Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este artigo descreve como estabelecer ou modernizar uma disciplina de Estratégia de Segurança, Integração e Governança. Essa disciplina fornece orientação, coordenação e supervisão sustentada em um programa de modernização de segurança, permitindo que as organizações ultrapassem controles fragmentados em direção a uma postura de segurança coesa e orientada a resultados.
As disciplinas de segurança são agrupamentos de trabalhos de segurança relacionados que ajudam as organizações a fornecer resultados de segurança consistentemente em toda a propriedade tecnológica. No modelo de adoção de segurança, as disciplinas ajudam a fornecer uma ponte entre cenários de negócios e implementação técnica, garantindo que os investimentos em segurança se traduzam em resultados reais mensuráveis como parte do modelo de adoção de segurança.
Por que essa disciplina?
Muitas organizações abordam a governança de segurança por meio de modelos de GRC (governança, risco e conformidade) tradicionais que priorizam auditorias e conformidade externa. Embora seja necessário, essas abordagens clássicas do GRC geralmente não conseguem gerenciar riscos de incidentes do mundo real que causam essa interrupção operacional, perda de dados, custos de recuperação e danos à reputação.
A disciplina Estratégia de Segurança, Integração e Governança moderniza esse modelo, tornando a segurança parte integrante da tomada de decisões e operações organizacionais, em vez de uma função autônoma ou reativa.
A disciplina reúne três elementos essenciais:
- Estratégia: define resultados de segurança, prioridades, compensações e medidas de sucesso alinhadas aos objetivos de negócios, tolerância a riscos e obrigações regulatórias.
- Integração: insira segurança em estratégia de negócios, modelos operacionais, ambientes de tecnologia, processos de governança e o ecossistema de negócios mais amplo.
- Governança: sustenta e aprimora continuamente o programa de segurança por meio de direitos de decisão claros, responsabilidade, medição e supervisão.
Sem estratégia efetiva, integração e governança em vigor, os programas de segurança geralmente não têm direção e coordenação claras. Essa lacuna leva a priorização ruim, execução inconsistente, trabalho desperdiçado e duplicado, maior frequência e impacto de incidentes e risco organizacional elevado.
Para ser eficaz, essa disciplina garante que os princípios do Confiança Zero sejam aplicados de forma consistente em todas as disciplinas de segurança e ao longo de todo o ciclo de vida da segurança. Em vez de habilitar soluções técnicas isoladas, o SIG alinha decisões, controles e operações a um modelo de segurança compartilhado.
O diagrama a seguir ilustra como a disciplina Estratégia de Segurança, Integração e Governança permite a resiliência de segurança aplicando consistentemente Confiança Zero princípios em disciplinas de segurança e em todo o ciclo de vida de segurança.
Missão e resultados
A disciplina Estratégia de Segurança, Integração e Governança fornece direção, integração e supervisão em todo o ciclo de vida do programa de segurança. Ele permite que as organizações:
- Defina visão e direção de segurança claras: defina resultados de segurança, prioridades e compensações alinhadas aos objetivos de negócios, tolerância a riscos e obrigações regulatórias. Estabeleça uma compreensão compartilhada de como é a boa segurança para a organização e como o sucesso é medido. Atualize essa compreensão conforme necessário.
- Integre a segurança à organização: insira segurança em planejamento de negócios, estratégia de tecnologia, arquitetura, desenvolvimento, operações e ecossistemas de parceiros para que ela não seja tratada como uma função de reflexão posterior ou autônoma.
- Governe decisões de segurança e investimentos: estabeleça direitos de decisão, responsabilidade, políticas, padrões e medidas de sucesso que impulsionam a priorização e a execução consistentes entre as equipes de segurança e tecnologia.
- Habilite decisões de negócios melhores e mais rápidas: atue como um hub central para o contexto de risco de segurança, ajudando os líderes a equilibrar oportunidades, riscos e custos e dizer "sim, com segurança" para novas iniciativas.
- Aprimore a priorização e o foco: traduza as prioridades de negócios em estratégias, políticas e padrões de segurança acionáveis para que as equipes se concentrem nos riscos mais importantes, em vez dos problemas mais visíveis ou urgentes.
- Adapte-se à alteração: atualize continuamente a estratégia, os roteiros, as arquiteturas e a governança para lidar com ameaças em evolução, novas tecnologias (incluindo IA), alterações regulatórias e prioridades de negócios em mudança.
- Reduzir o impacto dos incidentes: melhorar a consistência, a coordenação e a responsabilidade em todo o programa de segurança, reduzindo a frequência e a gravidade dos incidentes e melhorando os resultados da recuperação.
Como aplicar essa disciplina
Para aplicar a disciplina de Estratégia, Integração e Governança efetivamente, concentre-se em estabelecer direção clara, responsabilidade e alinhamento em toda a organização:
-
Definir a estratégia de segurança alinhada às prioridades e riscos de negócios
Estabelecer objetivos claros que refletem metas organizacionais, ativos críticos e os riscos mais significativos para os negócios -
Estabelecer governança e responsabilidade entre equipes
Definir funções, responsabilidades e estruturas de tomada de decisão para garantir que os esforços de segurança sejam coordenados e executados consistentemente -
Definir políticas e padrões que orientam a execução consistente
Forneça expectativas claras que garantam que os controles e as práticas de segurança sejam aplicados de forma consistente em toda a organização. -
Alinhar esforços de segurança entre disciplinas e iniciativas
Verifique se os esforços de arquitetura, operações e engenharia funcionam para resultados compartilhados em vez de operar isoladamente. -
Medir o progresso e melhorar continuamente
Use métricas, informações sobre riscos e feedback operacional para acompanhar a eficácia, orientar a priorização e refinar a estratégia ao longo do tempo.
Gerir alterações organizacionais
Essa disciplina ajuda as organizações a deixar de lado a conformidade meramente formal e adotar uma gestão de riscos alinhada aos objetivos do negócio, sem deixar de cumprir as obrigações regulatórias.
A modernização dessa forma reduz o esforço desperdiçado em controles de baixo valor, esclarece a responsabilidade e garante que as decisões de segurança sejam tomadas pelos stakeholders certos com o contexto certo. Com o tempo, isso torna a segurança mais fácil de operar, mais eficaz e mais sustentável.
As organizações também podem perder cargas herdadas, como manter controles ineficazes ou absorver informalmente a responsabilidade pelas decisões tomadas em outros lugares, e substituí-las por um modelo operacional mais claro e resiliente.
Funções de disciplina e colaboradores
Essa disciplina pertence principalmente à liderança de segurança responsável por definir a direção, integrar a segurança à organização e controlar a execução. Em organizações maiores, essas responsabilidades são distribuídas entre funções e processos formais. Em organizações menores, as funções podem ser combinadas e a estratégia desenvolvida de forma mais informal. Independentemente da escala, a estratégia de documentação à medida que evolui é altamente recomendada.
As funções primárias geralmente incluem:
- Diretor de segurança da informação (CISO)
- Diretores de Segurança da Informação de Negócios (BISO)
- Diretores de segurança
- Arquitetos de segurança
Essas funções são suportadas por funções como estratégia de segurança, integração e governança, educação e engajamento, gerenciamento de riscos internos, gerenciamento de postura de segurança e gerenciamento de conformidade de segurança.
A entrega efetiva depende da estreita colaboração em toda a organização:
- Os líderes empresariais fornecem contexto sobre prioridades e tolerância a riscos.
- Os líderes técnicos integram a segurança em estratégias de tecnologia e modelos operacionais.
- As funções de arquitetura traduzem a estratégia em padrões e guardrails e fornecem comentários de viabilidade.
- As equipes de Engenharia e TI operacionalizam os requisitos por meio da implementação e manutenção.
- As operações de segurança (SecOps) fornecem comentários contínuos de incidentes, ameaças e comportamento do invasor para informar a estratégia e a governança.
Componentes de disciplina
A disciplina Estratégia de Segurança, Integração e Governança abrange um amplo conjunto de funcionalidades que, juntas, garantem resultados de segurança consistentes e mensuráveis.
| Capacidade | Detalhes |
|---|---|
| Priorização contínua | Priorize continuamente os requisitos para: - Alinhamento de negócios: verifique se a segurança é um habilitador de negócios. Conduza as alterações de negócios necessárias para a segurança. - Alinhamento de tecnologia: alinhe a avaliação e o gerenciamento de riscos de segurança com a tecnologia organizacional. - Seguro por design e por padrão: verifique se a segurança é um aspecto integral de todo o design do sistema e do processo. - Verifique a privacidade por design/padrão: verifique se a privacidade é um aspecto integral de todo o design do sistema e do processo. - Em conformidade com o design/padrão: verifique se a conformidade é um aspecto integral de todo o design do sistema e do processo. |
| Planejamento contínuo | Mantenha roteiros de segurança intencional e regularmente atualizados e métricas de êxito. |
| Integração do modelo operacional de negócios/tecnologia | Insira segurança em ideação, definições de requisitos de negócios, design, build e operações em vez de aplicar controles após a implantação. |
| Integração de risco da empresa | Integre a segurança em como o risco é identificado, gerenciado e relatado à liderança, aos reguladores e aos stakeholders. |
| Ciclo de vida e gerenciamento técnico de dívidas | Gerenciar o risco de segurança de tecnologias desatualizadas, sem suporte e herdadas. |
| Simulações estratégicas de segurança | Fortalecer os processos de exercícios de mesa e de gerenciamento de crises por meio de simulações regulares. |
| Componentes principais de governança | Defina estrutura organizacional, direitos de decisão, responsabilidade, políticas, padrões, arquiteturas, guardrails e gerenciamento de conformidade. |
| Compartilhamento de inteligência de segurança | Adicione contexto de negócios à inteligência contra ameaças e compartilhe insights entre equipes de segurança, negócios e tecnologia. |
| Gerenciamento de risco externo | Gerencie a cadeia de suprimentos, o parceiro, o software livre e os riscos de fusão e aquisição. |
| Educação e engajamento | Verifique se as funções em toda a organização entendem por que a segurança importa, o que é necessário e como agir. |
| Gerenciamento de risco interno | Gerenciar riscos de usuários autorizados que podem causar danos intencional ou não intencionalmente. |
| Supervisão de operações de segurança | Forneça a supervisão do gerenciamento de postura, das operações e da arquitetura e meça se os controles são efetivamente implantados e mantidos. |
Alinhamento com outras disciplinas
A disciplina Estratégia de Segurança, Integração e Governança funciona em todas as outras disciplinas de segurança. Sua função não é substituir ou duplicar suas responsabilidades, mas fornecer supervisão que permita, integre, priorize e monitore resultados consistentes em todo o programa de segurança.
| Discipline | Função |
|---|---|
| Arquitetura de segurança de ponta a ponta | Converte a estratégia e a política em uma abordagem técnica coordenada. Isso ajuda a garantir que a estratégia seja acionável, priorizada e claramente comunicada às equipes de tecnologia. |
| Disciplinas de estratégia técnica | Garante que as decisões técnicas se alinhem às prioridades de negócios, à tolerância a riscos e à política, com compensações feitas intencionalmente e não isoladamente. |
| Disciplinas operacionais | Conecta sinais operacionais — incidentes, detecções, comportamento do invasor — de volta às decisões de liderança, permitindo o aprimoramento contínuo da estratégia e dos controles. |
Alinhamento com pilares de tecnologia
No nível do pilar da tecnologia, a disciplina Estratégia de Segurança, Integração e Governança garante que:
- Os controles se alinham à estratégia organizacional, à política e aos padrões.
- A implementação permanece consistente ao longo do tempo e não sofre desvios.
- A melhoria contínua é orientada entre estratégia, integração e governança.
Ele se alinha a esses pilares de tecnologia:
- Identities: define prioridades de risco de identidade, políticas de acesso (incluindo acesso privilegiado), padrões de ciclo de vida e medidas de êxito alinhadas a Confiança Zero.
- Pontos de extremidade/infraestrutura: define os requisitos de ciclo de vida, manutenção e aposentadoria para gerenciar o risco de segurança entre pontos de extremidade e plataformas de infraestrutura.
- Aplicativos: estabelece padrões consistentes de fornecimento, desenvolvimento, implantação e ciclo de vida em saaS e aplicativos personalizados.
- Dados: define prioridades de proteção de dados, classificação, modelos de acesso e governança alinhados ao valor e ao risco de negócios.
- Rede: garante que as configurações e controles de rede ofereçam suporte a estratégias centradas em identidade, gerenciando riscos de rede herdados e modernos.
- IA: atualiza a estratégia de segurança, as habilidades, as ferramentas e a governança para resolver os riscos introduzidos pelo uso de IA e ameaças assistidas por IA.
Próximas Etapas
Recomendamos fazer o workshop de CISO.
O Workshop de CISO ajuda a acelerar a modernização da estratégia de segurança, integração e governança. O workshop está disponível como um compromisso liderado por especialistas da Microsoft Unified.
Os workshops disponíveis incluem:
- Briefing do CISO - uma discussão com menos de quatro horas, com foco nas principais lições e práticas recomendadas.
- Full CISO Workshop – Um workshop de dois dias que fornece detalhes adicionais, um estudo de caso Microsoft, discussões de modelo de maturidade e planos de modernização de referência.
Entre em contato com seu gerente de sucesso do cliente para obter mais informações.
O workshop para CISOs também está disponível em formato de autoestudo, como uma série de vídeos. Saiba mais