Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma

Steven Murray

5 jul 2017

E-mail

1 min read

Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma

Belangrijkste punten

    • Attestations alleen garanderen geen veiligheid. Ze bevestigen dat aan bepaalde standaarden is voldaan, maar niet dat controles goed functioneren of goed worden gemonitord.

    • Operationele gereedheid is belangrijker dan certificering. Een bedrijf kan een audit halen terwijl zijn beveiligingshulpmiddelen—zoals IDS/IPS-systemen—niet functioneel zijn.

    • Auditors verifiëren vaak het bestaan, niet de prestaties. Veel attestaties beoordelen of systemen bestaan, niet of ze correct zijn geconfigureerd of actief worden onderhouden.

    • Een sterk cloudbeveiligingsprogramma combineert naleving met continue monitoring. Attestaties bieden een nalevingsbasis, maar doorlopend testen en evaluatie zorgen voor echte bescherming.

    • Derden-penetratietests onthullen echte kwetsbaarheden. Ze bieden diepere inzichten dan enquêtes of checklists en valideren dat beveiligingsmaatregelen werken onder reële omstandigheden.

    • Leveranciersbeoordelingen moeten rekening houden met gegevensaccess en risico blootstelling. Partners die met gevoelige informatie omgaan, verdienen strengere controles en regelmatige evaluaties.

    • Effectieve beveiliging vereist transparantie. Volwassen organisaties delen bereidwillig beleid, incidentresponskaders en kwetsbaarheids-beheersprocedures.

Q&A Hoogtepunten

  • Waarom zijn attestations geen betrouwbare maatstaf voor beveiligingsvolwassenheid?

    Omdat ze alleen aantonen dat vereiste controles bestaan, niet dat ze werken. Echte beveiligingsrijpheid omvat voortdurende validatie, monitoring en responsiviteit op bedreigingen.

  • Wat is een veelvoorkomende mislukking bij het uitsluitend vertrouwen op nalevingscontroles?

    Organisaties kunnen tools implementeren alleen om het vakje aan te vinken. Bijvoorbeeld, een IDS kan worden geïnstalleerd maar niet daadwerkelijk worden geconfigureerd om bedreigingen te detecteren of te waarschuwen.

  • Wat moet u naast attesten beoordelen bij het evalueren van een leverancier?

    Onderzoek altijd het volledige bevindingenrapport (niet alleen de samenvatting), vraag naar jaarlijkse penetratietests en vraag toegang tot kernbeveiligingsdocumentatie.

  • Hoe kan third-party testing een security program verbeteren?

    Penetratietests simuleren aanvallen uit de echte wereld en onthullen zwakheden die nalevingsaudits over het hoofd zien, zodat de verdedigingen functioneren zoals bedoeld.

  • Wat definieert een volwassen cloud security programma?

    Een gebalanceerde aanpak die attestaties combineert met continue monitoring, gegevensbeschermingsstrategieën, paraatheid voor incidentrespons en proactief kwetsbaarheidsbeheer.

  • Hoe moet je de beveiligingshouding van leveranciers beoordelen?

    Evalueer op basis van de gevoeligheid van de gegevens waartoe ze toegang hebben—leveranciers die klantgegevens verwerken, moeten voldoen aan hogere veiligheidsnormen en regelmatig worden beoordeeld.

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook één aspect van mijn beveiligingsperimeter zou willen aanwijzen als voorbeeld, er zijn meerdere elementen om te benadrukken.

Attestaties meten niet altijd je verdedigingshouding

Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.

Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.

Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.

Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.

Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.

Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.

Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.

Implementatie van een Tool betekent niet dat het Waarde biedt

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Controles zorgen voor flexibiliteit in de implementatie en operationele groei en innovatie in de loop van de tijd. Helaas gebruiken sommige organisaties de flexibiliteit alleen om een vinkje te zetten, maar hebben ze geen echte verdedigingen ter plaatse.

Een goed voorbeeld van dit probleem zijn inbraakdetectie/-beschermingssystemen (IDS of IPS). Net als virusscanners investeren de meeste organisaties in IDS/IPS als een standaard beveiligingspraktijk om te beschermen tegen kwaadwillig verkeer en gegevensdiefstal. De industrie is rijk aan leveranciers die verschillende vormen van IDS/IPS-systemen maken. Sommige organisaties bouwen echter systemen in plaats van ze te kopen.

Onlangs verliet ik een organisatie die haar eigen inbraakdetectiesysteem 'bouwde' met open source tools. Aan auditors werd verteld dat het systeem een 'fantastisch hulpmiddel' was en ze kregen zelfs voorbeelden van verkeer. Toen ik dieper in de telemetrie dook die het hulpmiddel bood, realiseerde ik me dat het verkeer helemaal niet werd geanalyseerd. In plaats daarvan ging het door de sensor zonder dat deze was geconfigureerd om verkeer op te vangen of een alarm te geven. Bovendien waren de referenties die werden gebruikt om het hulpmiddel te beheren opgezet door een voormalige medewerker en nooit bijgewerkt na zijn vertrek. Het hulpmiddel stond dus maandenlang stil zonder menselijk ingrijpen. Dit brengt het bedrijf niet alleen in gevaar, maar het compromitteert ook de perimeter.

Een slimme auditor zou het probleem niet hebben opgemerkt omdat de verklaringen niet zoeken naar 'operationele' informatie over alle systemen - de standaard is letterlijk een laag van vraag en antwoord. In feite meten de meeste verklaringen eenvoudigweg of het hulpmiddel bestaat, niet operationele levensvatbaarheid. Daarnaast zijn de meeste auditors niet technisch genoeg om een functionerende IDS/IPS te onderscheiden van een niet-functionerende. De kern van de audit is afhankelijk van het bedrijf om zich van zijn beste kant te laten zien in plaats van moeilijke vragen te beantwoorden. Auditors moeten ook een breed scala aan controles dekken tijdens een audit, dus tijd is een belangrijke factor in de kwaliteit van hun analyse.

Een verklaring alleen zal u vertellen dat een bedrijf een volwassen beveiligingsprogramma met controles heeft. Het vereisen dat een potentiële partner een leveranciersenquête voltooit, zal u ook geen vertrouwen geven. Enquêtes schetsen slechts dezelfde informatie in een ander formaat. Dus hoe evalueert u een volwassen beveiligingsprogramma?

Evalueer het gehele Cloud Security Program

Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.

Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.

Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.

Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.

Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.

Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.

Andere nieuws

Lees meer uit deze categorie

A person is standing at a desk while typing on a laptop.

Het complete AI-native platform dat met uw bedrijf meegroeit.

Neem contact op met sales

Begin gratis

© 2025 Bird

Neem contact op met Support

A person is standing at a desk while typing on a laptop.

Het complete AI-native platform dat met uw bedrijf meegroeit.

Neem contact op met sales

Begin gratis

© 2025 Bird

Neem contact op met Support

A person is standing at a desk while typing on a laptop.

Het complete AI-native platform dat met uw bedrijf meegroeit.

Neem contact op met sales

Begin gratis

© 2025 Bird

Neem contact op met Support