Como Desenvolver Requisitos de Segurança com Base em Metas de Negócios?

Publicado em por chesleysilva

A partir de agora vamos tratar sobre a Segurança cibernética no ambiente de nuvem da Microsoft, não apenas com foco no Microsoft 365 mas em todos os produtos, principalmente no Azure.

                Neste início vamos falar sobre: Como Desenvolver requisitos de segurança com base em metas de negócios!

                Após estudarmos os frameworks CAF (Microsoft Cloud Adoption Framework) e WAF (Microsoft Azure Well-Architected Framework) poderemos nos debruçar sobre a implementação das ferramentas de segurança do ambiente de nuvem da Microsoft:

Azure Security
Azure Security Center, Azure Defender , Azure Firewall, DDoS Protection, Azure Log Analytics, Azure Sentinel, Application Gateway, Azure Front Door, Network Security Groups, Secure Score, Defender for IoT

Identity and Access Management
Advanced Audit, Azure Active Directory (AAD) , Azure Active Directory Premium (AADP​) , ​​Secure Hybrid Access​ (SHA), Secure Access, Hybrid Identity, Cloud Identity, Microsoft Cloud App Security (MCAS), Multi-Factor ​Authentication (MFA), Active Directory federated Service(ADFS), Microsoft EndPoint Management (MEM), Conditional Access

Threat Protection.
Microsoft Defender for EndPoint, Microsoft Defender for Office 365, Azure Security Center, Windows Hello, Credential Guard, Microsoft Defender for Identity, Microsoft Cloud App Security (MCAS), Azure Sentinel, Azure Defender, Azure Information Protection, Office DLP, Azure Key Vault, Threat Management, Defender for IoT

Como Obter segurança cibernetica na medida correta?

                Falar sobre segurança e sempre um desafio, vamos fazer uma analogia com o cinto de segurança veicular, se você estiver trafegando sem o cinto o risco de se ferir em um acidente é altíssimo, logo o cinto é indispensável!

                Mas se você colocar o cinto de segurança da maneira errada acabará gravemente ferido ou até mesmo morto! Cinto muito folgado te mata, e muito apertado também! Logo, temos que ter a proteção na medida correta para que ela faça efeito!

                Ajuste o cinto da maneira correta, mas, antes, ajuste a altura do acento, os retrovisores, e todos os itens que te ajude a ter uma direção mais correta, conhecer evita erros!

                Você apenas conseguira desenvolver requisitos de segurança com base em metas do negócio se você conhecer bem seu negócio e a tecnologia que te auxilia.

                Neste ponto, entre essas duas pontas, negócios e tecnologias, temos os processos.

CAF – Cloud Adoption Framework

O CAF existe para ajudar as organizações na identificação dos resultados de suas ações e com isso gerar mudanças culturais perceptíveis nos negócios.

Com as melhores práticas de adoção da nuvem, o CAF nos auxilia a entendermos e termos uma estratégia de adoção de nuvem e assim obtermos os melhores resultados possíveis em nosso negócio principal, no ramo que atuamos em nossas organizações.

Lembra do exemplo do cinto de segurança? Sem o conhecimento adequado aquilo que poderia nos salvar pode nos matar, assim é quando iniciamos a adoção de nuvem em nosso ambiente sem um planejamento adequado.

O Cloud Adoption Framework consiste em nove metodologias diferentes:

  • Estratégia: defina a justificativa comercial e os resultados esperados da adoção.
  • Planejamento: alinhe os planos de adoção acionáveis com os resultados comerciais.
  • Preparação: prepare o ambiente de nuvem para as alterações planejadas.
  • Migrar: migre e modernize cargas de trabalho existentes.
  • Inovar: desenvolva novas soluções de nuvem nativas ou híbridas.
  • Proteção: aprimore a segurança ao longo do tempo.
  • Gerenciamento: gerencie operações para soluções híbridas e de nuvem.
  • Governança: governe o ambiente e as cargas de trabalho.
  • Organização: alinhar as equipes e funções que dão suporte aos esforços de adoção da nuvem em sua organização.

Design, Planejamento e implementação ao migrar para a nuvem

            As metodologias do CAF (Cloud Adoption Framework) podem ser exploradas na sua totalidade ou ainda em partes, e é possível que novas metodologias sejam adicionadas, esse conceito é um guia e você pode adaptá-lo as suas necessidades.

Quando falamos de Design precisamos entender um pouco mais sobre as metodologias do CAF:

1.    Definir sua estratégia – Por que estou migrando para a nuvem e quais os benefícios que eu vou ter?

2.    Criar um plano – Qual plano você executará para que sua estratégia funcione?

3.    Preparar sua organização – O que vou usar no meu ambiente de nuvem do Azure?

4.    Segurança na Cloud – Como será minha arquitetura de segurança cibernética? Quais controles são indispensáveis? Como será meu alinhamento de negócio com minha segurança?

Integrando Segurança aos negócios da organização

            Toda metodologia de proteção deve ser estudada antes de ser implementada e neste caso não é diferente, recomendo o estudo desses itens e a analise se esses itens se encaixam na organização.

            O CAF possui 3 três pilares de integração da organização com a segurança e mais 5 cinco disciplinas de segurança, lembrando sempre que podemos definir novos pilares e novas disciplinas.

Abordagens de integração:

  • Insights de risco – Aprenda sobre o negócio, identifique os riscos associados que afetam os negócios e impedem que as metas desejadas sejam alcançadas, em seguida, mostre a organização seus insights e suas recomendações de segurança para o ambiente, se você deseja ser um arquiteto de segurança tenha o conhecimento do negocio da organização para poder prover as medidas no tom correto.
  • Integração da segurança – É necessário trabalhar de forma árdua na mudança cultural da organização, a segurança deve fazer parte do trabalho de todos e deve ser percebida como parte natural dos negócios e os negócios devem ser percebidos como parte natural da segurança.
  • Resiliência comercial – Prepare-se para suportar um ataque positivo, mantenha a integridade dos dados e os negócios funcionando, projeto seu ambiente para ser resiliente e que as operações comerciais não parem, lembre-se, nunca estamos 100% protegidos e seguros.

Disciplinas de segurança

  • Controle de Acesso – Todo usuário faz uso do acesso, e muitas vezes não temos o controle necessário para que o usuário tenha segurança, lembre-se, usuário sem segurança para acessar o ambiente ou os recursos implica em dizer que toda a organização não possui segurança adequada. Embora o controle de acesso não seja tudo em segurança, ele é extremamente importante e exige atenção adequada para que a experiência do usuário e as garantias de segurança estejam corretas.
  • Operações de segurança – Detectar e Responder, toda operação de segurança trabalha para evitar uma invasão e limitar as ações de um possível invasor. Quando conseguimos forçar os invasores a pensarem em novas táticas isso significa que o ROI da Invasão esta se tornando mais caro e os custos de invadir aumenta consideravelmente.
  •  Proteção de ativos – Não confie, verifique tudo! O zero trust prega com louvor essa tática e todos os nossos dispositivos devem ser protegidos, físicos ou virtuais
  • Governança de segurança – Pessoas, Processos e Tecnologias! As equipes de governança alinham padrões e arquiteturas com as políticas do ambiente além de relatarem a conformidade com os órgãos de regulação
  • Segurança na inovação – a inovação é a alma de uma organização na era digital e precisa ser incentivada e protegida. A segurança na inovação protege os processos e os dados de inovação contra ataques cibernéticos. A inovação na era digital assume a forma de desenvolvimento de aplicativos usando o método DevOps ou DevSecOps para inovar rapidamente sem esperar pelo cronograma de remessa em cascata tradicional, que pode levar meses ou anos entre versões.

Conclusão

Nesta postagem falamos um pouco sobre o CAF, recomendo fortemente que todos vocês visitem a página oficial do produto e estudem a finco! Aqui eu apenas pincelei alguns pontos e dei luz sobre eles em meu blog na página oficial temos muitas informações relevantes.

Na próxima postagem vamos falar sobre o WAF, (Microsoft Azure Well-Architected Framework) e continuar dando luz sobre os processos para que o nosso ambiente de nuvem seja mais bem aproveitado e ajustado aos negócios da organização.

Após isso, após conhecermos os processos vamos ir de frente aos itens que podemos aplicar e configurar, mas, antes vamos falar sobre o Zero Trust com vistas ao CAF e o WAF!

Essa metodologia de segurança faz parte de um conjunto abrangente de diretrizes de segurança que também incluem:

10 principais melhores práticas de segurança para o Azure: as dez melhores práticas de segurança do Azure que a Microsoft recomenda com base nas lições aprendidas por nossos clientes e em nossos próprios ambientes.

Arquiteturas de segurança cibernética da Microsoft: os diagramas descrevem como os recursos de segurança da Microsoft se integram às plataformas da Microsoft e plataformas de terceiros.

Deixe um comentário