
Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gern ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel verweisen würde, gibt es mehrere Punkte, die hervorgehoben werden sollten.
Attestations messen nicht immer Ihre defensive Haltung
Ein Attestation, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Falle der Sicherheit, insbesondere von Sicherheitsprogrammen, bedeutet es, offiziell zu bescheinigen.
Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gerne ich auch auf einen Aspekt meines Sicherheitsperimeters hinweisen würde, um ihn als Beispiel zu verwenden, gibt es mehrere Punkte hervorzuheben. Die Branche verlässt sich auf Attestationen und Zertifizierungen, um Ihre Sicherheitsmaßnahmen zu beurteilen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächlicher Sicherheitsperimeter und Ihre Bedrohungsbewertungskompetenzen Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, dass sowohl Compliance-Attestationen als auch die operationellen Fähigkeiten Ihres Sicherheitsteams Ihr Programm definieren. Zwar sind allein Attestationen kein genauer Maßstab, um ein Programm zu messen.
Attestationen sind eine Branchennotwendigkeit, um die Einhaltung von Bundes-, lokalen und staatlichen Gesetzen sowie bewährten Branchenpraktiken sicherzustellen. ISO, NIST oder DoD-Standards bilden die Basis der meisten Attestationen. NIST veröffentlicht zum Beispiel einen Satz von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Perimeterverteidigungen aufzubauen, die für die Regierung „akzeptabel“ sind. Wie ich jedoch aufzeigen werde, bedeutet das Setzen von Standards nicht zwangsläufig, dass die Implementierung immer hervorragend ist.
Die Einführung eines Tools bedeutet nicht, dass es einen Wert bietet
Bewerten Sie das gesamte Cloud Security Program
Erstens sollten Sie mindestens die Bescheinigungen und den Bericht der Ergebnisse überprüfen, nicht die Zusammenfassung für Führungskräfte. Dies gibt Ihnen einen Überblick über das Programm, das von einer dritten Partei überprüft wurde. Zweitens sollten Sie definitiv überprüfen, ob das Unternehmen einem dritten Penetrationstest oder Bug-Bounty-Programm unterzogen wird. Persönlich bin ich kein Fan von Bug-Bounties, aber ich bin ein Fan von jährlichen Penetrationstests durch Dritte. Pentesting gibt Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente überprüfen (normalerweise Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Umsetzung verwendet. Dazu gehören (aber sind sicherlich nicht beschränkt auf) eine Sicherheitsrichtlinie, Vorfallreaktion und Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte als Teil des normalen Geschäfts zu teilen.
Für mich ist es selbstverständlich, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer stärkeren Prüfung als ein Anbieter, der dies nicht tut. Behalten Sie den Geschäftszweck im Kopf, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall immer nach mehr Informationen fragen.