Waarom Attestaties Slechts Een Onderdeel Zijn van Uw Cloudbeveiligingsprogramma
Steven Murray
5 jul 2017
1 min read
Belangrijkste punten
Attestations alone don’t guarantee security. They confirm that certain standards are met, but not that controls are functioning or monitored properly.
Operational readiness matters more than certification. A company can pass an audit while its security tools—like IDS/IPS systems—are nonfunctional.
Auditors often verify existence, not performance. Many attestations assess whether systems exist, not whether they are configured correctly or actively maintained.
A strong cloud security program blends compliance with continuous monitoring. Attestations provide a compliance baseline, but ongoing testing and evaluation ensure true protection.
Third-party penetration tests reveal real vulnerabilities. They offer deeper insights than surveys or checklists, validating that security measures work under real-world conditions.
Vendor evaluations should consider data access and risk exposure. Partners handling sensitive information deserve stricter scrutiny and regular review.
Effective security requires transparency. Mature organizations willingly share policies, incident response frameworks, and vulnerability management procedures.
Q&A Highlights
Why aren’t attestations a reliable measure of security maturity?
Because they only prove that required controls exist, not that they work. True security maturity involves ongoing validation, monitoring, and responsiveness to threats.
What’s a common failure in relying solely on compliance checks?
Organizations may deploy tools just to “check the box.” For example, an IDS may be installed but not actually configured to detect or alert on threats.
What should you review beyond attestations when evaluating a vendor?
Always examine the full findings report (not just the summary), ask about annual penetration testing, and request access to core security documentation.
How can third-party testing improve a security program?
Penetration tests simulate real-world attacks, revealing weaknesses that compliance audits overlook, ensuring that defenses function as intended.
What defines a mature cloud security program?
A balanced approach combining attestations, continuous monitoring, data protection strategies, incident response readiness, and proactive vulnerability management.
How should you assess vendors’ security postures?
Evaluate based on the sensitivity of data they access—vendors handling customer data should meet higher security standards and undergo regular reviews.
Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook één aspect van mijn beveiligingsperimeter zou willen aanwijzen als voorbeeld, er zijn meerdere elementen om te benadrukken.
Attestaties meten niet altijd je verdedigingshouding
Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.
Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.
Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.
Implementatie van een Tool betekent niet dat het Waarde biedt
Evalueer het gehele Cloud Security Program
Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.
Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.
