Comment concevoir une architecture de sécurité

2. Classer et catégoriser les systèmes de l’université

Ensuite, classez et catégorisez les systèmes et les données que votre organisation utilise. Il peut s’agir d’une analyse complète de tous les actifs informatiques et de données, ou dans le cas des architectures Zero Trust, elle peut se concentrer plus étroitement sur la « surface de protection » des actifs critiques de votre institution. Dans les deux cas, l’objectif de cet effort est d’attribuer à chaque système une classification (généralement basée sur la sensibilité des données) et de catégoriser les systèmes en fonction d’attributs similaires afin que vous puissiez attribuer des contrôles communs.

3. Effectuer une modélisation complète des menaces

Lors de la modélisation des menaces, une organisation doit prendre en compte les risques pour les données et les actifs informatiques dans le contexte de son environnement commercial et réglementaire global. À ce stade, cela aide à établir un processus reproductible pour évaluer les risques et identifier les systèmes les plus prioritaires à examiner.

Un processus d’évaluation des risques reproductible tel que le cadre de gestion des risques du NIST, associé à une classification et à une catégorisation appropriées des systèmes, aidera votre organisation à identifier et à attribuer des contrôles de sécurité de manière cohérente dans le temps.

DÉCOUVRIR: Stratégie de sécurité évolutive pour les infrastructures universitaires.

4. Sélectionner et mettre en œuvre des contrôles de sécurité

Une fois vos systèmes classés et les risques évalués, vous devriez avoir une bonne idée de vos principales priorités lors de la sélection des contrôles. Les contrôles de sécurité sont des mesures de protection qui garantissent qu’une politique de sécurité spécifique est appliquée ou que des violations sont signalées. Les contrôles de sécurité peuvent être de nature technique, administrative ou physique et sont souvent divisés en familles. La publication spéciale 800-53 du NIST identifie 18 familles distinctes de contrôles allant de l’accès physique à l’intégrité du système et de l’information.

Pour réussir la mise en œuvre des contrôles de sécurité, les équipes informatiques doivent traduire ces contrôles en configurations techniques, processus de gestion ou contrôles physiques. Heureusement, plusieurs ressources peuvent vous aider. Le département américain de la Défense publie des guides de mise en œuvre technique de la sécurité qui fournissent des instructions étape par étape pour la mise en œuvre de familles de contrôles sur diverses plates-formes. De plus, le Center for Internet Security propose des configurations de base pour de nombreux systèmes. Ces repères peuvent être utilisés pour configurer initialement un système et le surveiller au fil du temps pour la conformité avec un ensemble spécifique de contrôles.

À ce stade, il est important de prendre en compte non seulement les contrôles, mais également les métriques nécessaires pour évaluer avec précision l’efficacité de l’architecture de sécurité. Mesurer la conformité de base, la cadence des correctifs ou les résultats de l’analyse des vulnérabilités au fil du temps peut vous aider à comprendre où votre architecture fonctionne efficacement et où elle nécessite une attention particulière.

DÉCOUVRIR: Comment éviter les failles de sécurité dans le service informatique.

5. Suivi, ajustement et amélioration continue des contrôles

Enfin, une organisation doit surveiller et évaluer l’efficacité de ses contrôles de sécurité au fil du temps. La publication spéciale NIST 800-137 fournit des conseils qui intègrent la surveillance de la sécurité dans le cadre de gestion des risques et fournit des informations techniques, commerciales et exécutives sur la posture de sécurité. Il décrit une famille d’outils pour la surveillance continue de la sécurité de l’information et leurs principales exigences.

L’intégration aux systèmes d’assistance et d’inventaire, ainsi qu’aux outils de gestion des informations et des événements de sécurité et d’agrégation des journaux est essentielle. Les outils prenant en charge le protocole Security Content Automation peuvent surveiller et alerter en permanence les terminaux compatibles SCAP lorsqu’ils s’écartent d’une ligne de base définie.

Leave a Comment