Integre a segurança na sua estratégia de adoção da nuvem
Mover sua organização para a nuvem adiciona complexidade significativa à segurança. Para ter sucesso na nuvem, sua estratégia de segurança precisa atender aos desafios modernos inerentes à computação em nuvem. Na adoção e operação de uma propriedade em nuvem, a segurança torna-se uma consideração necessária em todas as facetas da organização. Não é uma função separada que é aplicada secundariamente a determinadas facetas, como pode ser comum para organizações que executam plataformas de tecnologia locais. Ao definir sua estratégia de adoção de nuvem, considere as recomendações fornecidas neste artigo para garantir que a segurança seja parte integrante da estratégia e seja incorporada ao seu plano de adoção de nuvem à medida que você avança.
Este artigo é um guia de apoio à metodologia Estratégia . Ele descreve as áreas de otimização de segurança que você deve considerar ao passar por essa fase em sua jornada.
Modernização da postura de segurança
A estratégia de modernização da postura de segurança não envolve apenas a adoção de novas tecnologias e novas práticas operacionais. Normalmente, também envolve uma mudança de mentalidade em toda a organização. Novas equipes e funções podem precisar ser preenchidas, e as equipes e funções existentes podem precisar estar envolvidas na segurança de maneiras que não estão acostumadas. Essas mudanças, que às vezes podem ser monumentais para as organizações, podem ser a fonte de estresse e conflitos internos, por isso é importante promover comunicações saudáveis, honestas e livres de culpa em toda a organização durante todo o processo de adoção.
Consulte o guia Definir uma estratégia de segurança para obter uma visão geral abrangente dessas considerações.
Adotando o Zero Trust como estratégia
Adotar o Zero Trust como estratégia ajuda você a iniciar sua jornada na nuvem com uma abordagem moderna de segurança. A abordagem Zero Trust baseia-se em três princípios:
Verifique explicitamente. Sempre autentique e autorize com base em todos os pontos de dados disponíveis.
Use o privilégio mínimo. Limite o acesso do usuário com Just-In-Time e Just-Enough-Access (JIT/JEA), políticas adaptativas baseadas em risco e proteção de dados.
Assuma a violação. Minimize o raio de jateamento e o acesso ao segmento. Verifique a criptografia de ponta a ponta e use análises para obter visibilidade das atividades relacionadas aos seus sistemas, impulsionar a deteção de ameaças e melhorar as defesas.
Se você aplicar esses princípios em todo o processo de adoção da nuvem, a transformação para a segurança moderna pode ser uma experiência mais suave para toda a organização.
A Microsoft fornece um plano de modernização de segurança baseado em Zero Trust que as organizações podem usar como guia. Consulte a fase Definir estratégia para obter recomendações de estratégia.
Definição de uma estratégia de preparação e resposta a incidentes
Estabeleça uma visão clara e objetivos específicos bem definidos para a prontidão da segurança na nuvem. Concentre-se na criação de capacidades de segurança e no desenvolvimento de competências em matéria de segurança. Alinhe sua estratégia de preparação e resposta a incidentes à estratégia geral de negócios para garantir que a estratégia de negócios não seja prejudicada pela segurança. Compreenda os requisitos de confiabilidade e desempenho dos negócios para garantir que sua estratégia possa acomodar esses requisitos e, ao mesmo tempo, criar a base tecnológica necessária para se preparar e responder a incidentes.
Definição de uma estratégia para a confidencialidade
Ao definir uma estratégia para adotar a confidencialidade em um ambiente de nuvem empresarial, você precisa considerar vários pontos-chave:
Priorize a privacidade e a proteção de dados. Estabeleça objetivos comerciais claros que enfatizem a importância da privacidade e proteção de dados. Esses objetivos incluem a conformidade com regulamentações relevantes, como GDPR, HIPAA e padrões do setor.
Planeie uma estratégia de gestão de riscos. Identificar e avaliar potenciais riscos para a confidencialidade dos dados e desenvolver estratégias para mitigar esses riscos.
Desenvolva uma estratégia de proteção contra perda de dados (DLP). DLP é um conjunto de ferramentas e processos que ajuda a garantir que dados confidenciais não sejam perdidos, usados indevidamente ou acessados por usuários não autorizados. Em termos do princípio da confidencialidade, implica a definição de objetivos claros em matéria de proteção de dados e a criação de um quadro para a implementação de uma cifragem sólida e de controlos de acesso. Durante a fase de estratégia, o DLP é integrado à visão geral de segurança para ajudar a garantir que os dados confidenciais sejam protegidos contra acesso não autorizado.
Definição de uma estratégia para a integridade
A manutenção da integridade dos dados e do sistema requer muitas das mesmas estratégias sugeridas para a confidencialidade, como controles de proteção de dados bem projetados e gerenciamento de riscos. Essas estratégias devem ser aumentadas com considerações adicionais para a integridade dos dados e do sistema:
Priorize os dados e a integridade do sistema. A manutenção da integridade dos dados e do sistema deve ser um princípio fundamental nos requisitos e objetivos de negócios. Para isso, priorize controles de segurança e práticas operacionais que suportem um alto nível de integridade. Em particular, use a automação por meio de ferramentas para o máximo de seus dados e gerenciamento de integridade do sistema que for prático. A automação pode ser usada para muitas funções relacionadas à integridade, como:
Gestão de políticas.
Classificação e gestão de dados.
Implantações de infraestrutura e gerenciamento de atualizações.
Definição de uma estratégia de disponibilidade
Incluir considerações sobre disponibilidade em sua estratégia de adoção de nuvem ajuda a garantir que você esteja preparado para implementar um patrimônio de nuvem confiável e resiliente e que possa ter confiança em atender aos requisitos de negócios relacionados à disponibilidade.
Os requisitos e objetivos de disponibilidade abrangem todo o parque de nuvem, incluindo todas as funções de negócios e cargas de trabalho e a plataforma de nuvem subjacente. Certifique-se de que, ao desenvolver sua estratégia de adoção de nuvem, você comece com metas de alto nível para determinar a criticidade de vários aspetos de seu patrimônio de nuvem e inicie discussões entre as partes interessadas sobre qual deve ser o nível adequado de disponibilidade, enquanto ainda equilibra os requisitos e objetivos de custo e desempenho. Essa abordagem ajuda a estruturar seus planos de adoção de nuvem para que você possa trabalhar em direção a metas mais definidas à medida que avança para as próximas fases de sua jornada de adoção de nuvem, estabelecendo as bases para projetos e padrões com escopo adequado.
Definição de uma estratégia para manter a postura de segurança
A jornada em direção a uma postura de segurança moderna e robusta não termina com a implementação inicial. Para acompanhar as novas ameaças, você precisa revisar e refinar continuamente suas práticas de segurança, mantendo a estrita adesão aos padrões. Manter a segurança é um esforço contínuo de executar operações diárias que atendem às expectativas que sua organização estabeleceu para si mesma, enquanto se prepara para ameaças emergentes e mudanças tecnológicas. A adoção deste princípio codifica a sua abordagem de melhoria contínua. Ele fornece às equipes de segurança padrões orientadores para manter práticas de segurança vigilantes e dá às partes interessadas a confiança de que a segurança continua sendo um princípio fundamental da jornada de adoção da nuvem.
Quando você desenvolve uma estratégia de sustentação, você se concentra em aprender como sua estratégia geral de segurança funciona no mundo real e em aplicar lições para evolui-la continuamente. Uma estratégia de sustentação deve incorporar objetivos de negócios de longo prazo para garantir que os objetivos de segurança de longo prazo estejam alinhados. Quando esses objetivos são levados em conta, a estratégia de sustentação define como a postura de segurança deve evoluir para se manter alinhada.
Exemplo de estratégia
Sua organização deve desenvolver sua estratégia de adoção de nuvem da maneira que funciona melhor para a organização. O exemplo a seguir mostra como você pode incorporar a orientação oferecida neste artigo em um artefato narrativo, como um documento do Word.
Motivações
A motivação para migrar para a nuvem é modernizar nossa carga de trabalho de linha de negócios (LOB) e aproveitar a infraestrutura de nuvem mundial da Microsoft para expandir de forma eficiente em todo o mundo à medida que nossa base de clientes cresce.
Considerações comerciais:
- Adesão do Conselho de Administração e da liderança sénior. Devemos apresentar um resumo executivo do nosso plano de adoção de nuvem, com projeções financeiras, ao conselho para aprovação. O sumário executivo deve ser codesenvolvido pela liderança sênior para garantir que a equipe de liderança esteja de acordo sobre o plano de alto nível.
Considerações de segurança:
- Preparação técnica. Nossas equipes de TI e Segurança precisarão de aperfeiçoamento para definir com sucesso nosso plano de migração. Podemos precisar adicionar novas equipes e funções à medida que nos preparamos para migrar para a nuvem.
Resultados do negócio: alcance global
Atualmente, operamos apenas na América do Norte. O nosso plano quinquenal é expandir para a Europa e Ásia. Tirar partido da nuvem global do Azure da Microsoft permitir-nos-á criar a infraestrutura necessária para fornecer eficientemente a nossa aplicação LOB na Europa e na Ásia.
Empresário: COO
Responsável técnico: CTO
Proprietário da segurança: CISO
Considerações comerciais:
- Previsão orçamentária. Como parte do desenvolvimento de nosso plano de migração para a nuvem, TI, Segurança e Vendas devem codesenvolver modelos de previsão de orçamento com o departamento financeiro para garantir que as partes interessadas entendam os custos potenciais da expansão para a Europa e Ásia.
Considerações de segurança:
Aumento das superfícies de ataque. A expansão em todo o mundo aumentará drasticamente nossas superfícies de ataque, colocando sistemas expostos publicamente em várias regiões. Precisamos modernizar rapidamente nossa postura de segurança. Seguiremos as orientações da Zero Trust para garantir que seguimos as melhores práticas.
Ameaças focadas na nuvem. Nossa mudança para a nuvem trará novas ameaças às quais não fomos expostos. Estas ameaças não se limitam a ataques maliciosos aos nossos sistemas. O provedor de nuvem também é um alvo importante para ameaças, e incidentes que afetam o provedor podem ter efeitos downstream em nossos sistemas ou negócios. Temos de rever os nossos processos de preparação e resposta a incidentes e incorporar as melhorias necessárias como parte do nosso plano.
Resultados do negócio: Inovação de dados
À medida que nossa expansão global progride, nosso patrimônio de dados crescerá exponencialmente. O tratamento desses dados será insustentável a menos que adotemos tecnologias de dados e análises em escala de nuvem.
Empresário: CEO
Responsável técnico: CTO
Proprietário da segurança: CISO
Considerações comerciais:
- Requisitos de conformidade locais. Devemos trabalhar com especialistas em regulamentos locais de conformidade para garantir que a empresa esteja pronta para apoiar as equipes técnicas na manutenção da conformidade. Isso pode significar a criação de entidades comerciais em determinadas geografias ou o uso de nuvens soberanas em países como Alemanha e China.
Considerações de segurança:
Confidencialidade e integridade dos dados em escala. Devemos rever e melhorar as nossas estratégias e mecanismos de confidencialidade e integridade para garantir que, à medida que adotamos novas tecnologias e avançamos para novas geografias, não colocamos os nossos dados ou os dados dos nossos clientes em risco de corrupção, violação ou perda, e que cumprimos os quadros regulamentares por defeito.
Estratégia de acesso e autorização Zero Trust. Devemos adotar a abordagem Zero Trust para garantir que nossa estratégia de acesso e autorização atenda às melhores práticas modernas e seja gerenciável à medida que nos expandimos globalmente.
Resultados de negócios: desempenho e confiabilidade
À medida que nos expandimos em todo o mundo, nossa carga de trabalho de LOB deve manter o alto desempenho e a disponibilidade de tempo de inatividade zero em que nossos clientes confiam.
Empresário: COO
Responsável técnico: CTO
Proprietário da segurança: CISO
Considerações comerciais:
- Manter o desempenho e a confiabilidade durante toda a migração. Nossos clientes têm grandes expectativas para nossa aplicação LOB. Não podemos nos dar ao luxo de sofrer danos reputacionais e financeiros se o aplicativo sofrer tempo de inatividade ou serviço degradado prolongado durante a migração para a nuvem. Envolver nossa equipe de suporte da Microsoft para ajudar a projetar o plano de migração e estar envolvido na migração minimizará os riscos de tempo de inatividade ou serviço degradado.
Considerações de segurança:
Devemos desenvolver padrões de projeto seguros para garantir que possamos implantar pacotes de infraestrutura idênticos de forma eficiente e segura em cada nova região em que nos expandirmos. Nossa estratégia de disponibilidade deve considerar as compensações que precisaremos fazer para garantir que a segurança não seja comprometida por nossos projetos de desempenho e que nossas metas de desempenho não sejam afetadas por nossas medidas de segurança.
- Devemos incluir processos e mecanismos de integridade do sistema em nossos padrões de design para garantir que nossos sistemas sejam protegidos por padrão quando implantamos nossa carga de trabalho em novas geografias.