Ludzie często pytają mnie, co sprawia, że program bezpieczeństwa jest dobry. Chociaż chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów, które warto podkreślić.
Świadectwa nie zawsze mierzą twoją postawę obronną
An attestation, by definition, jest wskazaniem, które sprawia, że coś staje się oczywiste. W przypadku bezpieczeństwa, a konkretnie programów bezpieczeństwa, oznacza to certyfikację w oficjalnej roli.
Ludzie często pytają mnie, co czyni dobry program bezpieczeństwa. Choć chciałbym wskazać jeden aspekt mojego obwodu bezpieczeństwa jako przykład, istnieje wiele elementów do wyróżnienia. Przemysł opiera się na atestacjach i certyfikacjach, aby zmierzyć twoje zabezpieczenia. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty obwód bezpieczeństwa i zdolności oceny zagrożeń definiują twój program bezpieczeństwa. Ja powiem ci, że zarówno atestacje zgodności jako miara, jak i operacyjne zdolności twojego zespołu zabezpieczeń definiują twój program. Jednak same atestacje nie są dokładnym wyznacznikiem do mierzenia programu.
Atestacje są przemysłową koniecznością, aby zapewnić zgodność z federalnymi, lokalnymi i stanowymi przepisami, a także najlepszymi praktykami przemysłowymi. Standardy ISO, NIST lub DoD tworzą podstawę większości atestacji. NIST na przykład publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obronę obwodową, która jest „akceptowalna” dla rządu. Jak jednak przedstawię, fakt, że standardy są ustalone, nie oznacza, że ich wdrożenie zawsze jest znakomite.
Wdrożenie narzędzia nie oznacza, że dostarcza wartość
Oceń Entire Cloud Security Program
Po pierwsze, należy przejrzeć co najmniej poświadczenia i raport z wynikami, nie tylko podsumowanie dla kierownictwa. To zapewni przegląd programu sprawdzonego przez stronę trzecią. Dodatkowo, kompleksowe programy ochrony powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych i odzyskiwania bazy danych, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów bezpieczeństwa. Po drugie, zdecydowanie należy sprawdzić, czy firma poddaje się testom penetracyjnym przeprowadzanym przez stronę trzecią lub programowi bug bounty. Osobiście nie jestem fanem programów bug bounty, ale jestem zwolennikiem testów penetracyjnych przeprowadzanych przez strony trzecie co roku. Testy penetracyjne dostarczają usystematyzowanego testu obrony i realistycznej informacji zwrotnej na temat luk w zabezpieczeniach. Na koniec, należy przejrzeć dokumenty dotyczące bezpieczeństwa (zazwyczaj spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie jest to ograniczone do) politykę bezpieczeństwa, reakcję na incydenty i zarządzanie lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnego biznesu.
Zasady mojego postępowania obejmują ocenę każdego dostawcy i partnera z perspektywy dostępu do danych firmy. To znaczy, że jeśli partner czy dostawca zarządza danymi firmy, podlega bardziej wnikliwej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym podczas oceny programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj informacji, które dotyczą, a następnie oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców identycznie. Gdy masz wątpliwości, zawsze proś o więcej informacji.
