OPS01-BP05 Valutazione del panorama delle minacce - Principio dell'eccellenza operativa

OPS01-BP05 Valutazione del panorama delle minacce

Valuta le minacce per l'azienda (ad esempio, concorrenza, rischi e responsabilità aziendali, rischi operativi e minacce per la sicurezza delle informazioni) e conserva le informazioni aggiornate in un registro dei rischi. Quando stabilisci dove concentrare gli sforzi, tieni in considerazione l'impatto dei rischi.

Il Framework Well-Architected favorisce l'apprendimento, la misurazione e il miglioramento. Fornisce una strategia coerente per la valutazione delle architetture e l'implementazione di progetti in grado di scalare nel corso del tempo. AWS mette a disposizione lo AWS Well-Architected Tool per aiutarti ad analizzare l'approccio prima dello sviluppo e lo stato dei carichi di lavoro prima e durante la fase di produzione. Puoi confrontare il tuo approccio con le best practice architetturali AWS più recenti, monitorare lo stato complessivo dei carichi di lavoro e ottenere approfondimenti sui potenziali rischi.

I clienti AWS possono usufruire della revisione Well-Architected dei carichi di lavoro mission-critical per misurare le loro architetture rispetto alle best practice AWS. I clienti del supporto Enterprise possono utilizzare una revisione delle operazioni ideata per agevolare l'identificazione delle lacune nell'approccio che usano nel cloud.

Il coinvolgimento trasversale dei team per tali controlli aiuta a comprendere a livello comune i carichi di lavoro e come i ruoli del team contribuiscano al successo. Le esigenze identificate nel corso dell'analisi possono aiutarti a definire le priorità.

AWS Trusted Advisor è uno strumento che fornisce l'accesso a una serie di controlli di base che propongono ottimizzazioni utili per la definizione delle priorità. I clienti del supporto Business ed Enterprise hanno accesso a ulteriori controlli a livello di sicurezza, affidabilità, prestazioni e ottimizzazione dei costi che possono essere utili per definire le priorità.

Risultato desiderato:

  • Esamini e intervieni periodicamente sui risultati forniti da Well-Architected e Trusted Advisor.

  • Sei a conoscenza dello stato delle patch più recenti dei servizi.

  • Comprendi il rischio e l'impatto delle minacce note e intervieni di conseguenza.

  • Implementi le mitigazioni necessarie.

  • Comunichi azioni e contesto.

Anti-pattern comuni:

  • Stai utilizzando la versione precedente di una libreria software nel tuo prodotto. Non sei a conoscenza di aggiornamenti di sicurezza alla libreria per problemi che potrebbero avere un impatto imprevisto sul carico di lavoro.

  • Il tuo concorrente ha appena rilasciato una versione del proprio prodotto che risolve i reclami di molti dei tuoi clienti relativi al tuo prodotto. Non hai dato priorità alla risoluzione di questi problemi noti.

  • Le autorità di regolamentazione hanno perseguito aziende come la tua che non sono conformi ai requisiti di conformità alla normativa legale. Non hai dato priorità ai requisiti di conformità in sospeso.

Vantaggi dell'adozione di questa best practice: identificando e comprendendo le minacce rivolte all'organizzazione e al carico di lavoro puoi determinare quali problematiche affrontare, la loro priorità e le risorse necessarie per farlo.

Livello di rischio associato se questa best practice non fosse adottata: medio

Guida all'implementazione

  • Valuta il panorama delle minacce: valuta le minacce per l'azienda, ad esempio concorrenza, rischi e responsabilità aziendali, rischi operativi e minacce alla sicurezza delle informazioni, in modo da poterne includere l'impatto quando determini dove concentrare le attività.

  • Mantieni un modello delle minacce: definisci e mantieni un modello delle minacce che identifichi le potenziali minacce, le mitigazioni pianificate e predisposte nonché la loro priorità. Esamina la probabilità che le minacce si manifestino come incidenti, il costo del recupero dagli incidenti, il danno previsto causato e il costo per prevenire tali incidenti. Modifica le priorità man mano che i contenuti del modello di minaccia cambiano.

Risorse

Best practice correlate:

Documenti correlati:

Video correlati: