Det finns olika typer av metoder och standarder som används inom IT-världen för att skapa en grundläggande nivå för säkra arbetsrutiner. Detta omfattar inte bara IT-infrastruktur och mjukvara, utan även de personer som är involverade.
I vårt dagliga arbete stöter vi ofta på tester där våra kunder saknar säkra rutiner för patchhantering, kodning, testning och en grundläggande förståelse för potentiella risker. Det är vårt jobb att hjälpa dem. Att utbilda dem där och när det behövs. Vi som säkerhetsexperter behöver själva bry oss om säkerhet, så att de i sin tur förstår att vi bryr oss om deras säkerhet.
Med det stora skiftet till att använda andras datorer (känt som "molnet") för att stödja lokal infrastruktur, plattformar och tjänster, måste nya policys och rutiner beaktas. Dessa "nya" miljöer framstår ofta som helt säkra, och i sig själva kan de vara det, men det du bygger ovanpå denna grund är en helt annan historia. Du kan bygga den starkaste grunden, men om strukturen ovanpå den faller samman... vad är då poängen?
Är din data säker?
Detta för oss till de externa tredjepartstjänsteleverantörerna. De flesta företag behöver flera lösningar för det dagliga arbetet. Alla dessa behov kan inte tillgodoses med interna resurser eller skräddarsydda applikationer. Anledningarna kan variera, men kostnad är oftast en stor faktor i beslutet. Antingen kostar den nuvarande lösningen för mycket tid, eller så skulle det vara för dyrt att utveckla, bygga och underhålla en intern lösning. Om du har ett problem finns det oftast andra som har samma problem. Och ofta finns det redan en lösning någonstans på internet.
Den stora fördelen är att det är en färdig tjänst och att någon annan tar hand om den. Allt du behöver göra är att använda den. Detta innebär dock vissa potentiella problem. Du har inte full kontroll över vad som händer, och varför skulle du? Du betalade ju någon annan för att ta hand om det!
När du låter någon annan hantera din data vill du vara säker på att det görs på ett korrekt och säkert sätt. Så när du undersöker ett företag och deras produkt finns det flera saker som du bör vara medveten om:
-
Transparens
-
Flexibilitet
-
Kryptering
-
Säkerhet
Transparens
Många sociala medieplattformar är "gratis" att använda, du behöver endast acceptera deras villkor. Men om du köper en produkt bör du ha vissa rättigheter gällande vad du köper och en rätt att klaga om något inte är som det ska.
Fråga leverantören: "Vad är er säkerhetspolicy? Vilka säkerhetsrutiner har ni? Genomför ni penetrationstester regelbundet? Kan vi se dessa rapporter?"
Våra tankar om detta är att om de inte är beredda att svara de på dessa frågor eller är villiga att dela med sig av sin policy och sina rutiner prioriterar de förmodligen inte IT-säkerhet.
Flexibilitet
Även om du köper en färdig produkt kan det finnas ett behov av att anpassa den för att passa ditt företags specifika behov. De faktiska behoven och kraven är inte den avgörande delen i detta. Det handlar mer om om de är mottagliga för dina behov. Bryr de sig om dina frågor? Verkar de vara villiga att hjälpa dig med lösningen? Kan kompromisser göras?
Vissa tjänster kommer helt enkelt inte att kunna vara flexibla med sina implementeringar. Men det här kan vara ett tillfälle att se hur företaget hanterar sina kunder.
Kryptering
Användningen av kryptering för att skydda överföringen av data över internet är numera vanlig praxis. I slutet av 2018 varandelen trafik som använder HTTPS över 72 %. Det är en enorm ökning från tidigare år! Och även om detta är en bra sak, garanterar det inte att det implementeras korrekt.
Är SSL/TLS implementerat korrekt? Med de senaste standarderna tillämpade? Måste du betala mer för att få den bästa servicen och krypteringen? Sitter din "säkra" miljö på samma maskin som de andra kunderna som inte vill betala för de bästa säkerhetsalternativen? Får det dig att känna dig obekväm? Har de glömt att berätta det? hoppsan! Antar att din snygga kryptering inte spelar någon roll nu...
Säkerhet
Slutligen kommer vi till huvudpoängen om varför vi är här och varför vi gör som vi gör. Vi bryr oss om säkerhet. Inte bara för våra kunder utan också för vår egen del, för i verkligheten hänger allt ihop på något sätt.
Vi ser många problem i vårt dagliga arbete. OWASP Top 10 är inte någon godtycklig lista, dessa problem är mycket vanliga där ute. Anledningarna till att vi fortsätter att se dessa problem är oändliga och vi kan lista dem hela dagen lång. Men det verkar alltid komma tillbaka till en sak. Det mänskliga elementet anses ofta vara den svagaste länken i kedjan.
Det spelar ingen roll vilka snygga säkerhetsprodukter och tjänster du köper; de är värdelösa om de inte är korrekt konfigurerade, påslagna/anslutna, inte korrigerade regelbundet eller för svåra att hantera.
Sammanfattning
På samma sätt som du skulle besiktiga en potentiell ny anställd, bör grundliga bakgrundskontroller, referenser som är giltiga, teknisk förståelse för rollen du anställer för samma process och metod tillämpas när du tittar på en potentiell tredjepartsansökan. Ha mer än en rimlig kandidat och ramla inte i kostnadsfällan.
För att hjälpa dig har vi sammanställt en checklista som kan och bör användas som ett frågeformulär när du granskar tredjepartstjänster som du kan tänka dig att använda. Vi har lagt till vad vi tycker är några bra frågor att börja med när vi utvärderar säkerhetsmognaden för en tjänsteleverantörsapplikation.
För att ladda ner, klicka här. (checklistan är på engelska).
