Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Stefano Murray

5 lug 2017

Email

1 min read

Perché le attestazioni sono solo una parte del tuo programma di sicurezza nel cloud

Punti Chiave

    • Le attestazioni da sole non garantiscono la sicurezza. Confermano che determinati standard sono rispettati, ma non che i controlli funzionino o siano monitorati correttamente.

    • La prontezza operativa è più importante della certificazione. Un'azienda può superare un audit mentre i suoi strumenti di sicurezza—come i sistemi IDS/IPS—sono non funzionali.

    • Gli auditor spesso verificano l'esistenza, non le prestazioni. Molte attestazioni valutano se i sistemi esistono, non se siano configurati correttamente o mantenuti attivamente.

    • Un forte programma di sicurezza cloud mescola conformità e monitoraggio continuo. Le attestazioni forniscono una base di conformità, ma test e valutazioni continui garantiscono una vera protezione.

    • I test di penetrazione di terze parti rivelano vulnerabilità reali. Offrono approfondimenti più dettagliati rispetto a sondaggi o liste di controllo, convalidando che le misure di sicurezza funzionino in condizioni reali.

    • Le valutazioni dei fornitori dovrebbero considerare l'accesso ai dati e l'esposizione al rischio. I partner che gestiscono informazioni sensibili meritano uno scrutinio più rigoroso e una revisione regolare.

    • Una sicurezza efficace richiede trasparenza. Le organizzazioni mature condividono volontariamente politiche, quadri di risposta agli incidenti e procedure di gestione delle vulnerabilità.

Punti salienti del Q&A

  • Perché le attestazioni non sono una misura affidabile della maturità della sicurezza?

    Perché dimostrano solo che i controlli richiesti esistono, non che funzionino. La vera maturità della sicurezza comporta una convalida continua, monitoraggio e reattività alle minacce.

  • Qual è un errore comune nel fare affidamento esclusivamente sui controlli di conformità?

    Le organizzazioni possono implementare strumenti solo per "spuntare la casella." Ad esempio, un IDS può essere installato ma non effettivamente configurato per rilevare o avvisare su minacce.

  • Cosa dovresti rivedere oltre alle attestazioni quando valuti un fornitore?

    Esaminare sempre il rapporto completo sui risultati (non solo il riepilogo), chiedere informazioni sui test di penetrazione annuali e richiedere accesso alla documentazione di sicurezza fondamentale.

  • In che modo i test di terze parti possono migliorare un programma di sicurezza?

    I test di penetrazione simulano attacchi del mondo reale, rivelando vulnerabilità che le verifiche di conformità trascurano, assicurando che le difese funzionino come previsto.

  • Cosa definisce un programma di sicurezza cloud maturo?

    Un approccio bilanciato che combina attestazioni, monitoraggio continuo, strategie di protezione dei dati, prontezza nella risposta agli incidenti e gestione proattiva delle vulnerabilità.

  • Come dovresti valutare le posture di sicurezza dei fornitori?

    Valutare in base alla sensibilità dei dati a cui hanno accesso: i fornitori che gestiscono dati dei clienti dovrebbero soddisfare standard di sicurezza più elevati e sottoporsi a revisioni regolari.

Spesso le persone mi chiedono cosa renda un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da usare come esempio, ci sono molteplici elementi da evidenziare.

Le attestazioni non misurano sempre la tua postura difensiva

Un attestato, per definizione, è un'indicazione che rende qualcosa evidente. Nel caso della sicurezza, specificamente per i programmi di sicurezza, significa certificare in modo ufficiale.

Le persone mi chiedono spesso che cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da usare come esempio, ci sono più elementi da evidenziare. L'industria si basa su attestazioni e certificazioni per misurare le tue difese di sicurezza. Gli ingegneri e gli operatori ti diranno che il tuo effettivo perimetro di sicurezza e le capacità di valutazione delle minacce definiscono il tuo programma di sicurezza. Ti dirò che sono sia le attestazioni di conformità come misurazione, sia le capacità operative del tuo team di sicurezza a definire il tuo programma. Anche se le attestazioni da sole non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità dell'industria per garantire la conformità alle normative federali, locali e statali, così come alle migliori pratiche del settore. Gli standard ISO, NIST o DoD formano la base della maggior parte delle attestazioni. Il NIST, ad esempio, pubblica un insieme di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come sottolineerò, tuttavia, solo perché siano fissati gli standard non significa che l'implementazione sia sempre eccezionale.

Un attestato, per definizione, è un'indicazione che rende qualcosa evidente. Nel caso della sicurezza, specificamente per i programmi di sicurezza, significa certificare in modo ufficiale.

Le persone mi chiedono spesso che cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da usare come esempio, ci sono più elementi da evidenziare. L'industria si basa su attestazioni e certificazioni per misurare le tue difese di sicurezza. Gli ingegneri e gli operatori ti diranno che il tuo effettivo perimetro di sicurezza e le capacità di valutazione delle minacce definiscono il tuo programma di sicurezza. Ti dirò che sono sia le attestazioni di conformità come misurazione, sia le capacità operative del tuo team di sicurezza a definire il tuo programma. Anche se le attestazioni da sole non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità dell'industria per garantire la conformità alle normative federali, locali e statali, così come alle migliori pratiche del settore. Gli standard ISO, NIST o DoD formano la base della maggior parte delle attestazioni. Il NIST, ad esempio, pubblica un insieme di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come sottolineerò, tuttavia, solo perché siano fissati gli standard non significa che l'implementazione sia sempre eccezionale.

Un attestato, per definizione, è un'indicazione che rende qualcosa evidente. Nel caso della sicurezza, specificamente per i programmi di sicurezza, significa certificare in modo ufficiale.

Le persone mi chiedono spesso che cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da usare come esempio, ci sono più elementi da evidenziare. L'industria si basa su attestazioni e certificazioni per misurare le tue difese di sicurezza. Gli ingegneri e gli operatori ti diranno che il tuo effettivo perimetro di sicurezza e le capacità di valutazione delle minacce definiscono il tuo programma di sicurezza. Ti dirò che sono sia le attestazioni di conformità come misurazione, sia le capacità operative del tuo team di sicurezza a definire il tuo programma. Anche se le attestazioni da sole non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità dell'industria per garantire la conformità alle normative federali, locali e statali, così come alle migliori pratiche del settore. Gli standard ISO, NIST o DoD formano la base della maggior parte delle attestazioni. Il NIST, ad esempio, pubblica un insieme di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come sottolineerò, tuttavia, solo perché siano fissati gli standard non significa che l'implementazione sia sempre eccezionale.

Il deployment di uno strumento non significa che stia fornendo valore

I controlli consentono flessibilità nell'implementazione e nella crescita operativa e innovazione nel tempo. Sfortunatamente, alcune organizzazioni utilizzano la flessibilità per spuntare la casella, ma non hanno vere difese in atto.

Un esempio principale di questo problema sono i sistemi di rilevamento/protezione delle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come pratica di sicurezza standard per proteggere contro il traffico dannoso e l'exfiltrazione dei dati. Il settore è difficile da ignorare dai fornitori che offrono varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistare.

Recentemente ho lasciato una di queste organizzazioni che "costruiva" il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un "fantastico strumento", e sono stati anche forniti esempi di traffico. Quando ho approfondito la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore poiché non era configurato per catturare alcun traffico o per segnalare affatto. Inoltre, le credenziali utilizzate per gestire lo strumento erano state impostate da un ex dipendente e non erano mai state aggiornate dopo la sua partenza. Quindi, essentially, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Non solo questo mette a rischio l'azienda, ma compromette anche il perimetro.

Un auditor esperto non avrebbe colto il problema perché le attestazioni non cercano informazioni "operative" su tutti i sistemi - lo standard è letteralmente uno strato di domanda e risposta. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua viabilità operativa. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica da discernere un IDS/IPS funzionale da uno non funzionale. Il nocciolo dell'audit si basa sull'azienda per mettere il proprio miglior piede in avanti piuttosto che rispondere a domande difficili. Gli auditor devono anche coprire una vasta gamma di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola ti dirà che un'azienda ha un programma di sicurezza maturo con controlli. Richiedere a un potenziale partner di completare un sondaggio per fornitori non ti darà nemmeno fiducia. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione e nella crescita operativa e innovazione nel tempo. Sfortunatamente, alcune organizzazioni utilizzano la flessibilità per spuntare la casella, ma non hanno vere difese in atto.

Un esempio principale di questo problema sono i sistemi di rilevamento/protezione delle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come pratica di sicurezza standard per proteggere contro il traffico dannoso e l'exfiltrazione dei dati. Il settore è difficile da ignorare dai fornitori che offrono varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistare.

Recentemente ho lasciato una di queste organizzazioni che "costruiva" il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un "fantastico strumento", e sono stati anche forniti esempi di traffico. Quando ho approfondito la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore poiché non era configurato per catturare alcun traffico o per segnalare affatto. Inoltre, le credenziali utilizzate per gestire lo strumento erano state impostate da un ex dipendente e non erano mai state aggiornate dopo la sua partenza. Quindi, essentially, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Non solo questo mette a rischio l'azienda, ma compromette anche il perimetro.

Un auditor esperto non avrebbe colto il problema perché le attestazioni non cercano informazioni "operative" su tutti i sistemi - lo standard è letteralmente uno strato di domanda e risposta. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua viabilità operativa. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica da discernere un IDS/IPS funzionale da uno non funzionale. Il nocciolo dell'audit si basa sull'azienda per mettere il proprio miglior piede in avanti piuttosto che rispondere a domande difficili. Gli auditor devono anche coprire una vasta gamma di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola ti dirà che un'azienda ha un programma di sicurezza maturo con controlli. Richiedere a un potenziale partner di completare un sondaggio per fornitori non ti darà nemmeno fiducia. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

I controlli consentono flessibilità nell'implementazione e nella crescita operativa e innovazione nel tempo. Sfortunatamente, alcune organizzazioni utilizzano la flessibilità per spuntare la casella, ma non hanno vere difese in atto.

Un esempio principale di questo problema sono i sistemi di rilevamento/protezione delle intrusioni (IDS o IPS). Come gli scanner antivirus, la maggior parte delle organizzazioni investe in IDS/IPS come pratica di sicurezza standard per proteggere contro il traffico dannoso e l'exfiltrazione dei dati. Il settore è difficile da ignorare dai fornitori che offrono varie forme di sistemi IDS/IPS. Tuttavia, alcune organizzazioni costruiscono sistemi piuttosto che acquistare.

Recentemente ho lasciato una di queste organizzazioni che "costruiva" il proprio sistema di rilevamento delle intrusioni utilizzando strumenti open source. Agli auditor è stato detto che il sistema era un "fantastico strumento", e sono stati anche forniti esempi di traffico. Quando ho approfondito la telemetria che lo strumento forniva, mi sono reso conto che il traffico non veniva analizzato affatto. Piuttosto, passava attraverso il sensore poiché non era configurato per catturare alcun traffico o per segnalare affatto. Inoltre, le credenziali utilizzate per gestire lo strumento erano state impostate da un ex dipendente e non erano mai state aggiornate dopo la sua partenza. Quindi, essentially, lo strumento è rimasto inattivo per mesi senza alcun intervento umano. Non solo questo mette a rischio l'azienda, ma compromette anche il perimetro.

Un auditor esperto non avrebbe colto il problema perché le attestazioni non cercano informazioni "operative" su tutti i sistemi - lo standard è letteralmente uno strato di domanda e risposta. Infatti, la maggior parte delle attestazioni misura semplicemente se lo strumento esiste, non la sua viabilità operativa. Inoltre, la maggior parte degli auditor non è sufficientemente tecnica da discernere un IDS/IPS funzionale da uno non funzionale. Il nocciolo dell'audit si basa sull'azienda per mettere il proprio miglior piede in avanti piuttosto che rispondere a domande difficili. Gli auditor devono anche coprire una vasta gamma di controlli durante un audit, quindi il tempo è un fattore importante nella qualità della loro analisi.

Un'attestazione da sola ti dirà che un'azienda ha un programma di sicurezza maturo con controlli. Richiedere a un potenziale partner di completare un sondaggio per fornitori non ti darà nemmeno fiducia. I sondaggi delineano semplicemente le stesse informazioni in un formato diverso. Quindi, come si valuta un programma di sicurezza maturo?

Valuta l'intero programma di sicurezza in cloud

Prima di tutto, dovresti rivedere almeno le attestazioni e il rapporto delle scoperte, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, programmi di sicurezza completi dovrebbero includere robuste strategie di protezione dei dati come procedure di backup e ripristino del database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente rivedere se l'azienda subisce un test di penetrazione da parte di terze parti o un programma di bug bounty. Personalmente, non sono un fan dei bug bounty, ma sono un sostenitore dei test di penetrazione da parte di terze parti su base annuale. Il pentesting ti offre un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, rivedi i documenti di sicurezza (di solito indice) che l'azienda utilizza come base per l'implementazione. Questo include (ma non è certamente limitato a) una politica di sicurezza, una gestione degli incidenti e una gestione delle vulnerabilità. Un team di sicurezza esperto si offrirà di condividere quei documenti e artefatti come parte della normale attività.

Ritengo fondamentale valutare ogni fornitore e partner dalla prospettiva dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce dati aziendali, è soggetto a una maggiore attenzione rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Valuto lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che trattare tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.

Prima di tutto, dovresti rivedere almeno le attestazioni e il rapporto delle scoperte, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, programmi di sicurezza completi dovrebbero includere robuste strategie di protezione dei dati come procedure di backup e ripristino del database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente rivedere se l'azienda subisce un test di penetrazione da parte di terze parti o un programma di bug bounty. Personalmente, non sono un fan dei bug bounty, ma sono un sostenitore dei test di penetrazione da parte di terze parti su base annuale. Il pentesting ti offre un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, rivedi i documenti di sicurezza (di solito indice) che l'azienda utilizza come base per l'implementazione. Questo include (ma non è certamente limitato a) una politica di sicurezza, una gestione degli incidenti e una gestione delle vulnerabilità. Un team di sicurezza esperto si offrirà di condividere quei documenti e artefatti come parte della normale attività.

Ritengo fondamentale valutare ogni fornitore e partner dalla prospettiva dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce dati aziendali, è soggetto a una maggiore attenzione rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Valuto lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che trattare tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.

Prima di tutto, dovresti rivedere almeno le attestazioni e il rapporto delle scoperte, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, programmi di sicurezza completi dovrebbero includere robuste strategie di protezione dei dati come procedure di backup e ripristino del database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente rivedere se l'azienda subisce un test di penetrazione da parte di terze parti o un programma di bug bounty. Personalmente, non sono un fan dei bug bounty, ma sono un sostenitore dei test di penetrazione da parte di terze parti su base annuale. Il pentesting ti offre un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, rivedi i documenti di sicurezza (di solito indice) che l'azienda utilizza come base per l'implementazione. Questo include (ma non è certamente limitato a) una politica di sicurezza, una gestione degli incidenti e una gestione delle vulnerabilità. Un team di sicurezza esperto si offrirà di condividere quei documenti e artefatti come parte della normale attività.

Ritengo fondamentale valutare ogni fornitore e partner dalla prospettiva dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce dati aziendali, è soggetto a una maggiore attenzione rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Valuto lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che trattare tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.

Altre notizie

Leggi di più da questa categoria

A person is standing at a desk while typing on a laptop.

La piattaforma completa nativa dell'IA che si espande con la tua azienda.

Contatta le vendite

Inizia gratis

© 2025 Uccello

Contatta il supporto

A person is standing at a desk while typing on a laptop.

La piattaforma completa nativa dell'IA che si espande con la tua azienda.

Contatta le vendite

Inizia gratis

© 2025 Uccello

Contatta il supporto

A person is standing at a desk while typing on a laptop.

La piattaforma completa nativa dell'IA che si espande con la tua azienda.

Contatta le vendite

Inizia gratis

© 2025 Uccello

Contatta il supporto