In che domande consiste il test di Joel per i professionisti di Infosec?

18

Vedi Server Fault e test originale . In altre parole, quali sono alcune buone domande che un professionista della sicurezza delle informazioni dovrebbe chiedere a un potenziale datore di lavoro? Queste domande potrebbero anche prestarsi per contribuire a migliorare un ambiente di lavoro esistente e consentire a un datore di lavoro di attirare la migliore e più brillante sicurezza informatica.

    
posta sdanelson 04.12.2010 - 03:51
fonte

5 risposte

8

Uno che sembra avere un impatto significativo sui team di sicurezza sarebbe:

  • Hai un CISO o equivalente sponsorizzazione della sicurezza a livello di consiglio di amministrazione e sviluppo delle capacità di sicurezza e competenza

Senza di esso, i team diventano molto disillusi per la loro mancanza di influenza e si sposteranno verso organizzazioni con una visione più matura della sicurezza.

Inoltre, al fine di attrarre le persone che stanno cercando di assicurarsi la loro carriera a lungo termine

  • Hai una competenza di sicurezza quadro, come quello sviluppato dall'istituto di informazioni Security Professionals che copre l'intera carriera da laurea in entrata alla pensione?
risposta data 05.12.2010 - 01:49
fonte
7
  • Hai un team di Application Security separato? (a differenza del solo network sec che esegue lo spettacolo)
  • È il CISO / responsabile della sicurezza / qualsiasi cosa tu lo chiami - sia abbastanza tecnico da comprendere le minacce, sia abbastanza esperto di business da tradurre a rischio
  • Esiste un SDL olistico, con executive, manageriale e sviluppatore?
  • Tutti i dipendenti devono avere una formazione sulla sicurezza pertinente, pertinente alla loro area di lavoro?
  • Qualunque prodotto / sistema / applicazione / ecc deve ottenere l'approvazione della sicurezza prima della distribuzione e la sicurezza può fermarla?
  • Se / quando la sicurezza interrompe la pubblicazione di un sistema a causa di gravi vulnerabilità, viene ringraziato o maledetto dall'azienda?
  • I consiglieri di amministrazione sono vincolati dalla politica di sicurezza aziendale ? :)
  • Il dipartimento di sicurezza è considerato un ostacolo tecnico o un aiuto esecutivo alla gestione dei rischi aziendali?
risposta data 05.12.2010 - 09:59
fonte
6

Alcuni da aggiungere:

  • Utilizzi strumenti di gestione e analisi dei registri automatici?
  • Segmenta la tua rete?
  • Il personale addetto alla sicurezza IT conserva sistemi di produzione? (Esiste la segregazione dei doveri)
  • I normali utenti hanno diritti di amministratore?
risposta data 04.12.2010 - 17:00
fonte
6
  • Esegui backup regolari su più di una posizione fisica?
  • Test regolarmente il ripristino dal backup?
  • Hai una gestione del rischio strategia per problemi di sicurezza?
  • Istruisci regolarmente i tuoi dipendenti su problemi di sicurezza che appartengono a loro?
  • Disponi di un budget per la sicurezza?
  • Ci sono controlli, entrambi tecnici e gestionale, in vigore per dati sensibili?
  • Resti aggiornato sui problemi di sicurezza?
  • Memorizzi le password in testo semplice?
  • Che software usi per proteggere computer, server e dati?
  • Aggiorna regolarmente il software critico alle versioni più recenti?
  • Le modifiche della password per tutti i dipendenti sono obbligatorie?
risposta data 04.12.2010 - 04:19
fonte
0

Oltre a quelli di VirtuosiMedia:

  • Di che cosa è responsabile il team addetto alla sicurezza e quante persone ci sono?
  • Quando sono state aggiornate le politiche di sicurezza?
  • A chi è rivolto il team di sicurezza?
  • Qual è l'applicazione più vecchia in esecuzione nel tuo ambiente?
  • La squadra di sicurezza fa parte del programma di conformità? In tal caso, quali tipi di audit vengono eseguiti annualmente?
risposta data 04.12.2010 - 04:37
fonte

Leggi altre domande sui tag