Создание стратегии безопасности, интеграции и управления

В этой статье описывается, как установить или модернизировать дисциплину стратегии безопасности, интеграции и управления. Эта дисциплина обеспечивает направление, координацию и устойчивый надзор в рамках программы модернизации безопасности, что позволяет организациям переходить за рамки фрагментированных элементов управления в направлении согласованного, ориентированного на результаты обеспечения безопасности.

Дисциплины безопасности — это группировки связанных работ по обеспечению безопасности, которые помогают организациям последовательно предоставлять результаты безопасности во всем технологическом активе. В модели внедрения безопасности дисциплины помогают обеспечить мост между бизнес-сценариями и технической реализацией, гарантируя, что инвестиции в безопасность преобразуются в реальные измеримые результаты в рамках модели внедрения безопасности.

Почему эта дисциплина?

Многие организации подходит к управлению безопасностью с помощью традиционных моделей управления, риска и соответствия (GRC), которые определяют приоритеты аудита и внешнего соответствия. Хотя это необходимо, эти классические подходы GRC часто не могут управлять рисками реальных инцидентов, которые приводят к нарушению работы, потере данных, затратам на восстановление и репутационным ущербу.

Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" модернизирует эту модель путем обеспечения безопасности неотъемлемой частью принятия решений и операций организации, а не автономной или реактивной функции.

Дисциплина объединяет три основных элемента:

  • Стратегия. Определяет результаты безопасности, приоритеты, компромиссы и меры успеха, согласованные с бизнес-целями, терпимостью к рискам и нормативными обязательствами.
  • Интеграция: внедряет безопасность в бизнес-стратегию, операционные модели, технологические среды, процессы управления и более широкую бизнес-экосистему.
  • Управление: поддерживает и постоянно улучшает программу безопасности с помощью четких прав принятия решений, подотчетности, измерения и надзора.

Без эффективной стратегии, интеграции и управления программами безопасности часто не хватает четкого направления и координации. Этот разрыв приводит к плохой приоритетности, несогласованному выполнению, потере и дубликату работы, увеличению частоты инцидентов и влиянию, а также повышенному риску организации.

Чтобы быть эффективным, эта дисциплина гарантирует, что "Никому не доверяй" принципы применяются последовательно во всех дисциплинах безопасности и в течение всего жизненного цикла безопасности. Вместо включения изолированных технических решений SIG сопоставляет решения, элементы управления и операции с общей моделью безопасности.

На следующей схеме показано, как дисциплина "Стратегия безопасности", "Интеграция" и "Управление" обеспечивает устойчивость системы безопасности, последовательно применяя принципы "Никому не доверяй" в дисциплинах безопасности и в течение всего жизненного цикла безопасности.

Стратегия безопасности, интеграция и управление

Миссия и результаты

Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" обеспечивает направление, интеграцию и надзор в течение всего жизненного цикла программы безопасности. Это позволяет организациям:

  • Задайте четкое видение безопасности и направление: определите результаты безопасности, приоритеты и компромиссы, согласованные с бизнес-целями, терпимостью к рискам и нормативными обязательствами. Определите общее представление о том, как выглядит хорошая безопасность для организации и как измеряется успех. Обновите это понимание по мере необходимости.
  • Интеграция безопасности в организацию: внедрение безопасности в бизнес-планирование, стратегию технологий, архитектуру, разработку, операции и партнерские экосистемы, чтобы она не рассматривалась как внеплановая или автономная функция.
  • Управление решениями по безопасности и инвестициями: создание прав принятия решений, подотчетности, политик, стандартов и мер успеха, которые управляют согласованной приоритетизацией и выполнением в группах безопасности и технологий.
  • Принимайте более взвешенные и быстрые бизнес-решения: выступайте в качестве единого центра контекста рисков безопасности, помогая руководителям находить баланс между возможностями, рисками и затратами и уверенно и безопасно говорить «да» новым инициативам.
  • Улучшение приоритета и фокус: перевод бизнес-приоритетов в действимую стратегию безопасности, политики и стандарты, чтобы команды сосредоточились на наиболее важных рисках, а не на наиболее заметных или срочных проблемах.
  • Адаптируйтесь к изменениям: непрерывно обновляйте стратегию, дорожные карты, архитектуры и управление, чтобы учитывать меняющиеся угрозы, новые технологии (включая ИИ), изменения в нормативных требованиях и меняющиеся бизнес-приоритеты.
  • Снижение влияния на инциденты: повышение согласованности, координации и подотчетности в рамках программы безопасности, снижение частоты и серьезности инцидентов и улучшение результатов восстановления.

Как применить эту дисциплину

Чтобы эффективно применять стратегию, интеграцию и управление, сосредоточьтесь на создании четкого направления, подотчетности и выравнивания между организацией:

  1. Определение стратегии безопасности, согласованной с бизнес-приоритетами и рисками
    Установить четкие цели, которые отражают цели организации, критически важные активы и наиболее значительные риски для бизнеса
  2. Создание системы управления и подотчетности между командами
    Определение ролей, обязанностей и структур принятия решений для обеспечения координации и согласованного выполнения усилий по обеспечению безопасности
  3. Настройка политик и стандартов, которые соответствуют согласованному выполнению
    Предоставьте четкие ожидания, обеспечивающие согласованное применение средств управления безопасностью и практики в организации.
  4. Выравнивание усилий по обеспечению безопасности между дисциплинами и инициативами
    Убедитесь, что архитектура, операции и инженерные усилия работают над общими результатами, а не в изоляции.
  5. Измерение хода выполнения и непрерывное улучшение
    Используйте метрики, аналитику по рискам и операционную обратную связь, чтобы отслеживать эффективность, определять приоритеты и со временем совершенствовать стратегию.

Управление организационными изменениями

Эта дисциплина помогает организациям переходить от соблюдения флажков к управлению рисками, согласованным с бизнесом, а также соблюдать нормативные обязательства.

Такая модернизация сокращает напрасные усилия, затрачиваемые на малоценные меры контроля, проясняет зоны ответственности и гарантирует, что решения по безопасности принимаются теми заинтересованными сторонами, которые обладают необходимым контекстом. Со временем это делает управление безопасностью проще, эффективнее и устойчивее.

Организации также могут избавиться от унаследованных обременений — таких как поддержание неэффективных механизмов контроля или неформальное принятие на себя ответственности за решения, принятые в других подразделениях, — и перейти к более четкой и устойчивой операционной модели.

Роли по дисциплинам и соавторы

Эта дисциплина в основном принадлежит руководству безопасности, ответственному за настройку направления, интеграцию безопасности в организацию и управление выполнением. В крупных организациях эти обязанности распределяются по формальным ролям и процессам. В небольших организациях роли могут объединяться и разрабатывать стратегию более неформальным образом. Независимо от масштаба настоятельно рекомендуется документировать стратегию по мере её развития.

Основные роли обычно включают:

  • Главный директор по информационной безопасности (CISO)
  • Сотрудники по безопасности бизнес-информации (BISO)
  • Директора по безопасности
  • Архитекторы безопасности

Эти роли поддерживаются такими функциями, как стратегия безопасности, интеграция и управление, образование и участие, управление внутренними рисками, управление безопасностью и управление соответствием безопасности.

Эффективная доставка зависит от тесной совместной работы в организации:

  • Бизнес-лидеры предоставляют контекст по приоритетам и терпимости к рискам.
  • Технические лидеры интегрируют безопасность в технологические стратегии и операционные модели.
  • Архитектурные роли преобразуют стратегию в стандарты и ограничения и дают обратную связь по реализуемости.
  • Инженерные и ИТ-команды реализуют требования посредством внедрения и сопровождения.
  • Операции безопасности (SecOps) обеспечивают непрерывную обратную связь от инцидентов, угроз и поведения злоумышленников для информирования стратегии и управления.

Компоненты дисциплины

Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" включает широкий набор возможностей, которые вместе обеспечивают согласованные и измеримые результаты безопасности.

Функциональность Сведения
Непрерывная приоритетность Постоянно расставляйте приоритеты для следующих требований:

- Согласование с бизнес-целями: убедитесь, что безопасность способствует бизнесу. Запустите бизнес-изменения, необходимые для обеспечения безопасности.
- Выравнивание технологий: выравнивайте оценку рисков безопасности и управление ими с помощью организационных технологий.
- Безопасность, заложенная в проектирование и используемая по умолчанию: Обеспечьте, чтобы безопасность была неотъемлемым аспектом проектирования всех систем и процессов.
- Обеспечение конфиденциальности по умолчанию: убедитесь, что конфиденциальность является неотъемлемой частью всей системы и проектирования процессов.
- Соответствие требованиям по проектированию и умолчанию. Убедитесь, что соответствие является неотъемлемой частью всей системы и проектирования процессов.
Непрерывное планирование Поддерживайте четко определенные, регулярно обновляемые планы развития безопасности и метрики успеха.
Интеграция с операционной моделью бизнес-технологий Встраивайте безопасность на этапах выработки идей, определения бизнес-требований, проектирования, разработки и эксплуатации, а не применяйте меры контроля только после развертывания.
Интеграция корпоративных рисков Интегрируйте безопасность в то, как риск определяется, управляется и сообщается руководству, регуляторам и заинтересованным лицам.
Управление жизненным циклом и техническим долгом Управляйте рисками безопасности, связанными с устаревшими, неподдерживаемыми и унаследованными технологиями.
Стратегические имитации безопасности Укрепляйте процессы настольных учений и кризисного управления с помощью регулярных симуляций.
Основные компоненты управления Определите организационную структуру, полномочия по принятию решений, распределение ответственности, политики, стандарты, архитектуры, ограничения и управление соответствием.
Общий доступ к аналитике безопасности Добавьте бизнес-контекст в аналитику угроз и поделитесь аналитическими сведениями в группах безопасности, бизнеса и технологий.
Управление внешними рисками Управление цепочкой поставок, партнером, открытым исходным кодом и рисками слияния и приобретения.
Образование и участие Убедитесь, что роли в организации понимают, почему важно обеспечить безопасность, что необходимо, и как действовать.
Управление внутренними рисками Управление рисками от авторизованных пользователей, которые могут намеренно или непреднамеренно причинить вред.
Надзор за операциями безопасности Осуществлять контроль за управлением уровнем защищённости, операциями и архитектурой, а также оценивать, насколько эффективно внедрены и поддерживаются меры контроля.

Выравнивание с другими дисциплинами

Дисциплина "Стратегия безопасности", "Интеграция" и "Управление" работает во всех других дисциплинах безопасности. Ее роль заключается не в том, чтобы заменить или дублировать свои обязанности, а обеспечить надзор, который позволяет, интегрирует, определяет приоритеты и отслеживает согласованные результаты в рамках программы безопасности.

Discipline Роль
Сквозная архитектура безопасности Преобразует стратегию и политику в согласованный технический подход. Это помогает обеспечить, чтобы стратегия была эффективной, приоритетной и четко переданной группам технологий.
Дисциплины технической стратегии Гарантирует, что технические решения соответствуют бизнес-приоритетам, допустимому уровню риска и политикам компании, при этом компромиссы принимаются осознанно, а не в отрыве от общего контекста.
Операционные дисциплины Подключает операционные сигналы — инциденты, обнаружения, поведение злоумышленников — обратно к решениям руководства, что позволяет непрерывно улучшать стратегию и элементы управления.

Соответствие технологическим направлениям

На уровне технологии дисциплина "Стратегия безопасности", "Интеграция и управление" гарантирует следующее:

  • Элементы управления соответствуют стратегии организации, политике и стандартам.
  • Реализация остается неизменной с течением времени и не отклоняется.
  • Непрерывное улучшение зависит от стратегии, интеграции и управления.

Он соответствует следующим технологическим основам:

  • Identities: определяет приоритеты риска идентификации, политики доступа (включая привилегированный доступ), стандарты жизненного цикла и меры успешности, согласованные с "Никому не доверяй".
  • Конечные точки и инфраструктура: задает требования жизненного цикла, обслуживания и выхода на пенсию для управления рисками безопасности на конечных точках и платформах инфраструктуры.
  • Приложения: устанавливает согласованные стандарты обеспечения, разработки, развертывания и жизненного цикла в SaaS и пользовательских приложениях.
  • Данные: определяет приоритеты защиты данных, классификацию, модели доступа и управление, согласованные с бизнес-ценностью и рисками.
  • Сеть: Обеспечивает, чтобы сетевые конфигурации и средства контроля поддерживали стратегии, ориентированные на идентификацию, при одновременном управлении рисками как устаревших, так и современных сетей.
  • ИИ: обновляет стратегию безопасности, навыки, инструменты и управление для решения рисков, введенных с помощью ИИ и угроз СИ.

Дальнейшие действия

Мы рекомендуем принять семинар CISO.

Семинар CISO помогает ускорить модернизацию стратегии безопасности, интеграции и управления. Этот семинар доступен в рамках Microsoft Unified как услуга, проводимая экспертами.

Доступные семинары:

  • Брифинг для CISO — обсуждение продолжительностью менее четырех часов, посвященное ключевым выводам и лучшим практикам.
  • Полный семинар для CISO — двухдневный семинар, включающий дополнительные сведения, пример из практики Microsoft, обсуждения моделей зрелости и типовые планы модернизации.

Обратитесь к менеджеру по сопровождению клиентов для получения дополнительной информации.

Семинар CISO также доступен для самообслуживания в виде серии видео. Дополнительные сведения