Le attestazioni non misurano sempre la tua postura difensiva

Un attestazione, per definizione, è un'indicazione che rende qualcosa evidente. Nel caso della sicurezza, in particolare dei programmi di sicurezza, significa certificare ufficialmente.

La gente spesso mi chiede quali siano le caratteristiche di un buon programma di sicurezza. Per quanto mi piacerebbe puntare a un aspetto del mio perimetro di sicurezza da usare come esempio, ci sono molteplici elementi da evidenziare. L'industria si basa su attestazioni e certificazioni per misurare le tue difese di sicurezza. Gli ingegneri e gli operatori ti diranno che il tuo vero perimetro di sicurezza e le capacità di valutazione delle minacce definiscono il tuo programma di sicurezza. Ti dirò che sia le attestazioni di conformità come misura che le capacità operative del tuo team di sicurezza definiscono il tuo programma. Anche se le attestazioni da sole non sono un benchmark accurato per misurare un programma.

Le attestazioni sono una necessità di settore per garantire la conformità con le leggi federali, locali e statali, così come le migliori pratiche del settore. Gli standard ISO, NIST o DoD formano la base della maggior parte delle attestazioni. NIST, ad esempio, pubblica un insieme di standard e guide tecniche per aiutare le organizzazioni a costruire difese perimetrali che siano "accettabili" per il governo. Come evidenzierò, tuttavia, non significa che l'implementazione sia sempre eccellente.

Il dispiegamento di uno strumento non significa che stia fornendo valore

I controlli consentono flessibilità nell'implementazione e nella crescita operativa e innovativa nel tempo. Sfortunatamente, alcune organizzazioni utilizzano la flessibilità per