Dlaczego zaświadczenia to tylko jedna część Twojego programu zabezpieczeń w chmurze

Stefan Murray

5 lip 2017

Email

1 min read

Dlaczego zaświadczenia to tylko jedna część Twojego programu zabezpieczeń w chmurze

Najważniejsze informacje

    • Same dokumenty nie gwarantują bezpieczeństwa. Potwierdzają one, że pewne standardy są spełnione, ale nie że kontrole działają lub są odpowiednio monitorowane.

    • Gotowość operacyjna liczy się bardziej niż certyfikacja. Firma może przejść audyt, podczas gdy jej narzędzia zabezpieczające—takie jak systemy IDS/IPS—są niesprawne.

    • Audyty często weryfikują istnienie, a nie wydajność. Wiele dokumentów ocenia, czy systemy istnieją, a nie czy są prawidłowo skonfigurowane lub aktywnie utrzymane.

    • Silny program zabezpieczeń w chmurze łączy zgodność z ciągłym monitorowaniem. Dokumenty dostarczają podstawowych informacji na temat zgodności, ale ciągłe testowanie i ocena zapewniają prawdziwą ochronę.

    • Testy penetracyjne przeprowadzane przez osoby trzecie ujawniają rzeczywiste luki. Oferują one głębszy wgląd niż ankiety czy listy kontrolne, weryfikując, że środki bezpieczeństwa działają w rzeczywistych warunkach.

    • Oceny dostawców powinny uwzględniać dostęp do danych i narażenie na ryzyko. Partnerzy zajmujący się wrażliwymi informacjami zasługują na dokładniejsze sprawdzenie i regularny przegląd.

    • Skuteczne zabezpieczenia wymagają przejrzystości. Dojrzałe organizacje chętnie dzielą się politykami, ramami reakcji na incydenty i procedurami zarządzania lukami.

Podsumowanie pytań i odpowiedzi

  • Dlaczego zaświadczenia nie są wiarygodnym wskaźnikiem dojrzałości zabezpieczeń?

    Ponieważ jedynie potwierdzają, że wymagane kontrole istnieją, a nie że działają. Prawdziwa dojrzałość w zakresie bezpieczeństwa wiąże się z ciągłą walidacją, monitorowaniem i reagowaniem na zagrożenia.

  • Jakie jest powszechne niepowodzenie polegające wyłącznie na kontrolach zgodności?

    Organizacje mogą wdrażać narzędzia tylko po to, aby „odhaczyć” wymagania. Na przykład, system IDS może być zainstalowany, ale nie skonfigurowany do wykrywania lub informowania o zagrożeniach.

  • Co powinieneś ocenić poza zaświadczeniami, gdy oceniasz dostawcę?

    Zawsze dokładnie zapoznaj się z pełnym raportem wyników (nie tylko z podsumowaniem), zapytaj o coroczne testy penetracyjne i poproś o dostęp do podstawowej dokumentacji bezpieczeństwa.

  • Jak testy przeprowadzane przez strony trzecie mogą poprawić program bezpieczeństwa?

    Testy penetracyjne symulują ataki ze świata rzeczywistego, ujawniając słabości, które audyty zgodności pomijają, zapewniając, że obrony działają zgodnie z zam intention.

  • Co definiuje dojrzały program bezpieczeństwa chmury?

    Zrównoważone podejście łączące atesty, ciągłe monitorowanie, strategie ochrony danych, gotowość do reakcji na incydenty oraz proaktywne zarządzanie podatnościami.

  • Jak powinieneś ocenić postawy bezpieczeństwa dostawców?

    Ocena powinna być oparta na wrażliwości danych, do których mają dostęp - dostawcy obsługujący dane klientów powinni spełniać wyższe standardy bezpieczeństwa i podlegać regularnym przeglądom.

Ludzie często pytają mnie, co sprawia, że dobry program zabezpieczeń. Chociaż chciałbym wskazać jeden aspekt mojego zabezpieczenia jako przykład, jest wiele rzeczy, które warto podkreślić.

Attestacje nie zawsze mierzą twoją postawę obronną

Attestacja, z definicji, jest wskazaniem, które czyni coś oczywistym. W przypadku bezpieczeństwa, a konkretnie programów zabezpieczeń, oznacza to certyfikację w oficjalnym charakterze.

Ludzie często pytają mnie, co czyni dobry program zabezpieczeń. Chociaż chciałbym wskazać jeden aspekt mojego perimeteru zabezpieczeń jako przykład, istnieje wiele elementów, które należy podkreślić. Branża polega na attestacjach i certyfikacjach, aby mierzyć twoje obrony bezpieczeństwa. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty perimeter zabezpieczeń oraz możliwości oceny zagrożeń definiują twój program zabezpieczeń. Powiem ci, że to zarówno attestacje zgodności jako miara, jak i operacyjne możliwości twojego zespołu zabezpieczeń definiują twój program. Chociaż same attestacje nie są dokładnym wskaźnikiem do pomiaru programu.

Attestacje są niezbędne w branży, aby zapewnić zgodność z ustawami federalnymi, lokalnymi i stanowymi, a także najlepszymi praktykami branżowymi. Standardy ISO, NIST lub DoD stanowią podstawę większości attestacji. NIST, na przykład, publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obrony perimeterowe, które są „akceptowalne” dla rządu. Jak jednak podkreślę, sam fakt, że standardy są ustalone, nie oznacza, że wdrożenie jest zawsze doskonałe.

Attestacja, z definicji, jest wskazaniem, które czyni coś oczywistym. W przypadku bezpieczeństwa, a konkretnie programów zabezpieczeń, oznacza to certyfikację w oficjalnym charakterze.

Ludzie często pytają mnie, co czyni dobry program zabezpieczeń. Chociaż chciałbym wskazać jeden aspekt mojego perimeteru zabezpieczeń jako przykład, istnieje wiele elementów, które należy podkreślić. Branża polega na attestacjach i certyfikacjach, aby mierzyć twoje obrony bezpieczeństwa. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty perimeter zabezpieczeń oraz możliwości oceny zagrożeń definiują twój program zabezpieczeń. Powiem ci, że to zarówno attestacje zgodności jako miara, jak i operacyjne możliwości twojego zespołu zabezpieczeń definiują twój program. Chociaż same attestacje nie są dokładnym wskaźnikiem do pomiaru programu.

Attestacje są niezbędne w branży, aby zapewnić zgodność z ustawami federalnymi, lokalnymi i stanowymi, a także najlepszymi praktykami branżowymi. Standardy ISO, NIST lub DoD stanowią podstawę większości attestacji. NIST, na przykład, publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obrony perimeterowe, które są „akceptowalne” dla rządu. Jak jednak podkreślę, sam fakt, że standardy są ustalone, nie oznacza, że wdrożenie jest zawsze doskonałe.

Attestacja, z definicji, jest wskazaniem, które czyni coś oczywistym. W przypadku bezpieczeństwa, a konkretnie programów zabezpieczeń, oznacza to certyfikację w oficjalnym charakterze.

Ludzie często pytają mnie, co czyni dobry program zabezpieczeń. Chociaż chciałbym wskazać jeden aspekt mojego perimeteru zabezpieczeń jako przykład, istnieje wiele elementów, które należy podkreślić. Branża polega na attestacjach i certyfikacjach, aby mierzyć twoje obrony bezpieczeństwa. Inżynierowie i operatorzy powiedzą ci, że twój rzeczywisty perimeter zabezpieczeń oraz możliwości oceny zagrożeń definiują twój program zabezpieczeń. Powiem ci, że to zarówno attestacje zgodności jako miara, jak i operacyjne możliwości twojego zespołu zabezpieczeń definiują twój program. Chociaż same attestacje nie są dokładnym wskaźnikiem do pomiaru programu.

Attestacje są niezbędne w branży, aby zapewnić zgodność z ustawami federalnymi, lokalnymi i stanowymi, a także najlepszymi praktykami branżowymi. Standardy ISO, NIST lub DoD stanowią podstawę większości attestacji. NIST, na przykład, publikuje zestaw standardów i przewodników technicznych, aby pomóc organizacjom budować obrony perimeterowe, które są „akceptowalne” dla rządu. Jak jednak podkreślę, sam fakt, że standardy są ustalone, nie oznacza, że wdrożenie jest zawsze doskonałe.

Wdrożenie narzędzia nie oznacza, że przynosi ono wartość

Kontrole pozwalają na elastyczność w implementacji oraz wzrost operacyjny i innowację w czasie. Niestety, niektóre organizacje wykorzystują elastyczność tylko po to, aby zaznaczyć, że coś zrobiły, ale nie mają żadnych rzeczywistych zabezpieczeń.

Przykładem tego problemu są systemy wykrywania/ochrony przed intruzjami (IDS lub IPS). Podobnie jak skanery wirusowe, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa w celu ochrony przed złośliwym ruchem i wyciekami danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy, zamiast je kupować.

Niedawno opuściłem jedną z takich organizacji, która „zbudowała” własny system wykrywania intruzji z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zagłębiłem się w telemetrię dostarczaną przez to narzędzie, zrozumiałem, że ruch nie był w ogóle analizowany. Przechodził przez czujnik, ponieważ nie był skonfigurowany do rejestrowania jakiegokolwiek ruchu ani do alertowania. Ponadto, dane logowania użyte do administracji narzędzia zostały skonfigurowane przez wcześniejszego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. Tak więc, zasadniczo, narzędzie było nieaktywne przez miesiące bez żadnej interwencji ludzkiej. Nie tylko naraża to firmę na ryzyko, ale także kompromituje zewnętrzne zabezpieczenia.

Bystry audytor nie zauważyłby problemu, ponieważ zaświadczenia nie poszukują „operacyjnych” informacji w każdej z systemów – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń mierzy po prostu, czy narzędzie istnieje, a nie jego operacyjną wykonalność. Dodatkowo, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu opiera się na tym, aby firma pokazała swoją najlepszą stronę, a nie odpowiadała na trudne pytania. Audytorzy muszą również obejmować szeroką gamę kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.

Jedno zaświadczenie samo w sobie powie, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera wypełnienia ankiety dla dostawców także nie zapewni Ci pewności. Ankiety po prostu przedstawiają te same informacje w innym formacie. Więc jak oceniasz dojrzały program bezpieczeństwa?

Kontrole pozwalają na elastyczność w implementacji oraz wzrost operacyjny i innowację w czasie. Niestety, niektóre organizacje wykorzystują elastyczność tylko po to, aby zaznaczyć, że coś zrobiły, ale nie mają żadnych rzeczywistych zabezpieczeń.

Przykładem tego problemu są systemy wykrywania/ochrony przed intruzjami (IDS lub IPS). Podobnie jak skanery wirusowe, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa w celu ochrony przed złośliwym ruchem i wyciekami danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy, zamiast je kupować.

Niedawno opuściłem jedną z takich organizacji, która „zbudowała” własny system wykrywania intruzji z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zagłębiłem się w telemetrię dostarczaną przez to narzędzie, zrozumiałem, że ruch nie był w ogóle analizowany. Przechodził przez czujnik, ponieważ nie był skonfigurowany do rejestrowania jakiegokolwiek ruchu ani do alertowania. Ponadto, dane logowania użyte do administracji narzędzia zostały skonfigurowane przez wcześniejszego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. Tak więc, zasadniczo, narzędzie było nieaktywne przez miesiące bez żadnej interwencji ludzkiej. Nie tylko naraża to firmę na ryzyko, ale także kompromituje zewnętrzne zabezpieczenia.

Bystry audytor nie zauważyłby problemu, ponieważ zaświadczenia nie poszukują „operacyjnych” informacji w każdej z systemów – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń mierzy po prostu, czy narzędzie istnieje, a nie jego operacyjną wykonalność. Dodatkowo, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu opiera się na tym, aby firma pokazała swoją najlepszą stronę, a nie odpowiadała na trudne pytania. Audytorzy muszą również obejmować szeroką gamę kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.

Jedno zaświadczenie samo w sobie powie, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera wypełnienia ankiety dla dostawców także nie zapewni Ci pewności. Ankiety po prostu przedstawiają te same informacje w innym formacie. Więc jak oceniasz dojrzały program bezpieczeństwa?

Kontrole pozwalają na elastyczność w implementacji oraz wzrost operacyjny i innowację w czasie. Niestety, niektóre organizacje wykorzystują elastyczność tylko po to, aby zaznaczyć, że coś zrobiły, ale nie mają żadnych rzeczywistych zabezpieczeń.

Przykładem tego problemu są systemy wykrywania/ochrony przed intruzjami (IDS lub IPS). Podobnie jak skanery wirusowe, większość organizacji inwestuje w IDS/IPS jako standardową praktykę bezpieczeństwa w celu ochrony przed złośliwym ruchem i wyciekami danych. Branża jest pełna dostawców oferujących różne formy systemów IDS/IPS. Jednak niektóre organizacje budują systemy, zamiast je kupować.

Niedawno opuściłem jedną z takich organizacji, która „zbudowała” własny system wykrywania intruzji z narzędzi open source. Audytorzy zostali poinformowani, że system jest „fantastycznym narzędziem” i nawet otrzymali przykłady ruchu. Kiedy zagłębiłem się w telemetrię dostarczaną przez to narzędzie, zrozumiałem, że ruch nie był w ogóle analizowany. Przechodził przez czujnik, ponieważ nie był skonfigurowany do rejestrowania jakiegokolwiek ruchu ani do alertowania. Ponadto, dane logowania użyte do administracji narzędzia zostały skonfigurowane przez wcześniejszego pracownika i nigdy nie zostały zaktualizowane po jego odejściu. Tak więc, zasadniczo, narzędzie było nieaktywne przez miesiące bez żadnej interwencji ludzkiej. Nie tylko naraża to firmę na ryzyko, ale także kompromituje zewnętrzne zabezpieczenia.

Bystry audytor nie zauważyłby problemu, ponieważ zaświadczenia nie poszukują „operacyjnych” informacji w każdej z systemów – standard to dosłownie jedna warstwa pytań i odpowiedzi. W rzeczywistości, większość zaświadczeń mierzy po prostu, czy narzędzie istnieje, a nie jego operacyjną wykonalność. Dodatkowo, większość audytorów nie jest wystarczająco techniczna, aby odróżnić funkcjonalne IDS/IPS od niefunkcjonalnego. Sedno audytu opiera się na tym, aby firma pokazała swoją najlepszą stronę, a nie odpowiadała na trudne pytania. Audytorzy muszą również obejmować szeroką gamę kontroli podczas audytu, więc czas jest dużym czynnikiem wpływającym na jakość ich analizy.

Jedno zaświadczenie samo w sobie powie, że firma ma dojrzały program bezpieczeństwa z kontrolami. Wymaganie od potencjalnego partnera wypełnienia ankiety dla dostawców także nie zapewni Ci pewności. Ankiety po prostu przedstawiają te same informacje w innym formacie. Więc jak oceniasz dojrzały program bezpieczeństwa?

Oceń cały program bezpieczeństwa w chmurze

Po pierwsze, powinieneś przynajmniej przejrzeć zaświadczenia i raport ze stwierdzeniami, a nie streszczenie wykonawcze. To zapewni ci przegląd programu ocenionego przez stronę trzecią. Dodatkowo kompleksowe programy zabezpieczeń powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych bazy danych i przywracania, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów zabezpieczeń. Po drugie, zdecydowanie powinieneś sprawdzić, czy firma przechodzi przez test penetracyjny lub program nagród za błędy realizowany przez stronę trzecią. Osobiście nie jestem fanem programów nagród za błędy, ale jestem zwolennikiem corocznego testowania penetracyjnego przez stronę trzecią. Testowanie penetracyjne daje ci uporządkowany test twojej obrony i prawdziwe informacje zwrotne na temat luk. Na koniec przeglądaj dokumenty bezpieczeństwa (zwykle spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie ogranicza się do) polityki bezpieczeństwa, odpowiedzi na incydenty i zarządzania lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnej działalności.

Stawiam na porządek, aby oceniać każdego dostawcę i partnera z perspektywy dostępu do danych firmy. Oznacza to, że jeśli partner lub dostawca zarządza danymi firmy, są oni poddawani większej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym przy ocenie programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj zaangażowanych informacji, a potem oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców w ten sam sposób. W razie wątpliwości zawsze proś o więcej informacji.

Po pierwsze, powinieneś przynajmniej przejrzeć zaświadczenia i raport ze stwierdzeniami, a nie streszczenie wykonawcze. To zapewni ci przegląd programu ocenionego przez stronę trzecią. Dodatkowo kompleksowe programy zabezpieczeń powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych bazy danych i przywracania, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów zabezpieczeń. Po drugie, zdecydowanie powinieneś sprawdzić, czy firma przechodzi przez test penetracyjny lub program nagród za błędy realizowany przez stronę trzecią. Osobiście nie jestem fanem programów nagród za błędy, ale jestem zwolennikiem corocznego testowania penetracyjnego przez stronę trzecią. Testowanie penetracyjne daje ci uporządkowany test twojej obrony i prawdziwe informacje zwrotne na temat luk. Na koniec przeglądaj dokumenty bezpieczeństwa (zwykle spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie ogranicza się do) polityki bezpieczeństwa, odpowiedzi na incydenty i zarządzania lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnej działalności.

Stawiam na porządek, aby oceniać każdego dostawcę i partnera z perspektywy dostępu do danych firmy. Oznacza to, że jeśli partner lub dostawca zarządza danymi firmy, są oni poddawani większej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym przy ocenie programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj zaangażowanych informacji, a potem oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców w ten sam sposób. W razie wątpliwości zawsze proś o więcej informacji.

Po pierwsze, powinieneś przynajmniej przejrzeć zaświadczenia i raport ze stwierdzeniami, a nie streszczenie wykonawcze. To zapewni ci przegląd programu ocenionego przez stronę trzecią. Dodatkowo kompleksowe programy zabezpieczeń powinny obejmować solidne strategie ochrony danych, takie jak procedury tworzenia kopii zapasowych bazy danych i przywracania, aby zapewnić ciągłość biznesową i integralność danych podczas incydentów zabezpieczeń. Po drugie, zdecydowanie powinieneś sprawdzić, czy firma przechodzi przez test penetracyjny lub program nagród za błędy realizowany przez stronę trzecią. Osobiście nie jestem fanem programów nagród za błędy, ale jestem zwolennikiem corocznego testowania penetracyjnego przez stronę trzecią. Testowanie penetracyjne daje ci uporządkowany test twojej obrony i prawdziwe informacje zwrotne na temat luk. Na koniec przeglądaj dokumenty bezpieczeństwa (zwykle spis treści), które firma wykorzystuje jako podstawę do wdrożenia. Obejmuje to (ale z pewnością nie ogranicza się do) polityki bezpieczeństwa, odpowiedzi na incydenty i zarządzania lukami. Doświadczony zespół ds. bezpieczeństwa zaoferuje udostępnienie tych dokumentów i artefaktów jako część normalnej działalności.

Stawiam na porządek, aby oceniać każdego dostawcę i partnera z perspektywy dostępu do danych firmy. Oznacza to, że jeśli partner lub dostawca zarządza danymi firmy, są oni poddawani większej kontroli niż dostawca, który tego nie robi. Pamiętaj o celu biznesowym przy ocenie programu bezpieczeństwa. Przeglądam cel biznesowy i rodzaj zaangażowanych informacji, a potem oceniam z tej perspektywy, zamiast traktować wszystkich partnerów i dostawców w ten sam sposób. W razie wątpliwości zawsze proś o więcej informacji.

Inne wiadomości

Przeczytaj więcej z tej kategorii

A person is standing at a desk while typing on a laptop.

Kompletna platforma oparta na sztucznej inteligencji, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną

A person is standing at a desk while typing on a laptop.

Kompletna platforma oparta na sztucznej inteligencji, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną

A person is standing at a desk while typing on a laptop.

Kompletna platforma oparta na sztucznej inteligencji, która rośnie wraz z Twoim biznesem.

Skontaktuj się z działem sprzedaży

Zacznij za darmo

© 2025 Bird

Skontaktuj się z pomocą techniczną