Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook één aspect van mijn beveiligingsperimeter zou willen aanwijzen als voorbeeld, er zijn meerdere elementen om te benadrukken.
Attestaties meten niet altijd je verdedigingshouding
Een attestering, bij definitie, is een aanwijzing die iets duidelijk maakt. In het geval van beveiliging, specifiek beveiligingsprogramma's, betekent het officieel certificeren.
Mensen vragen me vaak wat een goed beveiligingsprogramma maakt. Hoe graag ik ook een aspect van mijn beveiligingsperimeter als voorbeeld zou willen aanwijzen, er zijn meerdere zaken om te benadrukken. De industrie vertrouwt op attesteringen en certificeringen om je beveiligingsverdedigingen te meten. Ingenieurs en operators zullen je vertellen dat je werkelijke beveiligingsperimeter en bedreigingsinschattingsmogelijkheden je beveiligingsprogramma definiëren. Ik zal je vertellen dat zowel nalevingsattesten als meetinstrument en de operationele capaciteiten van je beveiligingsteam je programma definiëren. Hoewel attesteringen alleen geen nauwkeurige maatstaf zijn om een programma te meten.
Attesteringen zijn een noodzaak in de industrie om te zorgen voor naleving van federale, lokale en staatswetten evenals industriële best practices. ISO, NIST of DoD standaarden vormen de basis van de meeste attesteringen. NIST, bijvoorbeeld, publiceert een reeks standaarden en technische gidsen om organisaties te helpen perimeterverdedigingen te bouwen die “acceptabel” zijn voor de overheid. Echter, zoals ik zal uiteenzetten, betekent het, hoewel de standaarden zijn vastgesteld, niet dat de implementatie altijd geweldig is.
Implementatie van een Tool betekent niet dat het Waarde biedt
Evalueer het gehele Cloud Security Program
Ten eerste moet u minimaal de attesten en het bevindingenrapport bekijken, niet de samenvatting. Dat geeft u een overzicht van het programma dat door een derde partij is beoordeeld. Bovendien moeten uitgebreide beveiligingsprogramma's robuuste gegevensbeschermingsstrategieën omvatten, zoals database-back-up- en herstelprocedures om bedrijfscontinuïteit en gegevensintegriteit te waarborgen tijdens beveiligingsincidenten. Ten tweede moet u zeker controleren of het bedrijf een derde partij-penetratietest of bug bounty-programma ondergaat. Persoonlijk ben ik geen fan van bug bounties, maar ik ben wel een fan van jaarlijkse penetratietests door derden. Pentesting biedt u een gestructureerde test van uw verdediging en echte feedback over kwetsbaarheden. Ten slotte, bekijk de beveiligingsdocumenten (meestal inhoudsopgave) die het bedrijf gebruikt als basis voor implementatie. Dit omvat (maar is zeker niet beperkt tot) een beveiligingsbeleid, incident response en kwetsbaarheidsbeheer. Een ervaren beveiligingsteam zal aanbieden om die documenten en artefacten te delen als onderdeel van het normale bedrijfsleven.
Ik maak het een kwestie van gewoonte om elke leverancier en partner te evalueren vanuit het perspectief van toegang tot bedrijfsgegevens. Dit betekent dat als de partner of leverancier bedrijfsgegevens beheert, ze onderworpen zijn aan meer controle dan een leverancier die dat niet doet. Houd het zakelijke doel in gedachten bij het evalueren van een beveiligingsprogramma. Ik bekijk het zakelijke doel en het type informatie dat erbij betrokken is en evalueer dan vanuit dat perspectief, in plaats van alle partners en leveranciers hetzelfde te behandelen. Bij twijfel, vraag altijd om meer informatie.
