Compartilhar via

Equipes de segurança, papéis e funções

Este artigo descreve as funções de segurança e as funções necessárias para a infraestrutura e as plataformas de nuvem. Use essas funções para integrar a segurança em cada estágio do ciclo de vida da nuvem, desde desenvolvimento até operações e melhoria contínua.

Diagrama mostrando as metodologias envolvidas na adoção da nuvem. O diagrama tem caixas para cada fase: equipes e funções, estratégia, plano, preparar, adotar, governar e gerenciar. O quadro deste artigo é destacado.

O tamanho da organização determina como você aloca pessoal para esses cargos. As grandes empresas geralmente têm equipes especializadas para cada função. Organizações menores geralmente consolidam várias funções em menos funções. Plataformas e serviços técnicos também influenciam responsabilidades de segurança específicas.

As equipes de tecnologia e nuvem executam algumas tarefas de segurança diretamente. As equipes de segurança especializadas executam outras tarefas em colaboração com as equipes de tecnologia. Independentemente da estrutura da organização, os stakeholders devem entender o trabalho de segurança necessário. Todas as equipes devem entender os requisitos de negócios e a tolerância a riscos para tomar decisões informadas sobre serviços de nuvem. Use estas diretrizes para entender as funções de equipes e funções específicas e como elas interagem para fornecer cobertura abrangente de segurança na nuvem.

Transformação de funções de segurança

As funções de arquitetura, engenharia e operações de segurança estão passando por uma mudança substancial à medida que as organizações adotam plataformas de nuvem e práticas modernas de desenvolvimento. Essa transformação afeta como o trabalho de segurança é executado, como as equipes colaboram e como as responsabilidades são distribuídas entre funções técnicas. Vários fatores estão impulsionando essa alteração:

  • Mude para ferramentas de segurança nativas de nuvem e baseadas em SaaS. A adoção de plataformas SaaS altera o foco das equipes de segurança da implementação para a governança. As equipes de segurança fornecem as políticas, os padrões e as linhas de base de configuração. Eles não configuram os serviços SaaS diretamente. As equipes que possuem o aplicativo SaaS aplicam essas diretrizes às ferramentas específicas. Essa separação garante que os requisitos de segurança sejam atendidos, permitindo que as equipes de aplicativos gerenciem as configurações operacionais de seus serviços.

  • Segurança como uma responsabilidade compartilhada entre as equipes de engenharia. Todas as equipes técnicas agora são responsáveis diretamente pela aplicação de controles de segurança às cargas de trabalho e aos serviços que eles criam ou operam. As equipes de segurança fornecem padrões, diretrizes, automação e guardrails que tornam a implementação segura o padrão e reduzem o atrito nos processos de entrega.

  • Requisitos mais amplos de habilidades entre tecnologias. As equipes de segurança precisam entender cada vez mais uma ampla gama de tecnologias e como os invasores se movem entre sistemas. Como as plataformas de nuvem integram camadas de identidade, rede, computação, aplicativo e operações, os profissionais de segurança devem avaliar caminhos de ataque de ponta a ponta em vez de se concentrar em domínios técnicos estreitos.

  • Alteração contínua em plataformas de nuvem e recursos de segurança. Os serviços de nuvem evoluem rapidamente e novos recursos aparecem com frequência. Os processos de segurança devem se adaptar continuamente para permanecerem eficazes, exigindo maior agilidade das funções de arquitetura, engenharia e operações.

  • Maior dependência em princípios de Zero Trust. Os invasores modernos ignoram rotineiramente controles de perímetro de rede, tornando a identidade, a integridade do dispositivo, o contexto do aplicativo e a telemetria central para decisões de segurança. As funções entre engenharia, operações e segurança devem incorporar o pensamento de Confiança Zero em atividades de design, configuração e monitoramento.

  • Integração de segurança ao DevOps e às práticas de engenharia de plataforma. Os ciclos de versões aceleradas exigem que as atividades de segurança se desloquem para etapas mais iniciais do ciclo de vida e operem por meio da automação. As funções de segurança colaboram cada vez mais com equipes de engenharia e plataforma para inserir verificações de segurança, imposição de política e validação em fluxos de trabalho de CI/CD e processos operacionais.

Essas alterações remodelam a forma como as funções existentes funcionam juntas em vez de criar novas funções. O objetivo é garantir que a segurança se torne uma parte integrada e contínua de como os serviços de nuvem são projetados, criados, implantados e operados.

Visão geral de funções e equipes

As seções a seguir descrevem as equipes e as funções que normalmente executam as principais funções de segurança na nuvem. Use essas descrições para mapear sua estrutura organizacional atual para funções de segurança de nuvem padrão. Identifique lacunas na cobertura e determine onde investir recursos. Certifique-se de que todos os stakeholders entendam suas responsabilidades de segurança e como colaborar com outras equipes. Documente processos de segurança entre equipes e um modelo de responsabilidade compartilhada para equipes técnicas. Um modelo de responsabilidade compartilhada opera como uma matriz RACI (Responsável, Aprovador, Consultado e Informado). Ele define os requisitos de autoridade de tomada de decisão e colaboração para resultados específicos. Esta documentação impede lacunas de cobertura e esforços sobrepostos. Também impede antipadrões comuns, como a seleção de soluções de autenticação ou criptografia fracas. Se você for uma organização menor e quiser começar a usar uma equipe de segurança mínima viável, consulte a equipe de segurança viável mínima para pequenas organizações. As principais funções de segurança incluem:

Provedor de serviços de nuvem

Os provedores de serviços em nuvem são efetivamente membros da equipe virtual que fornecem funções e recursos de segurança para a plataforma de nuvem subjacente. Alguns provedores de nuvem também fornecem recursos e capacidades de segurança que suas equipes podem usar para gerenciar sua postura e incidentes de segurança. Para obter mais informações sobre o desempenho dos provedores de serviços de nuvem, consulte o modelo de responsabilidade compartilhada na nuvem.

Muitos provedores de serviços de nuvem fornecem informações sobre suas práticas e controles de segurança mediante solicitação ou por meio de um portal como o portal de confiança do serviço da Microsoft.

Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)

As equipes de arquitetura, engenharia e operações de infraestrutura/plataforma implementam e integram controles de segurança, privacidade e conformidade na nuvem em toda a infraestrutura de nuvem e ambientes de plataforma (entre servidores, contêineres, rede, identidade e outros componentes técnicos).

As funções de engenharia e operações podem se concentrar principalmente em sistemas de nuvem ou integração contínua e implantação contínua (CI/CD), ou podem trabalhar em uma gama completa de nuvem, CI/CD, local e outras infraestruturas e plataformas.

Essas equipes são responsáveis por atender a todos os requisitos de disponibilidade, escalabilidade, segurança, privacidade e outros requisitos para os serviços de nuvem da organização que hospedam cargas de trabalho de negócios. Eles trabalham em colaboração com especialistas em segurança, risco, conformidade e privacidade para gerar resultados que combinem e equilibrem todos esses requisitos.

Equipes de arquitetura de segurança, engenharia e gerenciamento de postura

As equipes de segurança trabalham com funções de infraestrutura e plataforma (e outras) para ajudar a traduzir estratégias, políticas e padrões de segurança em arquiteturas, soluções e padrões de design acionáveis. Essas equipes se concentram em habilitar o sucesso de segurança das equipes de nuvem. Eles avaliam e influenciam a segurança da infraestrutura e os processos e ferramentas usados para gerenciá-la. A seguir estão algumas das tarefas comuns executadas pelas equipes de segurança para a infraestrutura:

  • Arquitetos e engenheiros de segurança adaptam políticas, padrões e diretrizes de segurança para ambientes de nuvem para projetar e implementar controles em parceria com seus equivalentes de infraestrutura/plataforma. Arquitetos e engenheiros de segurança auxiliam em uma ampla gama de elementos, incluindo:

    • Clientes/assinaturas.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura e arquitetos de acesso (identidade, redes, aplicativos e outros) para ajudar a estabelecer configurações de segurança para clientes de nuvem, assinaturas e contas em provedores de nuvem, monitoradas pelas equipes de gerenciamento de postura de segurança.

    • Gerenciamento de identidade e acesso (IAM).Os arquitetos de acesso (identidade, rede, aplicativo e outros) colaboram com engenheiros de identidade e operações e equipes de infraestrutura/plataforma para projetar, implementar e operar soluções de gerenciamento de acesso. Essas soluções protegem contra o uso não autorizado dos ativos de negócios da organização, permitindo que usuários autorizados sigam os processos de negócios para acessar os recursos organizacionais com facilidade e segurança. Essas equipes trabalham em soluções como diretórios de identidade e soluções de SSO (logon único), MFA (autenticação multifator e sem senha), soluções de Acesso Condicional baseadas em risco, identidades de carga de trabalho, PIM/PAM (gerenciamento de identidade/acesso privilegiado), CIEM (infraestrutura de nuvem e gerenciamento de direitos) e muito mais. Essas equipes também colaboram com engenheiros e operações de rede para projetar, implementar e operar soluções de borda de serviço de segurança (SSE). As equipes de carga de trabalho podem aproveitar esses recursos para fornecer acesso contínuo e mais seguro a componentes individuais de carga de trabalho e aplicativos.

    • Segurança de dados.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de dados e IA para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de dados para todos os dados e recursos avançados que podem ser usados para classificar e proteger dados em cargas de trabalho individuais. Para obter mais informações sobre segurança de dados básica, consulte o parâmetro de comparação de proteção de dados de segurança da Microsoft. Para obter mais informações sobre como proteger dados em cargas de trabalho individuais, consulte as diretrizes do Well-Architected Framework.

    • Segurança de rede.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de rede para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de rede, como conectividade com a nuvem (linhas privadas/alugadas), estratégias e soluções de acesso remoto, firewalls de entrada e saída, firewalls de aplicativos da Web (WAFs) e segmentação de rede. Essas equipes também colaboram com arquitetos de identidade, engenheiros e operações para projetar, implementar e operar soluções SSE. As equipes de carga de trabalho podem aproveitar esses recursos para fornecer proteção discreta ou isolamento de componentes individuais de carga de trabalho e aplicativos.

    • Segurança de servidores e contêineres.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança básicos para servidores, máquinas virtuais (VMs), contêineres, orquestração/gerenciamento, CI/CD e sistemas relacionados. Essas equipes estabelecem processos de descoberta e inventário, configurações de linha de base de segurança, processos de manutenção e aplicação de patches, listagem de permissão para binários executáveis, imagens modelo, processos de gerenciamento e muito mais. As equipes de carga de trabalho também podem aproveitar esses recursos básicos de infraestrutura para fornecer segurança para servidores e contêineres para carga de trabalho individual e componentes de aplicativos.

    • Fundamentos de segurança de software (para segurança de aplicativos e DevSecOps).Arquitetos e engenheiros de segurança colaboram com engenheiros de segurança de software para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança de aplicativos que podem ser usados por cargas de trabalho individuais, verificação de código, ferramentas de lista de materiais de software (SBOM), WAFs e verificação de aplicativos. Consulte Controles de DevSecOps para obter mais informações sobre como estabelecer um SDL (ciclo de vida de desenvolvimento de segurança). Para obter mais informações sobre como as equipes de carga de trabalho usam esses recursos, consulte as diretrizes do ciclo de vida de desenvolvimento de segurança no Well-Architected Framework.

  • Os engenheiros de segurança de software avaliam códigos, scripts e outras lógicas automatizadas usadas para gerenciar a infraestrutura, incluindo infraestrutura como código (IaC), fluxos de trabalho de CI/CD e quaisquer outras ferramentas ou aplicativos personalizados. Esses engenheiros devem estar envolvidos para proteger o código formal em aplicativos compilados, scripts, configurações de plataformas de automação. Eles revisam qualquer outra forma de código executável ou script que possa permitir que os invasores manipulem a operação do sistema. Essa avaliação pode envolver simplesmente a execução de uma análise do modelo de ameaça de um sistema ou pode envolver revisão de código e ferramentas de verificação de segurança. Consulte as diretrizes de práticas do SDL para obter mais informações sobre como estabelecer um SDL.

  • O gerenciamento de postura (gerenciamento de vulnerabilidades / gerenciamento de superfície de ataque) é a equipe de segurança operacional que se concentra na habilitação de segurança para equipes de operações técnicas. O gerenciamento de postura ajuda essas equipes a priorizar e implementar controles para bloquear ou mitigar técnicas de ataque. As equipes de gerenciamento de postura trabalham em todas as equipes de operações técnicas (incluindo equipes de nuvem) e geralmente servem como seu principal meio de entender os requisitos de segurança, os requisitos de conformidade e os processos de governança.

    O gerenciamento de postura geralmente serve como um CoE (centro de excelência) para equipes de infraestrutura de segurança, semelhante à maneira como os engenheiros de software geralmente servem como um CoE de segurança para equipes de desenvolvimento de aplicativos. As tarefas típicas para essas equipes incluem o seguinte.

    • Monitorar a postura de segurança. Monitore todos os sistemas técnicos usando ferramentas de gerenciamento de postura, como o Microsoft Security Exposure Management, o Microsoft Entra Permissions Management, ferramentas de vulnerabilidade que não são da Microsoft, EASM (Gerenciamento de Superfície de Ataque Externo) e ferramentas de CIEM, além de ferramentas e painéis de postura de segurança personalizados. Além disso, o gerenciamento de postura executa a análise para fornecer insights:

      • Antecipando caminhos de ataque altamente prováveis e prejudiciais. Os invasores "pensam em grafos" e buscam caminhos para sistemas comercialmente críticos encadeando vários ativos e vulnerabilidades em diferentes sistemas. Por exemplo, comprometendo os endpoints dos usuários e então usando o hash/tíquete para capturar uma credencial de administrador e acessar dados críticos para o negócio. As equipes de gerenciamento de postura trabalham com arquitetos e engenheiros de segurança para descobrir e mitigar esses riscos ocultos, que nem sempre aparecem em listas e relatórios técnicos.

      • Realização de avaliações de segurança para revisar as configurações do sistema e os processos operacionais para obter uma compreensão e insights mais profundos além dos dados técnicos das ferramentas de postura de segurança. Essas avaliações podem assumir a forma de conversas informais de descoberta ou exercícios formais de modelagem de ameaças.

    • Auxiliar na priorização. Ajude as equipes técnicas a monitorar proativamente seus ativos e priorizar o trabalho de segurança. O gerenciamento de postura ajuda a contextualizar o trabalho de mitigação de riscos, considerando o impacto do risco de segurança (informado pela experiência, relatórios de incidentes de operações de segurança e outras informações de ameaças, inteligência de negócios e outras fontes), além dos requisitos de conformidade de segurança.

    • Treine, oriente e defenda. Aumentar o conhecimento e as habilidades de segurança das equipes de engenharia técnica por meio de treinamento, orientação de indivíduos e transferência informal de conhecimento. As funções de gerenciamento de postura também podem trabalhar com funções de preparação organizacional/treinamento e educação de segurança e engajamento no treinamento formal de segurança e na configuração de segurança dentro de equipes técnicas que evangelizam e educam seus pares sobre segurança.

    • Identifique lacunas e defenda correções. Identifique tendências gerais, lacunas de processo, lacunas de ferramentas e outros insights sobre riscos e mitigações. As funções de gerenciamento de postura colaboram e se comunicam com arquitetos e engenheiros de segurança para desenvolver soluções, criar um caso para o financiamento de soluções e ajudar na implantação de correções.

    • Coordenada com operações de segurança (SecOps). Ajude as equipes técnicas a trabalhar com funções de SecOps, como engenharia de detecção e equipes de busca de ameaças. Essa continuidade em todas as funções operacionais ajuda a garantir que as detecções estejam em vigor e implementadas corretamente, que os dados de segurança estejam disponíveis para investigação de incidentes e busca de ameaças, que os processos estejam em vigor para colaboração e muito mais.

    • Forneça relatórios. Forneça relatórios oportunos e precisos sobre incidentes de segurança, tendências e métricas de desempenho para a alta administração e as partes interessadas para atualizar os processos de risco organizacional.

    As equipes de gerenciamento de postura geralmente evoluem de funções de gerenciamento de vulnerabilidades de software existentes para lidar com o conjunto completo de tipos de vulnerabilidades funcionais, de configuração e operacionais descritos no Modelo de Referência de Confiança Zero do Grupo Aberto. Cada tipo de vulnerabilidade pode permitir que usuários não autorizados (incluindo invasores) assumam o controle de software ou sistemas, permitindo que causem danos aos ativos de negócios.

    • Vulnerabilidades funcionais ocorrem no design ou implementação de software. Eles podem permitir o controle não autorizado do software afetado. Essas vulnerabilidades podem ser falhas no software que suas próprias equipes desenvolveram ou falhas no software comercial ou de código aberto (normalmente rastreado por um identificador de Vulnerabilidades e Exposições Comuns).

    • Vulnerabilidades de configuração são configurações incorretas de sistemas que permitem acesso não autorizado à funcionalidade do sistema. Essas vulnerabilidades podem ser introduzidas durante operações em andamento, também conhecidas como descompasso de configuração. Eles também podem ser introduzidos durante a implantação e configuração inicial de software e sistemas, ou por padrões de segurança fracos de um fornecedor. Alguns exemplos comuns incluem:

      • Objetos órfãos que permitem acesso não autorizado a itens como registros DNS e associação a grupos.

      • Funções administrativas excessivas ou permissões para recursos.

      • Uso de um protocolo de autenticação ou algoritmo criptográfico mais fraco que tenha problemas de segurança conhecidos.

      • Configurações padrão fracas ou senhas padrão.

    • Vulnerabilidades operacionais são pontos fracos nos processos e práticas operacionais padrão que permitem acesso ou controle não autorizado de sistemas. Os exemplos incluem:

      • Administradores que usam contas compartilhadas em vez de suas próprias contas individuais para executar tarefas privilegiadas.

      • Uso de configurações "browse-up" que criam caminhos de elevação de privilégio passíveis de exploração por invasores. Essa vulnerabilidade ocorre quando contas administrativas com altos privilégios entram em dispositivos e estações de trabalho de usuários de baixa confiança (como estações de trabalho de usuário padrão e dispositivos de propriedade do usuário), às vezes por meio de servidores de salto que não reduzem efetivamente esses riscos. Para obter mais informações, consulte proteção do acesso privilegiado e dispositivos de acesso privilegiado.

Operações de segurança (SecOps/SOC)

A equipe de SecOps às vezes é chamada de Centro de Operações de Segurança (SOC). A equipe de SecOps se concentra em encontrar e remover rapidamente o acesso do adversário aos ativos da organização. Eles trabalham em estreita parceria com equipes de tecnologia, operações e engenharia. As funções de SecOps podem funcionar em todas as tecnologias da organização, incluindo TI tradicional, tecnologia operacional (OT) e Internet das Coisas (IoT). A seguir estão as funções de SecOps que interagem com mais frequência com as equipes de nuvem:

  • Analistas de triagem (nível 1). Responde a detecções de incidentes para técnicas de ataque bem conhecidas e segue procedimentos documentados para resolvê-los rapidamente (ou encaminhá-los para analistas de investigação, conforme apropriado). Dependendo do escopo e do nível de maturidade do SecOps, isso pode incluir detecções e alertas de email, soluções antimalware de ponto de extremidade, serviços de nuvem, detecções de rede ou outros sistemas técnicos.

  • Analistas de investigação (nível 2). Responde a investigações de incidentes de maior complexidade e gravidade que exigem mais experiência e conhecimento (além de procedimentos de resolução bem documentados). Essa equipe normalmente investiga ataques conduzidos por adversários humanos vivos e ataques que afetam vários sistemas. Trabalha em estreita parceria com as equipes de tecnologia, operações e engenharia para investigar incidentes e resolvê-los.

  • Busca de ameaças Procura proativamente ameaças ocultas dentro do patrimônio técnico que escaparam dos mecanismos de detecção padrão. Essa função usa análises avançadas e investigações orientadas por hipóteses.

  • Inteligência contra ameaças. Reúne e divulga informações sobre invasores e ameaças para todas as partes interessadas, incluindo negócios, tecnologia e segurança. As equipes de inteligência de ameaças realizam pesquisas, compartilham suas descobertas (formal ou informalmente) e as disseminam para várias partes interessadas, incluindo a equipe de segurança na nuvem. Esse contexto de segurança ajuda essas equipes a tornar os serviços de nuvem mais resilientes a ataques porque estão usando informações de ataque do mundo real no design, implementação, teste e operação, e melhorando continuamente.

  • Engenharia de detecção. Cria detecções de ataques personalizadas e personaliza as detecções de ataques fornecidas por fornecedores e pela comunidade em geral. Essas detecções de ataque personalizado complementam as detecções fornecidas pelo fornecedor para ataques comuns que geralmente são encontrados em ferramentas XDR (detecção e resposta estendidas) e algumas ferramentas de SIEM (gerenciamento de eventos e informações de segurança). Os engenheiros de detecção trabalham com as equipes de segurança na nuvem para identificar oportunidades de projetar e implementar detecções, os dados necessários para apoiá-las e os procedimentos de resposta/recuperação para as detecções.

Governança, risco e conformidade de segurança

Governança de Segurança, Risco e Conformidade (GRC) é um conjunto de disciplinas inter-relacionadas que integram o trabalho técnico das equipes de segurança com as metas e expectativas organizacionais. Essas funções e equipes podem ser um híbrido de duas ou mais disciplinas ou podem ser funções distintas. As equipes de nuvem interagem com cada uma dessas disciplinas ao longo do ciclo de vida da tecnologia de nuvem:

  • A disciplina de governança é uma funcionalidade fundamental. As equipes de governança se concentram em garantir que a organização implemente consistentemente todos os aspectos da segurança. Eles estabelecem direitos de decisão (quem toma quais decisões) e estruturas de processo que conectam e orientam as equipes. Sem governança eficaz, uma organização com todos os controles, políticas e tecnologia certos ainda pode ser vítima de invasores que exploram áreas onde as defesas pretendidas não são implementadas bem, totalmente ou em tudo.

  • A disciplina de gerenciamento de riscos concentra-se na avaliação, compreensão e mitigação do risco organizacional. As equipes de gerenciamento de riscos trabalham em toda a organização para criar uma representação clara do risco atual e mantê-lo atualizado. As equipes de nuvem e risco devem colaborar para avaliar e gerenciar riscos de serviços comerciais críticos hospedados em plataformas e infraestrutura de nuvem. A segurança da cadeia de suprimentos aborda os riscos de fornecedores externos, componentes de software livre e parceiros.

  • A disciplina de conformidade garante que os sistemas e processos estejam em conformidade com os requisitos regulatórios e as políticas internas. Sem essa disciplina, a organização pode estar exposta a riscos relacionados ao não cumprimento de obrigações externas (multas, responsabilidade, perda de receita por incapacidade de operar em alguns mercados e muito mais). Os requisitos de conformidade normalmente não conseguem acompanhar a velocidade da evolução do invasor, mas são uma fonte importante de requisitos.

Todas essas três disciplinas operam em todas as tecnologias e sistemas para impulsionar os resultados organizacionais em todas as equipes. Todos os três também dependem do contexto que obtêm uns dos outros e se beneficiam significativamente dos dados atuais de alta fidelidade sobre ameaças, negócios e ambiente de tecnologia. Essas disciplinas também dependem da arquitetura para expressar uma visão acionável que pode ser implementada e da educação e política de segurança para estabelecer regras e orientar as equipes nas muitas decisões diárias.

As equipes de engenharia e operação de nuvem podem trabalhar com funções de gerenciamento de postura, equipes de conformidade e auditoria, arquitetura e engenharia de segurança ou funções de CISO (diretor de segurança da informação) em tópicos de GRC.

Educação, conscientização e política de segurança

As organizações devem garantir que todas as funções tenham conhecimento, diretrizes e confiança para aplicar a segurança efetivamente em seu trabalho diário. A educação e a conscientização geralmente são os links mais fracos na postura de segurança de uma organização, portanto, eles devem ser contínuos, com reconhecimento de função e inseridos em operações normais em vez de tratadas como eventos de treinamento únicos.

Um programa forte inclui educação estruturada, mentoria informal e campeões de segurança designados dentro de equipes técnicas. O treinamento deve abranger reconhecimento de phishing, higiene de identidade, práticas de configuração seguras e uma mentalidade de desenvolvimento segura para funções de engenharia. Esses esforços reforçam uma cultura de segurança em que os indivíduos entendem claramente por que a segurança importa, quais ações são esperadas deles e como executar essas ações corretamente.

A educação e a política de segurança devem ajudar cada função a entender:

  • Por que. Por que a segurança é importante no contexto de suas responsabilidades e metas. Sem esse entendimento, os indivíduos despriorizam a segurança e se concentram em outras tarefas.
  • O que. Quais tarefas e expectativas de segurança específicas se aplicam a elas, descritas na linguagem alinhada com sua função. Sem clareza, as pessoas assumem que a segurança não é relevante para elas.
  • Como. Como executar corretamente as tarefas de segurança necessárias, como aplicação de patch de sistemas, revisão de código com segurança, conclusão de um modelo de ameaça ou identificação de tentativas de phishing. Sem orientação prática, as pessoas falham mesmo quando estão dispostas.

Equipe de segurança viável mínima para pequenas organizações

As pequenas organizações geralmente não têm recursos para dedicar indivíduos a funções de segurança específicas. Nesses ambientes, abrangem responsabilidades essenciais com funções mínimas. Combine as responsabilidades de engenharia e segurança da plataforma de nuvem em uma única função que gerencia a configuração segura, a higiene da identidade, o monitoramento e a resposta básica a incidentes. Tarefas de terceirização que exigem conhecimento especializado ou cobertura contínua, como otimização de detecção de ameaças, testes de penetração ou revisões de conformidade, para provedores de segurança gerenciados. Use ferramentas nativas de nuvem, como gerenciamento de postura, proteção de identidade, linhas de base de configuração e imposição de política automatizada para manter um nível de segurança consistente sem grandes equipes e reduzir a sobrecarga operacional.

Cenário de exemplo: interoperabilidade típica entre equipes

Quando uma organização implanta e operacionaliza um firewall de aplicativo Web, várias equipes de segurança devem colaborar para garantir sua implantação, gerenciamento e integração eficazes à infraestrutura de segurança existente. Veja como a interoperabilidade entre as equipes pode parecer em uma organização de segurança corporativa:

  1. Planejamento e design
    1. A equipe de governança identifica a necessidade de segurança aprimorada de aplicativos Web e aloca orçamento para um WAF.
    2. O arquiteto de segurança de rede projeta a estratégia de implantação do WAF, garantindo que ela se integre perfeitamente aos controles de segurança existentes e se alinhe à arquitetura de segurança da organização.
  2. Implementação
    1. O engenheiro de segurança de rede implanta o WAF de acordo com o design do arquiteto, configurando-o para proteger os aplicativos Web específicos e habilita o monitoramento.
    2. O engenheiro do IAM configura controles de acesso, garantindo que apenas pessoal autorizado possa gerenciar o WAF.
  3. Monitoramento e gerenciamento
    1. A equipe de gerenciamento de postura fornece instruções para o SOC configurar o monitoramento e os alertas para o WAF e configurar painéis para rastrear a atividade do WAF.
    2. As equipes de engenharia de detecção e inteligência de ameaças ajudam a desenvolver planos de resposta para incidentes que envolvem o WAF e a realizar simulações para testar esses planos.
  4. Conformidade e gerenciamento de riscos
    1. O diretor de conformidade e gerenciamento de riscos analisa a implantação do WAF para garantir que ela atenda aos requisitos regulatórios e realiza auditorias periódicas.
    2. O engenheiro de segurança de dados garante que as medidas de registro e proteção de dados do WAF estejam em conformidade com os regulamentos de privacidade de dados.
  5. Melhoria contínua e treinamento
    1. O engenheiro de DevSecOps integra o gerenciamento do WAF ao pipeline de CI/CD, garantindo que as atualizações e configurações sejam automatizadas e consistentes.
    2. O especialista em educação e engajamento de segurança desenvolve e oferece programas de treinamento para garantir que todo o pessoal relevante entenda como usar e gerenciar o WAF de forma eficaz.
    3. O membro da equipe de governança de nuvem analisa os processos de implantação e gerenciamento do WAF para garantir que eles estejam alinhados com as políticas e padrões organizacionais.

Essas funções garantem que o firewall do aplicativo Web seja implantado corretamente e também continuamente monitorado, gerenciado e aprimorado para proteger os aplicativos Web da organização contra ameaças em evolução.

Próxima etapa

Integre a segurança à sua estratégia de adoção da nuvem

  • Last updated on