situação torna o gerenciamento de estoque uma disciplina em constante evolução. As equipes de governança precisam identificar continuamente os tipos de ativos e instâncias para acompanhar esse ritmo de mudança.

  • Melhoria contínua da postura de segurança de ativos: as equipes de governança devem se concentrar em melhorar e aplicar padrões para acompanhar a nuvem e os invasores. As organizações de TI (tecnologia da informação) devem reagir rapidamente a novas ameaças e se adaptar de acordo. Os atacantes evoluem constantemente suas técnicas, enquanto as defesas melhoram continuamente e podem precisar ser atualizadas. Nem sempre é possível incorporar todas as medidas de segurança necessárias na configuração inicial.

  • Governança controlada por políticas: essa governança garante uma implementação consistente porque você define políticas uma vez e as aplica automaticamente em todos os recursos. Esse processo limita o desperdício de tempo e esforço em tarefas manuais repetidas. Geralmente, ele é implementado usando Azure Policy ou estruturas de automação de políticas que não são da Microsoft.

Para manter a agilidade, as diretrizes de melhores práticas costumam ser iterativas. Ele digere alguns dados de várias fontes para criar o panorama completo e faz pequenos ajustes continuamente.

Facilitação do Azure

  • O Microsoft Defender para Nuvem pode ajudá-lo a descobrir continuamente e gerenciar automaticamente máquinas virtuais em seu ambiente por meio do provisionamento automático de coleta de dados.

  • Os aplicativos Microsoft Defender para Nuvem podem ajudá-lo a descobrir e controlar continuamente aplicativos de software como serviço próprios e não Microsoft usados em seus ambientes.

Preparação e resposta a incidentes

A governança de segurança é fundamental para manter sua preparação. Para aplicar rigorosamente os padrões, mecanismos e práticas de governança robustos devem apoiar a implementação de mecanismos de preparação e resposta e práticas operacionais. Considere as seguintes recomendações para ajudar a governar os padrões de preparação e resposta a incidentes:

Governança de preparação para incidentes

  • Automatize a governança: use ferramentas para automatizar a governança o máximo possível. Você pode usar ferramentas para gerenciar políticas para implantações de infraestrutura, implementar medidas de proteção, proteger dados e manter padrões de gerenciamento de identidade e acesso. Ao automatizar a governança dessas medidas de segurança, você pode garantir que todos os recursos em seu ambiente estejam em conformidade com seus próprios padrões de segurança e todas as estruturas de conformidade necessárias para seus negócios. Para obter mais informações, consulte Impor políticas de governança de nuvem.

  • Aderir às linhas de base de segurança da Microsoft: entenda as recomendações de segurança da Microsoft para os serviços em sua propriedade de nuvem, que estão disponíveis como linhas de base de segurança. Essas linhas de base podem ajudá-lo a garantir que suas implantações existentes sejam devidamente protegidas e que as novas implantações sejam configuradas corretamente desde o início. Essa abordagem reduz o risco de configurações incorretas.

Governança de resposta a incidentes

  • Governança do plano de resposta a incidentes: O plano de resposta a incidentes deve ser mantido com o mesmo cuidado que os outros documentos críticos em seu patrimônio. Seu plano de resposta a incidentes deve ser:

    • Versão controlada para garantir que as equipes estejam trabalhando com a versão mais recente e que o controle de versão possa ser auditado.

    • Armazenado em armazenamento altamente disponível e seguro.

    • Revisado regularmente e atualizado quando as mudanças no ambiente exigirem.

  • Governança do treinamento de resposta a incidentes: Os materiais de treinamento para resposta a incidentes devem ser controlados por versão para auditabilidade e para garantir que a versão mais recente esteja sendo usada a qualquer momento. Eles também devem ser revisados regularmente e atualizados quando forem feitas atualizações no plano de resposta a incidentes.

Facilitação do Azure

  • O Azure Policy é uma solução de gerenciamento de políticas que você pode usar para ajudar a impor padrões organizacionais e avaliar a conformidade em escala. Para automatizar a imposição de políticas para muitos serviços do Azure, aproveite as definições de política internas.

  • O Defender para Nuvem fornece políticas de segurança que podem automatizar a conformidade com seus padrões de segurança.

Governança de confidencialidade

A governança eficaz é crucial para manter a segurança e a conformidade em ambientes de nuvem corporativa. A governança inclui as políticas, procedimentos e controles que garantem que os dados sejam gerenciados com segurança e de acordo com os requisitos regulatórios. Ele fornece uma estrutura para tomada de decisão, responsabilidade e melhoria contínua, o que é essencial para proteger informações confidenciais e manter a confiança. Essa estrutura é crucial para defender o princípio da confidencialidade da Tríade da CIA. Ele ajuda a garantir que os dados confidenciais sejam acessíveis apenas a usuários e processos autorizados.

  • Políticas técnicas: essas políticas incluem políticas de controle de acesso, políticas de criptografia de dados e políticas de mascaramento de dados ou tokenização. O objetivo dessas políticas é criar um ambiente seguro, mantendo a confidencialidade dos dados por meio de controles de acesso rigorosos e métodos de criptografia robustos.

  • Políticas escritas: As políticas escritas servem como estrutura de governança para todo o ambiente corporativo. Eles estabelecem os requisitos e parâmetros para tratamento, acesso e proteção de dados. Esses documentos garantem consistência e conformidade em toda a organização e fornecem diretrizes claras para funcionários e equipe de TI. As políticas escritas também servem como ponto de referência para auditorias e avaliações, o que ajuda a identificar e resolver quaisquer lacunas nas práticas de segurança.

  • Proteção contra perda de dados: O monitoramento e a auditoria contínuos das medidas de prevenção contra perda de dados (DLP) devem ser realizados para garantir a conformidade contínua com os requisitos de confidencialidade. Esse processo inclui revisar e atualizar regularmente as políticas de DLP, realizar avaliações de segurança e responder a quaisquer incidentes que possam comprometer a confidencialidade dos dados. Estabeleça o DLP programaticamente em toda a organização para garantir uma abordagem consistente e escalonável para proteger dados confidenciais.

Monitorar a conformidade e os métodos de aplicação

É fundamental monitorar a conformidade e aplicar políticas para manter o princípio de confidencialidade em ambientes de nuvem corporativa. Essas ações são essenciais para padrões de segurança robustos. Esses processos garantem que todas as medidas de segurança sejam aplicadas de forma consistente e eficazes para ajudar a proteger dados confidenciais contra acesso não autorizado e violações. Avaliações regulares, monitoramento automatizado e programas de treinamento abrangentes são essenciais para garantir a adesão às políticas e procedimentos estabelecidos.

  • Auditorias e avaliações regulares: Realize auditorias e avaliações regulares de segurança para garantir que as políticas estejam sendo seguidas e identifique áreas de melhoria. Essas auditorias devem abranger padrões e requisitos regulatórios, setoriais e organizacionais e podem envolver avaliadores terceirizados para fornecer uma avaliação imparcial. Um programa de avaliação e inspeção aprovado ajuda a manter altos padrões de segurança e conformidade e garante que todos os aspectos da confidencialidade dos dados sejam cuidadosamente revisados e abordados.

  • Monitoramento automatizado de conformidade: ferramentas como o Azure Policy automatizam o monitoramento da conformidade com políticas de segurança e fornecem insights e alertas em tempo real. Essa funcionalidade ajuda a garantir a adesão contínua aos padrões de segurança. O monitoramento automatizado ajuda a detectar e responder rapidamente a violações de políticas, o que reduz o risco de violações de dados. Ele também garante a conformidade contínua, verificando regularmente as configurações e os controles de acesso em relação às políticas estabelecidas.

  • Programas de treinamento e conscientização: Eduque os funcionários sobre políticas de confidencialidade de dados e práticas recomendadas para promover uma cultura consciente da segurança. Sessões regulares de treinamento e programas de conscientização ajudam a garantir que todos os membros da equipe entendam suas funções e responsabilidades na manutenção da confidencialidade dos dados. Esses programas devem ser atualizados regularmente para refletir as mudanças nas políticas e as ameaças emergentes. Essa estratégia garante que os funcionários estejam sempre equipados com os conhecimentos e habilidades mais recentes.

Governança de integridade

Para manter suas proteções de integridade de forma eficaz, você precisa de uma estratégia de governança bem projetada. Essa estratégia deve garantir que todas as políticas e procedimentos sejam documentados e aplicados e que todos os sistemas sejam continuamente auditados quanto à conformidade.

As diretrizes descritas anteriormente na seção Governança de confidencialidade também se aplicam ao princípio da integridade. As recomendações a seguir são específicas para integridade:

  • Governança automatizada de qualidade de dados: considere o uso de uma solução pronta para uso para controlar seus dados. Use uma solução predefinida para aliviar a carga de validação manual de qualidade de sua equipe de governança de dados. Essa estratégia também reduz o risco de acesso não autorizado e alterações nos dados durante o processo de validação.

  • Governança automatizada da integridade do sistema: considere o uso de uma ferramenta centralizada e unificada para automatizar a governança da integridade do sistema. Por exemplo, o Azure Arc permite que você controle sistemas em várias nuvens, data centers locais e sites de borda. Ao usar um sistema como esse, você pode simplificar suas responsabilidades de governança e reduzir a carga operacional.

Facilitação do Azure

  • A Qualidade de Dados do Microsoft Purview permite que os usuários avaliem a qualidade dos dados usando regras sem código/com pouco código, incluindo regras OOB (prontas para uso) e regras geradas por IA. Essas regras são aplicadas no nível da coluna e, em seguida, agregadas para fornecer pontuações para ativos de dados, produtos de dados e domínios de negócios. Essa abordagem garante visibilidade abrangente da qualidade dos dados em cada domínio.

Governança de disponibilidade

Os designs de arquitetura que você padroniza em sua propriedade de nuvem exigem governança para garantir que eles não sejam desviados e que sua disponibilidade não seja comprometida por padrões de design não conformes. Da mesma forma, seus planos de recuperação de desastres também devem ser controlados para garantir que sejam bem mantidos.

Governança de design de disponibilidade

  • Mantenha padrões de design padronizados: codifique e aplique rigorosamente os padrões de design de infraestrutura e aplicativos. Governar a manutenção dos padrões de projeto para garantir que eles permaneçam atualizados e protegidos contra acesso ou alteração não autorizados. Trate esses padrões com o mesmo cuidado que outras políticas. Quando possível, automatize a aplicação de padrões de design de manutenção. Por exemplo, você pode habilitar políticas para controlar quais tipos de recursos podem ser implantados e especificar as regiões em que as implantações são permitidas.

Governança de recuperação de desastre

  • Governança dos planos de recuperação de desastres: trate os planos de recuperação de desastres com o mesmo nível de importância que os planos de resposta a incidentes. Os planos de recuperação de desastres devem ser:

    • Controle de versão para garantir que as equipes estejam sempre trabalhando com a versão mais recente e que o controle de versão possa ser auditado quanto à precisão e conformidade.

    • Armazenado em armazenamento altamente disponível e seguro.

    • Revisado regularmente e atualizado quando são necessárias alterações no ambiente.

  • Governança de exercícios de recuperação de desastres: os exercícios de recuperação de desastres não são apenas para treinamento sobre os planos, mas também servem como oportunidades de aprendizado para melhorar o próprio plano. Eles também podem ajudar a refinar os padrões operacionais ou de design. A manutenção meticulosa de registros de exercícios de recuperação de desastres ajuda a identificar áreas de melhoria e garante a conformidade com os requisitos de auditoria para preparação para desastres. Ao armazenar esses registros no mesmo repositório dos planos, você pode ajudar a manter tudo organizado e seguro.

Sustentando a governança segura

Gerenciamento de Serviços Modernos (MSM)

O MSM (Gerenciamento de Serviços Modernos) é um conjunto de práticas e ferramentas projetadas para gerenciar e otimizar serviços de TI em um ambiente de nuvem. O objetivo do MSM é alinhar os serviços de TI com as necessidades de negócios. Essa abordagem garante uma prestação de serviço eficiente, mantendo altos padrões de segurança e conformidade. O MSM fornece uma abordagem estruturada para gerenciar ambientes de nuvem complexos. O MSM também permite que as organizações respondam rapidamente às mudanças, mitiguem riscos e garantam a melhoria contínua. Além disso, o MSM é relevante para o princípio da confidencialidade porque inclui ferramentas e práticas que reforçam a proteção de dados e monitoram os controles de acesso.

  • Gerenciamento de segurança unificado: as ferramentas MSM fornecem gerenciamento de segurança abrangente, integrando várias funções de segurança para fornecer uma visão holística do ambiente de nuvem. Essa abordagem ajuda a aplicar políticas de segurança e detecta e responde a ameaças em tempo real.

  • Gerenciamento e conformidade de políticas: o MSM facilita a criação, a aplicação e o monitoramento de políticas em todo o ambiente de nuvem. Ele garante que todos os recursos estejam em conformidade com os padrões organizacionais e os requisitos regulatórios. Além disso, fornece insights e alertas em tempo real.

  • Monitoramento e melhoria contínuos: o MSM enfatiza o monitoramento contínuo do ambiente de nuvem para identificar e resolver possíveis problemas de forma proativa. Essa abordagem oferece suporte à otimização e melhoria contínuas dos serviços de TI, o que garante que eles permaneçam alinhados com os objetivos de negócios.

Próxima etapa

Gerencie sua propriedade na nuvem com segurança aprimorada