لماذا التصديقات هي جزء واحد فقط من برنامج أمان السحابة الخاص بك
ستيفن موراي
05/07/2017
البريد الإلكتروني
1 min read
النقاط الرئيسية
Attestations alone don’t guarantee security. They confirm that certain standards are met, but not that controls are functioning or monitored properly.
Operational readiness matters more than certification. A company can pass an audit while its security tools—like IDS/IPS systems—are nonfunctional.
Auditors often verify existence, not performance. Many attestations assess whether systems exist, not whether they are configured correctly or actively maintained.
A strong cloud security program blends compliance with continuous monitoring. Attestations provide a compliance baseline, but ongoing testing and evaluation ensure true protection.
Third-party penetration tests reveal real vulnerabilities. They offer deeper insights than surveys or checklists, validating that security measures work under real-world conditions.
Vendor evaluations should consider data access and risk exposure. Partners handling sensitive information deserve stricter scrutiny and regular review.
Effective security requires transparency. Mature organizations willingly share policies, incident response frameworks, and vulnerability management procedures.
Q&A Highlights
Why aren’t attestations a reliable measure of security maturity?
Because they only prove that required controls exist, not that they work. True security maturity involves ongoing validation, monitoring, and responsiveness to threats.
What’s a common failure in relying solely on compliance checks?
Organizations may deploy tools just to “check the box.” For example, an IDS may be installed but not actually configured to detect or alert on threats.
What should you review beyond attestations when evaluating a vendor?
Always examine the full findings report (not just the summary), ask about annual penetration testing, and request access to core security documentation.
How can third-party testing improve a security program?
Penetration tests simulate real-world attacks, revealing weaknesses that compliance audits overlook, ensuring that defenses function as intended.
What defines a mature cloud security program?
A balanced approach combining attestations, continuous monitoring, data protection strategies, incident response readiness, and proactive vulnerability management.
How should you assess vendors’ security postures?
Evaluate based on the sensitivity of data they access—vendors handling customer data should meet higher security standards and undergo regular reviews.
غالبًا ما يسألني الناس عن ما يجعل برنامج الأمن جيدًا. وعلى الرغم من أنني أرغب في الإشارة إلى جانب واحد من محيط الأمان الخاص بي كمثال، إلا أن هناك عناصر متعددة يجب تسليط الضوء عليها.
الشهادات لا تقيس دائمًا وضعك الدفاعي
الشهادة، حسب التعريف، هي مؤشر يجعل شيئًا واضحًا. في حالة الأمان، وخاصة برامج الأمان، يعني التصديق في قدرة رسمية.
غالبًا ما يسألني الناس ما الذي يجعل برنامج أمان جيد. بقدر ما أود أن أشير إلى أحد جوانب محيط الأمان الخاص بي لاستخدامها كمثال، هناك عناصر متعددة لتسليط الضوء عليها. تعتمد الصناعة على الشهادات والاعتمادات لقياس دفاعات الأمان لديك. سيخبرك المهندسون والمشغلون أن محيط الأمان الفعلي وقدرات تقييم التهديدات لديك هي التي تحدد برنامج الأمان الخاص بك. سأخبرك أنه كلا من شهادات الامتثال كقياس وقدرات التشغيل لفريق الأمان لديك هي التي تحدد برنامجك. على الرغم من أن الشهادات وحدها ليست قياسًا دقيقًا لقياس البرنامج.
الشهادات هي ضرورة في الصناعة لضمان الامتثال مع القوانين الفيدرالية والمحلية والولائية وكذلك أفضل الممارسات الصناعية. تشكل معايير ISO وNIST أو DoD خط الأساس لمعظم الشهادات. على سبيل المثال، ينشر NIST مجموعة من المعايير والدلائل الفنية لمساعدة المنظمات في بناء دفاعات محيطية مقبولة من الحكومة. ومع ذلك، كما سأوضح، فقط لأن المعايير محددة لا يعني أن التنفيذ يكون دائمًا رائعًا.
نشر أداة لا يعني بالضرورة أنها توفر قيمة
تقييم برنامج أمن السحابة بالكامل
أولاً، ينبغي عليك مراجعة الشهادات وتقرير النتائج على الأقل، وليس الملخص التنفيذي. ذلك سيوفر لك نظرة عامة على البرنامج الذي تمت مراجعته من قبل طرف ثالث. بالإضافة إلى ذلك، يجب أن تتضمن برامج الأمان الشاملة استراتيجيات حماية بيانات قوية مثل إجراءات النسخ الاحتياطي واستعادة قواعد البيانات لضمان استمرارية العمل وسلامة البيانات أثناء حوادث الأمان. ثانيًا، يجب عليك بالتأكيد مراجعة ما إذا كانت الشركة تخضع لاختبار اختراق من طرف ثالث أو برنامج Bug Bounty. شخصيًا، لست من محبي Bug Bounties، ولكنني مؤيد لاختبار الاختراق من طرف ثالث على أساس سنوي. يقدم لك اختبار الاختراق تقييمًا هيكليًا لدفاعاتك وملاحظات فعلية على نقاط الضعف. وأخيراً، راجع مستندات الأمان (عادةً جدول المحتويات) التي تستخدمها الشركة كأساس للتنفيذ. يتضمن ذلك (ولكن ليس محدودًا بها) سياسة الأمن، والاستجابة للحوادث، وإدارة الثغرات الأمنية. سيعرض فريق الأمان ذو الخبرة مشاركة تلك المستندات والمواد كجزء من العمل العادي.
أعتبره أمرًا طبيعيًا تقييم كل مورّد وشريك من منظور الوصول إلى بيانات الشركة. بمعنى أنه إذا كان الشريك أو المورّد يدير بيانات الشركة، فإنه يكون خاضعًا لمزيد من التدقيق مقارنة بمورّد لا يديرها. ضع في اعتبارك الهدف التجاري عند تقييم برنامج الأمان. أراجع الهدف التجاري ونوع المعلومات المعنية، ثم أقيم من هذا المنظور، بدلاً من التعامل مع جميع الشركاء والموردين بشكل موحد. عندما تكون في شك، اطلب دائمًا المزيد من المعلومات.
