Menschen fragen mich oft, was ein gutes Sicherheitsprogramm ausmacht. So gern ich auch auf einen Aspekt meines Sicherheitsperimeters als Beispiel verweisen würde, gibt es mehrere Punkte, die hervorgehoben werden sollten.
Attestations messen nicht immer Ihre defensive Haltung
Eine Bescheinigung, per Definition, ist ein Hinweis, der etwas offensichtlich macht. Im Fall der Sicherheit, speziell Sicherheitsprogramme, bedeutet es, in offizieller Funktion zu zertifizieren.
Oft fragen mich Leute, was ein gutes Sicherheitsprogramm ausmacht. So sehr ich auch einen Aspekt meines Sicherheitsumfelds als Beispiel hervorheben möchte, es gibt mehrere Punkte, die erwähnt werden sollten. Die Branche verlässt sich auf Bescheinigungen und Zertifikationen, um Ihre Sicherheitsabwehr zu messen. Ingenieure und Betreiber werden Ihnen sagen, dass Ihr tatsächliches Sicherheitsumfeld und Ihre Bedrohungsbewertungsfähigkeiten Ihr Sicherheitsprogramm definieren. Ich werde Ihnen sagen, es sind sowohl die Einhaltungszertifikate als Maßstab als auch die operativen Fähigkeiten Ihres Sicherheitsteams, die Ihr Programm definieren. Obwohl Bescheinigungen allein kein genauer Maßstab sind, um ein Programm zu bewerten.
Bescheinigungen sind eine Branchennotwendigkeit, um die Einhaltung von bundesstaatlichen, lokalen und staatlichen Gesetzen sowie branchenüblichen Standards zu gewährleisten. ISO-, NIST- oder DoD-Standards bilden die Grundlage der meisten Bescheinigungen. NIST beispielsweise, veröffentlicht eine Reihe von Standards und technischen Leitfäden, um Organisationen dabei zu helfen, Sicherheitsbarrieren zu errichten, die der Regierung „akzeptabel“ sind. Wie ich jedoch darlegen werde, bedeutet das nicht, dass die Umsetzung immer hervorragend ist, nur weil die Standards festgelegt sind.
Die Einführung eines Tools bedeutet nicht, dass es einen Wert bietet
Bewerten Sie das gesamte Cloud Security Program
Zuerst sollten Sie mindestens die Erklärungen und den Untersuchungsbericht überprüfen, nicht die Zusammenfassung. Das verschafft Ihnen einen Überblick über das Programm, das von Dritten geprüft wurde. Zusätzlich sollten umfassende Sicherheitsprogramme robuste Datenschutzstrategien wie Datenbank-Backup- und Wiederherstellungsverfahren beinhalten, um die Geschäftskontinuität und Datenintegrität bei Sicherheitsvorfällen sicherzustellen. Zweitens sollten Sie auf jeden Fall überprüfen, ob das Unternehmen einen Penetrationstest oder ein Bug-Bounty-Programm von Dritten durchführt. Persönlich bin ich kein Fan von Bug-Bountys, aber ein Fan von jährlichen Penetrationstests durch Dritte. Penetrationstests bieten Ihnen eine strukturierte Prüfung Ihrer Abwehrmaßnahmen und echtes Feedback zu Schwachstellen. Schließlich sollten Sie die Sicherheitsdokumente (gewöhnlich Inhaltsverzeichnis), die das Unternehmen als Grundlage für die Implementierung nutzt, überprüfen. Dazu gehören unter anderem eine Sicherheitspolitik, ein Reaktionsplan auf Vorfälle und ein Schwachstellenmanagement. Ein erfahrenes Sicherheitsteam wird anbieten, diese Dokumente und Artefakte im normalen Geschäftsverkehr zu teilen.
Ich mache es zur Selbstverständlichkeit, jeden Anbieter und Partner aus der Perspektive des Zugriffs auf Unternehmensdaten zu bewerten. Das bedeutet, wenn der Partner oder Anbieter Unternehmensdaten verwaltet, unterliegt er einer strengeren Prüfung als ein Anbieter, der dies nicht tut. Beachten Sie den Geschäftszweck, wenn Sie ein Sicherheitsprogramm bewerten. Ich überprüfe den Geschäftszweck und die Art der beteiligten Informationen und bewerte dann aus dieser Perspektive, anstatt alle Partner und Anbieter gleich zu behandeln. Im Zweifelsfall fragen Sie immer nach weiteren Informationen.
