
Ludzie często pytają mnie, co sprawia, że program bezpieczeństwa jest dobry. Chociaż chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów, które warto podkreślić.
Świadectwa nie zawsze mierzą twoją postawę obronną
An attestation, by definition, jest wskazaniem, które sprawia, że coś jest oczywiste. W przypadku bezpieczeństwa, a dokładniej programów bezpieczeństwa, oznacza to certyfikowanie w oficjalnym charakterze.
Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojej ochrony, którego można użyć jako przykładu, istnieje wiele elementów do podkreślenia. Przemysł polega na atestacjach i certyfikacjach, aby mierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że to twój faktyczny obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że to zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu bezpieczeństwa definiują twój program. Chociaż same atestacje nie są dokładnym wskaźnikiem do oceny programu.
Atestacje są koniecznością w branży, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami oraz najlepszymi praktykami branży. Normy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST, na przykład, publikuje zestaw norm i przewodników technicznych, aby pomóc organizacjom budować zabezpieczenia obwodowe, które są „akceptowalne” dla rządu. Jak jednak będę wyjaśniać, samo ustanowienie standardów nie oznacza, że ich wdrożenie jest zawsze genialne.
Wdrożenie narzędzia nie oznacza, że dostarcza wartość
Oceń Entire Cloud Security Program
Po pierwsze, powinieneś co najmniej przejrzeć oświadczenia i raport z ustaleń, ale nie podsumowanie wykonawcze. To zapewni ci przegląd programu sprawdzonego przez stronę trzecią. Po drugie, powinieneś zdecydowanie sprawdzić, czy firma poddaje się testowi penetracyjnemu przez stronę trzecią lub programowi nagród za znalezienie błędów. Osobiście nie jestem fanem nagród za znalezienie błędów, ale jestem zwolennikiem corocznych testów penetracyjnych przez stronę trzecią. Testy penetracyjne zapewniają ci zorganizowany test twojej obrony i rzeczywiste informacje zwrotne na temat podatności. Na koniec, przejrzyj dokumenty dotyczące bezpieczeństwa (zwykle spis treści), które firma wykorzystuje jako podstawę wdrożenia. Obejmuje to (ale z pewnością nie jest ograniczone do) politykę bezpieczeństwa, reagowanie na incydenty i zarządzanie podatnościami. Doświadczony zespół ds. bezpieczeństwa zaproponuje udostępnienie tych dokumentów i artefaktów jako część normalnego prowadzenia Business.
Traktuję to jako rutynę, aby oceniać każdego dostawcę i partnera z perspektywy dostępu do danych firmy. Oznacza to, że jeśli partner lub dostawca zarządza danymi firmy, są poddawani większej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu Business, oceniając program bezpieczeństwa. Przeglądam cel Business i rodzaj zaangażowanych informacji, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców tak samo. W razie wątpliwości zawsze proś o więcej informacji.