Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook één aspect van mijn beveiligingsperimeter zou willen aanwijzen als voorbeeld, er zijn meerdere elementen om te benadrukken.
Attestaties meten niet altijd je verdedigingshouding
Een attestatie, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van de beveiliging, specifiek beveiligingsprogramma's, betekent het om officieel te certificeren.
Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Net zoals ik graag zou willen wijzen op één aspect van mijn beveiligingsgrens om als voorbeeld te gebruiken, zijn er meerdere zaken om te benadrukken. De industrie vertrouwt op attestaties en certificeringen om uw beveiligingsmaatregelen te beoordelen. Ingenieurs en operators zullen u vertellen dat uw werkelijke beveiligingsgrens en bedreigingsbeoordelingscapaciteiten uw beveiligingsprogramma definiëren. Ik zal u vertellen dat het zowel nalevingsattestaties als meetinstrumenten en de operationele capaciteiten van uw beveiligingsteam zijn die uw programma definiëren. Hoewel attestaties alleen geen nauwkeurige maatstaf zijn om een programma te meten.
Attestaties zijn een noodzakelijkheid in de industrie om naleving van federale, lokale en staatswetten alsook industriestandaarden te waarborgen. ISO, NIST of DoD standaarden vormen de basis van de meeste attestaties. NIST, bijvoorbeeld, publiceert een set standaarden en technische handleidingen om organisaties te helpen perimeterverdedigingen op te bouwen die “acceptabel” zijn voor de overheid. Zoals ik echter zal toelichten, betekent het niet dat de implementatie altijd uitstekend is, alleen omdat de standaarden zijn vastgesteld.
Implementatie van een Tool betekent niet dat het Waarde biedt
Evalueer het gehele Cloud Security Program
Ten eerste moet je op zijn minst de verklaringen en het bevindingenrapport bekijken, niet de managementsamenvatting. Dat zal je een overzicht geven van het programma dat door een derde partij is beoordeeld. Ten tweede moet je zeker nagaan of het bedrijf een penetratietest door derden of een bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van penetratietesten door derden op jaarlijkse basis. Pentesting biedt je een gestructureerde test van je verdedigingen en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incidentrespons en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van normale bedrijfsvoering.
Het is een vanzelfsprekende zaak voor mij om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dat wil zeggen, als de partner of leverancier bedrijfsgegevens beheert, worden ze onderworpen aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik beoordeel het zakelijke doel en het soort informatie dat erbij betrokken is, en evalueer vervolgens vanuit dat perspectief, in plaats van alle partners en leveranciers op dezelfde manier te behandelen. Bij twijfel, vraag altijd om meer informatie.
