Partilhar via

Equipas, funções e funções de segurança

Este artigo descreve os papéis e funções de segurança necessários para a infraestrutura e plataformas cloud. Use estes papéis para integrar a segurança em todas as fases do ciclo de vida da cloud, desde o desenvolvimento às operações e à melhoria contínua.

Diagrama mostrando as metodologias envolvidas na adoção da nuvem. O diagrama tem caixas para cada fase: equipes e funções, estratégia, planejar, preparar, adotar, governar e gerenciar. A caixa deste artigo está realçada.

O tamanho da organização determina como preencher estas funções. As grandes empresas costumam ter equipas especializadas para cada função. Organizações mais pequenas frequentemente consolidam múltiplas funções em menos funções. As plataformas e serviços técnicos também influenciam responsabilidades específicas de segurança.

As equipas de tecnologia e cloud realizam algumas tarefas de segurança diretamente. Equipas especializadas em segurança realizam outras tarefas em colaboração com equipas de tecnologia. Independentemente da estrutura organizacional, as partes interessadas devem compreender o trabalho necessário de segurança. Todas as equipas devem compreender os requisitos de negócio e a tolerância ao risco para tomar decisões informadas sobre serviços cloud. Use estas orientações para compreender as funções de equipas e funções específicas e como interagem para fornecer uma cobertura abrangente de segurança na cloud.

Transformação de funções de segurança

As funções de arquitetura, engenharia e operações de segurança estão a sofrer uma mudança substancial à medida que as organizações adotam plataformas cloud e práticas modernas de desenvolvimento. Esta transformação afeta a forma como o trabalho de segurança é realizado, como as equipas colaboram e como as responsabilidades são distribuídas pelas funções técnicas. Vários fatores estão a impulsionar esta mudança:

  • Migrar para ferramentas de segurança baseadas em SaaS e cloud-native. A adoção de plataformas SaaS altera o foco das equipas de segurança da implementação para a governação. As equipas de segurança fornecem as políticas, normas e bases de configuração. Eles não configuram diretamente os serviços SaaS. As equipas que possuem a aplicação SaaS aplicam estas orientações às suas ferramentas específicas. Esta separação assegura que os requisitos de segurança são cumpridos, permitindo ao mesmo tempo que as equipas de desenvolvimento gerem as definições operacionais dos seus serviços.

  • Segurança como uma responsabilidade partilhada entre as equipas de engenharia. Todas as equipas técnicas são agora diretamente responsáveis pela aplicação dos controlos de segurança às cargas de trabalho e serviços que constroem ou operam. As equipas de segurança fornecem padrões, orientação, automação e proteções que tornam a implementação segura o padrão e reduzem o atrito nos processos de entrega.

  • Requisitos de competências mais amplos e transversais à tecnologia. As equipas de segurança precisam cada vez mais de compreender uma vasta gama de tecnologias e como os atacantes se deslocam entre sistemas. Como as plataformas cloud integram as camadas de identidade, rede, computação, aplicação e operações, os profissionais de segurança devem avaliar caminhos de ataque de ponta a ponta em vez de se focarem em domínios técnicos restritos.

  • Mudança contínua nas plataformas cloud e nas capacidades de segurança. Os serviços cloud evoluem rapidamente e surgem frequentemente novas capacidades. Os processos de segurança devem adaptar-se continuamente para se manterem eficazes, exigindo maior agilidade por parte dos papéis de arquitetura, engenharia e operações.

  • Maior dependência dos princípios do Zero Trust. Os atacantes modernos rotineiramente contornam os controlos do perímetro da rede, tornando a identidade, o estado do dispositivo, o contexto da aplicação e a telemetria centrais nas decisões de segurança. Os papéis em engenharia, operações e segurança devem incorporar o pensamento Zero Trust nas atividades de design, configuração e monitorização.

  • Integração da segurança nas práticas de DevOps e engenharia de plataformas. Os ciclos de lançamento acelerados exigem que as atividades de segurança sejam deslocadas mais cedo no ciclo de vida e operem através da automação. Os papéis de segurança colaboram cada vez mais com equipas de engenharia e plataformas para integrar verificações de segurança, aplicação de políticas e validação nos fluxos de trabalho CI/CD e nos processos operacionais.

Estas mudanças remodelam a forma como os papéis existentes funcionam em conjunto, em vez de criarem novos papéis. O objetivo é garantir que a segurança se torne uma parte integrada e contínua da forma como os serviços cloud são concebidos, construídos, implementados e operados.

Visão geral de funções e equipes

As secções seguintes descrevem as equipas e funções que normalmente desempenham funções-chave de segurança na cloud. Use estas descrições para mapear a sua estrutura organizacional atual para as funções padrão de segurança na cloud. Identifique lacunas na cobertura e determine onde investir recursos. Assegure que todas as partes interessadas compreendem as suas responsabilidades de segurança e como colaborar com outras equipas. Documentar processos de segurança entre equipas e um modelo de responsabilidade partilhada para as equipas técnicas. Um modelo de responsabilidade partilhada funciona como uma matriz Responsável, Responsável, Consultada, Informada (RACI). Define a autoridade de decisão e os requisitos de colaboração para resultados específicos. Esta documentação previne lacunas de cobertura e esforços sobrepostos. Também previne antipadrões comuns, como a seleção de soluções de autenticação fraca ou criptografia. Se for uma organização pequena e quiser começar com uma equipa de segurança mínimamente viável, veja Equipa de segurança mínima viável para pequenas organizações. Papéis-chave de segurança incluem:

Fornecedor do serviço em nuvem

Os provedores de serviços de nuvem são efetivamente membros da equipe virtual que fornecem funções e recursos de segurança para a plataforma de nuvem subjacente. Alguns provedores de nuvem também fornecem recursos de segurança e recursos que suas equipes podem usar para gerenciar sua postura de segurança e incidentes. Para obter mais informações sobre o desempenho dos provedores de serviços de nuvem, consulte o modelo de responsabilidade compartilhada na nuvem.

Muitos provedores de serviços de nuvem fornecem informações sobre suas práticas e controles de segurança mediante solicitação ou por meio de um portal como o portal de confiança de serviços da Microsoft.

Equipes de infraestrutura/plataforma (arquitetura, engenharia e operações)

As equipes de arquitetura, engenharia e operações de infraestrutura/plataforma implementam e integram controles de segurança, privacidade e conformidade na nuvem em toda a infraestrutura de nuvem e ambientes de plataforma (em servidores, contêineres, rede, identidade e outros componentes técnicos).

As funções de engenharia e operações podem se concentrar principalmente em sistemas de nuvem ou integração contínua e implantação contínua (CI/CD), ou podem trabalhar em uma gama completa de nuvem, CI/CD, local e outras infraestruturas e plataformas.

Essas equipes são responsáveis por atender a todos os requisitos de disponibilidade, escalabilidade, segurança, privacidade e outros requisitos para os serviços de nuvem da organização que hospedam cargas de trabalho de negócios. Eles trabalham em colaboração com especialistas em segurança, risco, conformidade e privacidade para gerar resultados que combinam e equilibram todos esses requisitos.

Equipes de arquitetura, engenharia e gerenciamento de postura de segurança

As equipes de segurança trabalham com funções de infraestrutura e plataforma (e outras) para ajudar a traduzir estratégia, política e padrões de segurança em arquiteturas, soluções e padrões de design acionáveis. Estas equipas focam-se em possibilitar o sucesso da segurança das equipas cloud. Avaliam e influenciam a segurança da infraestrutura e dos processos e ferramentas que são usados para a gerir. A seguir estão algumas das tarefas comuns executadas pelas equipes de segurança para a infraestrutura:

  • Arquitetos e engenheiros de segurança adaptam políticas, padrões e diretrizes de segurança para ambientes de nuvem para projetar e implementar controles em parceria com seus homólogos de infraestrutura/plataforma. Os arquitetos e engenheiros de segurança ajudam com uma ampla gama de elementos, incluindo:

    • Inquilinos/subscrições.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura e arquitetos de acesso (identidade, rede, aplicativo e outros) para ajudar a estabelecer configurações de segurança para locatários de nuvem, assinaturas e contas em provedores de nuvem (que são monitorados por equipes de gerenciamento de postura de segurança ).

    • Gestão de identidade e acessos (IAM).Os arquitetos de acesso (identidade, redes, aplicação e outros) colaboram com engenheiros de identidade e equipas de operações e infraestrutura/plataforma para conceber, implementar e operar soluções de gestão de acessos. Essas soluções protegem contra o uso não autorizado dos ativos de negócios da organização, permitindo que usuários autorizados sigam os processos de negócios para acessar recursos organizacionais com facilidade e segurança. Estas equipas trabalham em soluções como diretórios de identidade e soluções de login único (SSO), autenticação sem palavra-passe e multifator (MFA), soluções de Acesso Condicional baseadas em risco, identidades de carga de trabalho, gestão privilegiada de identidade/acessos (PIM/PAM), infraestrutura cloud e gestão de direitos (CIEM), entre outras. Essas equipes também colaboram com engenheiros de rede e operações para projetar, implementar e operar soluções de borda de serviço de segurança (SSE). As equipes de carga de trabalho podem aproveitar esses recursos para fornecer acesso contínuo e mais seguro a componentes individuais de carga de trabalho e aplicativos.

    • Segurança de dados.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de dados e IA para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos básicos de segurança de dados para todos os dados e recursos avançados que podem ser usados para classificar e proteger dados em cargas de trabalho individuais. Para obter mais informações sobre segurança de dados fundamentais, consulte o benchmark de proteção de dados de segurança da Microsoft. Para obter mais informações sobre a proteção de dados em cargas de trabalho individuais, consulte as diretrizes do Well-Architected Framework.

    • Segurança da rede.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de rede para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos fundamentais de segurança de rede, como conectividade com a nuvem (linhas privadas/alugadas), estratégias e soluções de acesso remoto, firewalls de entrada e saída, firewalls de aplicativos da Web (WAFs) e segmentação de rede. Essas equipes também colaboram com arquitetos de identidade, engenheiros e operações para projetar, implementar e operar soluções SSE. As equipes de carga de trabalho podem aproveitar esses recursos para fornecer proteção discreta ou isolamento de componentes individuais de carga de trabalho e aplicativos.

    • Segurança de servidores e contentores.Arquitetos e engenheiros de segurança colaboram com arquitetos e engenheiros de infraestrutura para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança fundamentais para servidores, máquinas virtuais (VMs), contêineres, orquestração/gerenciamento, CI/CD e sistemas relacionados. Essas equipes estabelecem processos de descoberta e inventário, configurações de linha de base/benchmark de segurança, processos de manutenção e aplicação de patches, listas de permissões para binários executáveis, imagens de modelo, processos de gerenciamento e muito mais. As equipes de carga de trabalho também podem aproveitar esses recursos básicos de infraestrutura para fornecer segurança para servidores e contêineres para carga de trabalho individual e componentes de aplicativos.

    • Fundamentos de segurança de software (para segurança de aplicativos e DevSecOps).Arquitetos e engenheiros de segurança colaboram com engenheiros de segurança de software para ajudar as equipes de infraestrutura/plataforma a estabelecer recursos de segurança de aplicativos que podem ser usados por cargas de trabalho individuais, verificação de código, ferramentas de lista de materiais de software (SBOM), WAFs e verificação de aplicativos. Consulte Controles DevSecOps para obter mais informações sobre como estabelecer um ciclo de vida de desenvolvimento de segurança (SDL). Para obter mais informações sobre como as equipes de carga de trabalho usam esses recursos, consulte as diretrizes de ciclo de vida de desenvolvimento de segurança no Well-Architected Framework.

  • Os engenheiros de segurança de software avaliam código, scripts e outra lógica automatizada usada para gerir a infraestrutura, incluindo a infraestrutura como código (IaC), fluxos de trabalho CI/CD e quaisquer outras ferramentas ou aplicativos personalizados. Estes engenheiros devem ser contratados para proteger código formal em aplicações compiladas, scripts, configurações de plataformas de automação. Eles analisam qualquer outro tipo de código executável ou script que possa permitir aos atacantes manipular o funcionamento do sistema. Essa avaliação pode envolver simplesmente a realização de uma análise de modelo de ameaça de um sistema, ou pode envolver revisão de código e ferramentas de verificação de segurança. Consulte as diretrizes de práticas do SDL para obter mais informações sobre como estabelecer um SDL.

  • O gerenciamento de postura (gerenciamento de vulnerabilidades / gerenciamento de superfície de ataque) é a equipe de segurança operacional que se concentra na capacitação de segurança para equipes de operações técnicas. O gerenciamento de postura ajuda essas equipes a priorizar e implementar controles para bloquear ou mitigar técnicas de ataque. As equipes de gerenciamento de postura trabalham em todas as equipes de operações técnicas (incluindo equipes de nuvem) e geralmente servem como seu principal meio de entender os requisitos de segurança, os requisitos de conformidade e os processos de governança.

    O gerenciamento de postura geralmente serve como um centro de excelência (CoE) para equipes de infraestrutura de segurança, semelhante à maneira como os engenheiros de software geralmente servem como um CoE de segurança para equipes de desenvolvimento de aplicativos. As tarefas típicas dessas equipes incluem o seguinte.

    • Monitore a postura de segurança. Monitore todos os sistemas técnicos usando ferramentas de gerenciamento de postura, como o Microsoft Security Exposure Management, o Microsoft Entra Permissions Management, vulnerabilidades que não sejam da Microsoft e ferramentas de Gerenciamento de Superfície de Ataque Externo (EASM) e CIEM, além de ferramentas e painéis personalizados de postura de segurança. Além disso, o gerenciamento de postura realiza análises para fornecer insights por:

      • Antecipar caminhos de ataque altamente prováveis e prejudiciais. Os atacantes "pensam em gráficos" e procuram caminhos para sistemas críticos para o negócio, encadeando múltiplos ativos e vulnerabilidades em diferentes sistemas. Por exemplo, comprometer os endpoints dos utilizadores e depois usar o hash/ticket para capturar uma credencial de administrador e aceder aos dados críticos para o negócio. As equipes de gerenciamento de postura trabalham com arquitetos e engenheiros de segurança para descobrir e mitigar esses riscos ocultos, que nem sempre aparecem em listas e relatórios técnicos.

      • Realização de avaliações de segurança para revisar as configurações do sistema e os processos operacionais para obter uma compreensão mais profunda e insights além dos dados técnicos das ferramentas de postura de segurança. Essas avaliações podem assumir a forma de conversas informais de descoberta ou exercícios formais de modelagem de ameaças.

    • Auxiliar na priorização. Ajude as equipes técnicas a monitorar proativamente seus ativos e priorizar o trabalho de segurança. O gerenciamento de postura ajuda a contextualizar o trabalho de mitigação de riscos, considerando o impacto do risco de segurança (informado pela experiência, relatórios de incidentes de operações de segurança e outras informações sobre ameaças, business intelligence e outras fontes), além dos requisitos de conformidade de segurança.

    • Treine, oriente e campaiga. Aumente o conhecimento e as habilidades de segurança das equipes técnicas de engenharia por meio de treinamento, orientação de indivíduos e transferência informal de conhecimento. As funções de gestão de postura também podem trabalhar com prontidão/treino organizacional e educação em segurança e funções de envolvimento em formação formal de segurança e implementação de medidas de segurança nas equipas técnicas que evangelizam e educam os seus pares sobre segurança.

    • Identifique lacunas e defenda correções. Identifique tendências gerais, lacunas de processos, lacunas de ferramentas e outros insights sobre riscos e mitigações. As funções de gerenciamento de postura colaboram e se comunicam com arquitetos e engenheiros de segurança para desenvolver soluções, criar um caso para soluções de financiamento e ajudar na implementação de correções.

    • Coordenar com operações de segurança (SecOps). Ajude as equipes técnicas a trabalhar com funções de SecOps, como engenharia de deteção e equipes de caça a ameaças. Essa continuidade em todas as funções operacionais ajuda a garantir que as deteções estejam em vigor e implementadas corretamente, que os dados de segurança estejam disponíveis para investigação de incidentes e caça a ameaças, que os processos estejam em vigor para colaboração e muito mais.

    • Fornecer relatórios. Fornecer relatórios oportunos e precisos sobre incidentes de segurança, tendências e métricas de desempenho para a gerência sênior e partes interessadas para atualizar os processos de risco organizacional.

    As equipes de gerenciamento de postura geralmente evoluem de funções existentes de gerenciamento de vulnerabilidades de software para lidar com o conjunto completo de tipos de vulnerabilidade funcional, de configuração e operacional descritos no Modelo de Referência de Zero Confiança de Grupo Aberto. Cada tipo de vulnerabilidade pode permitir que usuários não autorizados (incluindo invasores) assumam o controle de software ou sistemas, permitindo que causem danos aos ativos da empresa.

    • Vulnerabilidades funcionais ocorrem no projeto ou implementação de software. Eles podem permitir o controle não autorizado do software afetado. Essas vulnerabilidades podem ser falhas em software que suas próprias equipes desenvolveram ou falhas em software comercial ou de código aberto (normalmente rastreadas por um identificador de Vulnerabilidades e Exposições Comuns).

    • As vulnerabilidades de configuração são configurações incorretas de sistemas que permitem acesso não autorizado à funcionalidade do sistema. Essas vulnerabilidades podem ser introduzidas durante operações em andamento, também conhecidas como desvio de configuração. Eles também podem ser introduzidos durante a implantação inicial e configuração de software e sistemas, ou por padrões de segurança fracos de um fornecedor. Alguns exemplos comuns incluem:

      • Objetos órfãos que permitem acesso não autorizado a itens como registros DNS e associação a grupos.

      • Funções administrativas excessivas ou permissões para recursos.

      • Uso de um protocolo de autenticação mais fraco ou algoritmo criptográfico com problemas de segurança conhecidos.

      • Configurações padrão fracas ou senhas padrão.

    • As vulnerabilidades operacionais são fraquezas nos processos e práticas operacionais padrão que permitem o acesso ou controle não autorizado dos sistemas. Exemplos incluem:

      • Administradores que usam contas compartilhadas em vez de suas próprias contas individuais para executar tarefas privilegiadas.

      • Uso de configurações "browse-up" que criam caminhos de elevação de privilégio que podem ser explorados por invasores. Esta vulnerabilidade ocorre quando contas administrativas com privilégios elevados iniciam sessão em dispositivos e estações de trabalho de utilizador de baixa confiança (como estações de trabalho de utilizador padrão e dispositivos de propriedade do utilizador), por vezes através de servidores jump que não atenuam eficazmente estes riscos. Para obter mais informações, consulte Protegendo acesso privilegiado e dispositivos de acesso privilegiado.

Operações de segurança (SecOps/SOC)

A equipe SecOps às vezes é chamada de Centro de Operações de Segurança (SOC). A equipe de SecOps se concentra em encontrar e remover rapidamente o acesso adversário aos ativos da organização. Eles trabalham em estreita parceria com as equipes de tecnologia, operações e engenharia. As funções SecOps podem funcionar em todas as tecnologias da organização, incluindo TI tradicional, tecnologia operacional (OT) e Internet das Coisas (IoT). A seguir estão as funções SecOps que mais frequentemente interagem com equipes de nuvem:

  • Analistas de triagem (nível 1). Responde a deteções de incidentes para técnicas de ataque bem conhecidas e segue procedimentos documentados para resolvê-los rapidamente (ou encaminhá-los para analistas de investigação, conforme apropriado). Dependendo do escopo e do nível de maturidade do SecOps, isso pode incluir deteções e alertas de e-mail, soluções antimalware de ponto final, serviços de nuvem, deteções de rede ou outros sistemas técnicos.

  • Analistas de investigação (nível 2). Responde a investigações de incidentes de maior complexidade e maior gravidade que exigem mais experiência e conhecimento (além de procedimentos de resolução bem documentados). Essa equipe normalmente investiga ataques que são conduzidos por adversários humanos vivos e ataques que afetam vários sistemas. Trabalha em estreita parceria com as equipas de tecnologia, operações e engenharia para investigar e resolver incidentes.

  • Investigação de ameaças. Procura proativamente ameaças ocultas dentro do acervo técnico que tenham escapado aos mecanismos de deteção padrão. Essa função usa análises avançadas e investigações orientadas por hipóteses.

  • Informações sobre ameaças. Reúne e dissemina informações sobre atacantes e ameaças para todas as partes interessadas, incluindo negócios, tecnologia e segurança. As equipas de informação sobre ameaças realizam pesquisas, partilham as suas conclusões (formal ou informalmente) e divulgam-nas a várias partes interessadas, incluindo a equipa de segurança na nuvem. Esse contexto de segurança ajuda essas equipes a tornar os serviços de nuvem mais resilientes a ataques, pois estão usando informações de ataques do mundo real no projeto, implementação, teste e operação, e melhorando continuamente.

  • Engenharia de deteção. Cria deteções de ataque personalizadas e personaliza deteções de ataque fornecidas por fornecedores e pela comunidade em geral. Estas deteções de ataques personalizados complementam as deteções fornecidas pelo fornecedor para ataques comuns que são comuns em ferramentas de deteção e resposta estendida (XDR) e algumas ferramentas de gestão de informação e eventos de segurança (SIEM). Os engenheiros de deteção trabalham com as equipes de segurança na nuvem para identificar oportunidades para projetar e implementar deteções, os dados necessários para apoiá-las e os procedimentos de resposta/recuperação para as deteções.

Governança, risco e conformidade de segurança

Security Governance, Risk, and Compliance (GRC) é um conjunto de disciplinas inter-relacionadas que integram o trabalho técnico das equipas de segurança com os objetivos e expectativas organizacionais. Estas funções e equipas podem ser um híbrido de duas ou mais disciplinas ou podem ser funções discretas. As equipes de nuvem interagem com cada uma dessas disciplinas ao longo do ciclo de vida da tecnologia de nuvem:

  • A disciplina da governação é uma capacidade fundamental. As equipas de governação focam-se em garantir que a organização implementa consistentemente todos os aspetos da segurança. Estabelecem direitos de decisão (quem toma que decisão) e estruturas processuais que ligam e orientam as equipas. Sem uma governação eficaz, uma organização com todos os controlos, políticas e tecnologia certos pode ainda ser vítima de atacantes que exploram áreas onde as defesas pretendidas não são implementadas corretamente, totalmente ou de todo.

  • A disciplina de gestão de risco foca-se na avaliação, compreensão e mitigação do risco organizacional. As equipas de gestão de risco trabalham em toda a organização para criar uma representação clara do risco atual e mantê-lo atualizado. As equipas de cloud e de risco devem colaborar para avaliar e gerir o risco proveniente de serviços empresariais críticos alojados na infraestrutura e plataformas cloud. A segurança da cadeia de abastecimento aborda riscos provenientes de fornecedores externos, componentes open source e parceiros.

  • A disciplina de conformidade garante que os sistemas e processos estejam em conformidade com os requisitos regulamentares e as políticas internas. Sem essa disciplina, a organização pode estar exposta a riscos relacionados ao não cumprimento de obrigações externas (multas, responsabilidade, perda de receita por incapacidade de operar em alguns mercados, entre outros). Os requisitos de conformidade normalmente não conseguem acompanhar a velocidade da evolução do invasor, mas são uma fonte de requisitos importante.

Todas essas três disciplinas operam em todas as tecnologias e sistemas para impulsionar os resultados organizacionais em todas as equipes. Todos os três também dependem do contexto que obtêm uns dos outros e se beneficiam significativamente dos dados atuais de alta fidelidade sobre ameaças, negócios e ambiente de tecnologia. Essas disciplinas também dependem da arquitetura para expressar uma visão acionável que pode ser implementada e da educação e política de segurança para estabelecer regras e orientar as equipes nas muitas decisões diárias.

As equipes de engenharia e operação de nuvem podem trabalhar com funções de gerenciamento de postura , equipes de conformidade e auditoria , arquitetura e engenharia de segurança de segurança ou funções de CISO (Chief Information Security Officer, diretor de segurança da informação) em tópicos de GRC.

Educação, sensibilização e políticas de segurança

As organizações devem garantir que todos os cargos possuem conhecimento, orientação e confiança para aplicar a segurança de forma eficaz no seu trabalho diário. A educação e a sensibilização são frequentemente os elos mais fracos na postura de segurança de uma organização, por isso devem ser contínuas, conscientes do papel e integradas nas operações normais, em vez de serem tratadas como eventos de formação isolados.

Um programa forte inclui educação estruturada, mentoria informal e campeões de segurança designados dentro das equipas técnicas. A formação deve abranger a consciencialização sobre phishing, higiene de identidade, práticas de configuração segura e uma mentalidade de desenvolvimento seguro para funções de engenharia. Estes esforços reforçam uma cultura de segurança em primeiro lugar, onde os indivíduos compreendem claramente porque a segurança é importante, que ações se esperam deles e como realizar essas ações corretamente.

A educação e a política de segurança devem ajudar cada função a compreender:

  • Porquê. Porque é que a segurança é importante no contexto das suas responsabilidades e objetivos. Sem esta compreensão, os indivíduos desvalorizam a segurança e concentram-se noutras tarefas.
  • O quê. Que tarefas e expectativas específicas de segurança se aplicam a eles, descritas numa linguagem alinhada com o seu papel. Sem clareza, as pessoas assumem que a segurança não lhes é relevante.
  • Como. Como executar corretamente as tarefas de segurança necessárias, como atualizar sistemas, rever código de forma segura, completar um modelo de ameaça ou identificar tentativas de phishing. Sem orientação prática, as pessoas falham mesmo quando estão dispostas.

Equipa de segurança mínima viável para pequenas organizações

As pequenas organizações muitas vezes carecem de recursos para dedicar indivíduos a funções específicas de segurança. Nestes ambientes, cubra responsabilidades essenciais com o mínimo de funções. Combine as responsabilidades de engenharia de plataformas cloud e segurança numa única função que gere a configuração segura, a higiene de identidade, a monitorização e a resposta básica a incidentes. Terceirizar tarefas que requerem especialização ou cobertura contínua, como otimização da deteção de ameaças, testes de penetração ou revisões de conformidade, para fornecedores de segurança geridos. Utilize ferramentas cloud-native como gestão de postura, proteção de identidade, bases de configuração e aplicação automática de políticas para manter um nível de segurança consistente sem grandes equipas e reduzir a sobrecarga operacional.

Cenário de exemplo: interoperabilidade típica entre equipes

Quando uma organização implementa e operacionaliza um firewall de aplicações web, várias equipas de segurança têm de colaborar para garantir a sua implementação eficaz, gestão e integração na infraestrutura de segurança existente. Veja como a interoperabilidade entre as equipes pode parecer em uma organização de segurança corporativa:

  1. Planeamento e projeto
    1. A equipe de governança identifica a necessidade de segurança aprimorada do aplicativo Web e aloca orçamento para um WAF.
    2. O arquiteto de segurança de rede projeta a estratégia de implantação do WAF, garantindo que ela se integre perfeitamente aos controles de segurança existentes e esteja alinhada com a arquitetura de segurança da organização.
  2. Execução
    1. O engenheiro de segurança de rede implanta o WAF de acordo com o projeto do arquiteto, configurando-o para proteger os aplicativos Web específicos e permite o monitoramento.
    2. O engenheiro do IAM configura controles de acesso, garantindo que apenas pessoal autorizado possa gerenciar o WAF.
  3. Monitorização e gestão
    1. A equipe de gerenciamento de postura fornece instruções para o SOC configurar o monitoramento e o alerta para o WAF e configurar painéis para rastrear a atividade do WAF.
    2. As equipes de engenharia de deteção e inteligência de ameaças ajudam a desenvolver planos de resposta para incidentes que envolvem o WAF e a realizar simulações para testar esses planos.
  4. Conformidade e gestão de riscos
    1. O responsável pela conformidade e gestão de riscos analisa a implementação do WAF para garantir que cumpre os requisitos regulamentares e realiza auditorias periódicas.
    2. O engenheiro de segurança de dados garante que as medidas de registro e proteção de dados do WAF estejam em conformidade com os regulamentos de privacidade de dados.
  5. Melhoria contínua e formação
    1. O engenheiro DevSecOps integra o gerenciamento WAF no pipeline de CI/CD, garantindo que as atualizações e configurações sejam automatizadas e consistentes.
    2. O especialista em educação e engajamento em segurança desenvolve e oferece programas de treinamento para garantir que todo o pessoal relevante entenda como usar e gerenciar o WAF de forma eficaz.
    3. O membro da equipe de governança de nuvem analisa os processos de implantação e gerenciamento do WAF para garantir que eles estejam alinhados com as políticas e padrões organizacionais.

Estas funções garantem que o firewall de aplicações web é implementado corretamente e também monitorizado, gerido e melhorado continuamente para proteger as aplicações web da organização contra ameaças em evolução.

Próximo passo

Integre a segurança na sua estratégia de adoção da nuvem

  • Last updated on