
La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar.
Las Attestations no siempre miden tu postura defensiva
Un atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar en una capacidad oficial.
La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar. La industria confía en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu perímetro de seguridad real y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que son tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad las que definen tu programa. Aunque las atestaciones por sí solas no son un punto de referencia exacto para medir un programa.
Las atestaciones son una necesidad de la industria para asegurar el cumplimiento con los estatutos federales, locales y estatales, así como con las mejores prácticas de la industria. Los estándares de ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como detallaré, el simple hecho de que se establezcan los estándares no significa que la implementación siempre sea excelente.
El Despliegue de una Herramienta No Significa que Está Proporcionando Valor
Evalúa el Entire Cloud Security Program
Primero, debes revisar como mínimo las declaraciones y el informe de hallazgos, no el resumen ejecutivo. Eso te proporcionará una visión general del programa revisado por un tercero. Segundo, definitivamente deberías revisar si la empresa se somete a una prueba de penetración por terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí de las pruebas de penetración por terceros de forma anual. La prueba de penetración te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente el índice) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.
Me aseguro de evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Evalúo el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores de la misma manera. En caso de duda, siempre pide más información.