Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Sebanyak saya ingin menunjuk ke satu aspek dari batas keamanan saya untuk digunakan sebagai contoh, ada beberapa hal yang perlu disoroti.
Attestasi Tidak Selalu Mengukur Postur Pertahanan Anda
Sebuah attestation, by definition, adalah sebuah indikasi yang membuat sesuatu menjadi jelas. Dalam kasus keamanan, khususnya program keamanan, ini berarti untuk mengesahkan secara resmi.
Orang sering bertanya kepada saya apa yang membuat program keamanan yang baik. Meskipun saya ingin menunjuk satu aspek dari perimeter keamanan saya sebagai contoh, ada beberapa hal yang perlu disoroti. Industri mengandalkan attestation dan sertifikasi untuk mengukur pertahanan keamanan Anda. Insinyur dan operator akan memberi tahu Anda bahwa perimeter keamanan aktual dan kemampuan penilaian ancaman Anda mendefinisikan program keamanan Anda. Saya akan memberitahu Anda bahwa ini adalah kedua attestation kepatuhan sebagai ukuran dan kemampuan operasional tim keamanan Anda yang mendefinisikan program Anda. Meskipun attestation saja bukanlah tolok ukur yang akurat untuk mengukur sebuah program.
Attestation adalah kebutuhan industri untuk memastikan kepatuhan dengan undang-undang federal, lokal, dan negara bagian serta praktik terbaik industri. Standar ISO, NIST, atau DoD membentuk dasar dari sebagian besar attestation. NIST, misalnya, menerbitkan seperangkat standar dan panduan teknis untuk membantu organisasi membangun pertahanan perimeter yang dianggap "dapat diterima" oleh pemerintah. Namun, seperti yang akan saya jelaskan, hanya karena standar ditetapkan tidak berarti implementasi selalu hebat.
Penerapan sebuah Alat Tidak Berarti itu Memberikan Nilai
Evaluasi Program Keamanan Cloud Secara Keseluruhan
Pertama, Anda harus meninjau minimal atestasi dan laporan temuan, bukan ringkasan eksekutif. Itu akan memberi Anda gambaran umum tentang program yang ditinjau oleh pihak ketiga. Selain itu, program keamanan yang komprehensif harus mencakup strategi perlindungan data yang kuat seperti prosedur cadangan dan pemulihan database untuk memastikan kelangsungan bisnis dan integritas data selama insiden keamanan. Kedua, Anda pasti harus meninjau apakah perusahaan menjalani tes penetrasi pihak ketiga atau program bug bounty. Secara pribadi, saya bukan penggemar bug bounty, tetapi saya adalah penggemar uji penetrasi pihak ketiga setiap tahun. Pentesting memberi Anda uji terstruktur dari pertahanan Anda dan umpan balik nyata tentang kerentanan. Akhirnya, tinjau dokumen keamanan (biasanya daftar isi) yang digunakan perusahaan sebagai dasar untuk implementasi. Ini termasuk (tetapi tentu saja tidak terbatas pada) kebijakan keamanan, tanggapan terhadap insiden, dan manajemen kerentanan. Tim keamanan yang berpengalaman akan menawarkan untuk berbagi dokumen dan artefak tersebut sebagai bagian dari bisnis normal.
Saya menjadikannya kebiasaan untuk mengevaluasi setiap vendor dan mitra dari perspektif akses ke data perusahaan. Artinya, jika mitra atau vendor mengelola data perusahaan, mereka mendapatkan pengawasan lebih ketat daripada vendor yang tidak. Ingat tujuan bisnis saat mengevaluasi program keamanan. Saya meninjau tujuan bisnis dan jenis informasi yang terlibat, kemudian mengevaluasi dari perspektif itu, daripada menangani semua mitra dan vendor sama. Saat ragu, selalu minta informasi lebih lanjut.
