Le persone mi chiedono spesso cosa rende un buon programma di sicurezza. Per quanto vorrei indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono molteplici elementi da evidenziare.
Le attestazioni non sempre misurano il tuo Defensive Posture
Una attestazione, per definizione, è un'indicazione che rende evidente qualcosa. Nel caso della sicurezza, in particolare dei programmi di sicurezza, significa certificare in una capacità ufficiale.
Le persone spesso mi chiedono cosa rende un buon programma di sicurezza. Per quanto mi piacerebbe indicare un aspetto del mio perimetro di sicurezza da utilizzare come esempio, ci sono diversi elementi da evidenziare. L'industria si basa sulle attestazioni e certificazioni per misurare le vostre difese di sicurezza. Gli ingegneri e gli operatori vi diranno che il vostro perimetro di sicurezza effettivo e le capacità di valutazione delle minacce definiscono il vostro programma di sicurezza. Vi dirò che sono sia le attestazioni di conformità come misura che le capacità operative del vostro team di sicurezza a definire il vostro programma. Anche se le sole attestazioni non sono un benchmark accurato per misurare un programma.
Le attestazioni sono una necessità del settore per garantire la conformità con statuti federali, locali e statali oltre che con le migliori pratiche del settore. Gli standard ISO, NIST o DoD costituiscono la base della maggior parte delle attestazioni. NIST, ad esempio, pubblica una serie di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano “accettabili” per il governo. Come illustrerò, tuttavia, solo perché gli standard sono impostati non significa che l'implementazione sia sempre eccellente.
Il deployment di uno strumento non significa che stia fornendo valore
Valutare l'intero programma di sicurezza Cloud
Prima di tutto, dovresti esaminare almeno le attestazioni e il rapporto dei risultati, non il sommario esecutivo. Questo ti fornirà una panoramica del programma esaminato da una terza parte. Inoltre, i programmi di sicurezza completi dovrebbero includere strategie di protezione dei dati solide come procedure di backup e recupero dei database per garantire la continuità aziendale e l'integrità dei dati durante gli incidenti di sicurezza. In secondo luogo, dovresti sicuramente verificare se l'azienda si sottopone a un test di penetrazione o un programma di bug bounty da parte di terzi. Personalmente non sono un fan dei bug bounty, ma sono un fan dei test di penetrazione da parte di terzi su base annuale. I Pentesting ti forniscono un test strutturato delle tue difese e un feedback reale sulle vulnerabilità. Infine, esamina i documenti di sicurezza (solitamente indice dei contenuti) che l'azienda utilizza come base per l'implementazione. Questo include (ma certamente non si limita a) una politica di sicurezza, la gestione degli incidenti e la gestione delle vulnerabilità. Un team di sicurezza esperto offrirà di condividere quei documenti e gli artefatti come parte della normale attività.
Faccio una questione di prassi valutare ogni fornitore e partner dal punto di vista dell'accesso ai dati aziendali. Significa che se il partner o il fornitore gestisce i dati aziendali, sono soggetti a maggiori scrutinio rispetto a un fornitore che non lo fa. Tieni presente lo scopo aziendale quando valuti un programma di sicurezza. Esamino lo scopo aziendale e il tipo di informazioni coinvolte, quindi valuto da quella prospettiva, piuttosto che gestire tutti i partner e fornitori allo stesso modo. In caso di dubbio, chiedi sempre ulteriori informazioni.
