Planifier votre préparation à la sécurité
- 10 minutes
Faites en sorte que la sécurité fasse partie de votre conception et de vos opérations avec un minimum de soucis. |
|---|
En tant que propriétaire de charge de travail, vous partagez la responsabilité de protéger les ressources avec votre organisation. Vous devez créer un plan de préparation à la sécurité qui s’aligne sur les priorités de l’entreprise et mène à des processus clairs, à des investissements appropriés et à des responsabilités définies. Le plan doit inclure les exigences et les facteurs de charge de travail dans votre stratégie pour la fiabilité, la modélisation de l’intégrité et la conservation automatique.
Vous devez protéger les ressources organisationnelles et la charge de travail elle-même contre les attaques à l’aide des principes de Confiance Zéro et du Triad de la CIA.
Ne laissez pas les exigences fonctionnelles et non fonctionnelles, les contraintes budgétaires et d’autres considérations limitent les investissements de sécurité. Ingénieur et planifier les investissements en matière de sécurité avec ces contraintes et restrictions à l’esprit.
Exemple de scénario
Contoso Supermarché souhaite créer un programme de fidélité client à l’aide de Near Field Communication (NFC) sur les téléphones clients pour l’auto-caisse et la caisse assistée. Les clients peuvent s’inscrire automatiquement aux kiosques du magasin. La solution de traitement back-end sera hébergée dans le cloud, mais la conception n’est pas encore finalisée.
Optimiser la sécurité via la segmentation
Utilisez la segmentation pour planifier les limites de sécurité dans l’environnement de charge de travail, les processus et la structure d’équipe pour isoler l’accès et la fonction.
Basez votre stratégie de segmentation sur les besoins de l’entreprise, comme l’importance des composants, la division du travail, les préoccupations relatives à la confidentialité et d’autres facteurs.
Pour réduire les frictions opérationnelles, définissez clairement les rôles et la responsabilité. Cet exercice vous aide à identifier le niveau d’accès pour chaque rôle, en particulier pour les comptes importants.
L’isolation limite l’exposition des flux sensibles aux seuls rôles et ressources qui ont besoin d’un accès. Trop d’exposition peut entraîner des fuites d’informations.
Problématique de Contoso
À des fins de simplicité, l’équipe a historiquement favorisé les approches à faible coût. Ces approches incluent les composants de regroupement et l’organisation des individus en groupes de sécurité afin de simplifier la gestion des accès.
Un stagiaire a eu un accès large en raison de leur appartenance au groupe de sécurité. Malheureusement, leur compte a été compromis dans une attaque d’ingénierie sociale.
Cette attaque a compromis la confidentialité de ce déploiement et de tous les autres déploiements sur la même plateforme d’application.
Application de l’approche et résultats
Heureusement, l’environnement compromis n’était qu’un prototype de test précoce pour le nouveau programme de fidélité des clients, donc aucun système de production n’a été affecté.
L’équipe de sécurité prévoit d’investir du temps et de l’argent pour isoler les composants qui gèrent les données personnelles, telles que les adresses et les e-mails, des composants qui ne le font pas, comme les coupons. Ils concevoiront des contrôles d’accès qui sont nécessaires au savoir et au juste-à-temps (JIT) le cas échéant, et isoleront les réseaux au sein de la charge de travail et revient à Contoso pour protéger l’organisation.
La segmentation permet de contenir l’impact d’une compromission.
Répondre efficacement aux incidents
Vérifiez qu’il existe un plan de réponse aux incidents pour votre charge de travail. Utilisez des infrastructures industrielles qui définissent la procédure d’exploitation standard pour la préparation, la détection, l’endiguement, l’atténuation des risques et l’activité post-incident.
Pendant une crise, évitez toute confusion en ayant un plan clair de réponse aux incidents de sécurité. Les rôles responsables peuvent se concentrer sur l’exécution sans perdre de temps sur les actions incertaines. Un plan complet vous aide à répondre aux exigences de correction.
Problématique de Contoso
L’équipe de charge de travail configure les canaux de support des détaillants, les canaux de support client et les rotations techniques sur appel pour la prise en charge des escalades et des pannes.
Ils n’ont pas traité la sécurité spécifiquement et ne savent pas ce qu’offre Contoso pour la prise en charge.
Application de l’approche et résultats
L’équipe de charge de travail travaille avec l’équipe de sécurité Contoso pour comprendre les exigences de conformité pour la gestion des données personnelles du point de vue de l’organisation et de la conformité externe.
L’équipe crée un plan de détection, d’atténuation et d’escalade de sécurité, y compris la communication pour les incidents.
L’équipe se sent maintenant aussi à l’aise avec la préparation des incidents de sécurité qu’avec leur soutien en matière de fiabilité. Ils prévoient de pratiquer la gestion des incidents avant qu’ils ne soient en vie.
Codifier des opérations et des pratiques de développement sécurisées
Définissez des normes de sécurité claires au niveau de l’équipe pour le cycle de vie et les opérations de votre charge de travail, notamment la façon d’écrire du code, d’approuver les modifications, les mises à jour de mise en production et de gérer les données.
Avoir des habitudes de sécurité robustes permet d’éviter les erreurs et de maintenir les choses en douceur. Lorsque tout le monde suit la même approche, il est plus facile de suivre et de travailler efficacement.
Au fil du temps, le respect de ces normes vous aide à repérer les moyens d’améliorer et peut-être même d’automatiser les étapes pour gagner du temps et améliorer la cohérence.
Problématique de Contoso
Après avoir été prête à gérer les incidents, l’équipe s’est rendue compte qu’elle a besoin d’investir dans la prévention des problèmes avant qu’elle ne se produise.
Ils n’ont pas encore de processus de développement sécurisé spécifique. Ils prévoient de réutiliser les processus qu’ils ont utilisés sur des projets passés.
Application de l’approche et résultats
Cette charge de travail ne stocke pas de données hautement sensibles telles que les informations de carte de crédit, mais l’équipe traite toujours les données de leurs clients avec soin. Ils connaissent les réglementations locales et fédérales qui doivent être suivies pour les types de données qu’ils stockent.
L’équipe investit dans l’apprentissage des pratiques actuelles de développement et d’exploitation sécurisés standard et commence à utiliser des mesures qu’elles n’avaient pas utilisées auparavant.
L’équipe partage également ses connaissances avec l’équipe de sécurité Contoso afin que tous les membres de l’entreprise puissent bénéficier des améliorations.