La gente a menudo me pregunta qué hace un buen programa de seguridad. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos para destacar.
Las Attestations no siempre miden tu postura defensiva
Una atestación, por definición, es una indicación que hace evidente algo. En el caso de la seguridad, específicamente los programas de seguridad, significa certificar oficialmente.
La gente a menudo me pregunta qué hace que un programa de seguridad sea bueno. Por mucho que me gustaría señalar un aspecto de mi perímetro de seguridad como ejemplo, hay múltiples elementos que destacar. La industria se basa en atestaciones y certificaciones para medir tus defensas de seguridad. Los ingenieros y operadores te dirán que tu verdadero perímetro de seguridad y las capacidades de evaluación de amenazas definen tu programa de seguridad. Yo te diré que tanto las atestaciones de cumplimiento como medida, como las capacidades operativas de tu equipo de seguridad definen tu programa. Sin embargo, las atestaciones por sí solas no son un estándar preciso para medir un programa.
Las atestaciones son una necesidad de la industria para asegurar el cumplimiento de los estatutos federales, locales y estatales, así como de las mejores prácticas de la industria. Los estándares ISO, NIST o DoD forman la base de la mayoría de las atestaciones. NIST, por ejemplo, publica un conjunto de estándares y guías técnicas para ayudar a las organizaciones a construir defensas perimetrales que sean “aceptables” para el gobierno. Sin embargo, como explicaré, el hecho de que se establezcan estándares no significa que la implementación siempre sea excepcional.
El Despliegue de una Herramienta No Significa que Está Proporcionando Valor
Evalúa el Entire Cloud Security Program
Primero, debes revisar como mínimo las declaraciones juradas y el informe de hallazgos, no el resumen ejecutivo. Esto te proporcionará una visión general del programa revisado por un tercero. Además, los programas de seguridad completos deben incluir estrategias de protección de datos robustas como procedimientos de respaldo y recuperación de bases de datos para asegurar la continuidad del negocio y la integridad de los datos durante incidentes de seguridad. Segundo, definitivamente debes revisar si la empresa se somete a una prueba de penetración de terceros o un programa de recompensas por errores. Personalmente, no soy fan de las recompensas por errores, pero sí lo soy de las pruebas de penetración de terceros anualmente. Pentesting te proporciona una prueba estructurada de tus defensas y retroalimentación real sobre vulnerabilidades. Finalmente, revisa los documentos de seguridad (generalmente índice de contenidos) que la empresa utiliza como base para la implementación. Esto incluye (pero ciertamente no se limita a) una política de seguridad, respuesta a incidentes y gestión de vulnerabilidades. Un equipo de seguridad experimentado ofrecerá compartir esos documentos y artefactos como parte del negocio normal.
Para mí, es una práctica habitual evaluar a cada proveedor y socio desde la perspectiva del acceso a los datos de la empresa. Esto significa que si el socio o proveedor gestiona los datos de la empresa, están sujetos a más escrutinio que un proveedor que no lo hace. Ten en cuenta el propósito del negocio al evaluar un programa de seguridad. Reviso el propósito del negocio y el tipo de información involucrada, luego evalúo desde esa perspectiva, en lugar de tratar a todos los socios y proveedores por igual. En caso de duda, siempre pide más información.
