Esiste una scheda di tipo BBB o qualche altro badge stimabile che dovrei cercare quando scegli qualcuno per eseguire una revisione della sicurezza?
Esiste una scheda di tipo BBB o qualche altro badge stimabile che dovrei cercare quando scegli qualcuno per eseguire una revisione della sicurezza?
No, non penso ci siano elenchi o badge ben formulati.
Dalla mia esperienza molte aziende eseguono solo alcuni software di controllo (come AppScan razionale IBM ), inviare i risultati e rispondere a qualsiasi domanda (i risultati generalmente definiscono come risolvere eventuali problemi). Nota. Potrei aver appena vissuto poche aziende medie.
Personalmente preferirei risparmiare i miei soldi ed eseguire internamente software di audit. Qui è un elenco di software di controllo di sicurezza revisionato che potresti voler esaminare se desideri eseguire il controllo interno. Tuttavia, per qualcuno con un background di sicurezza limitato, questa potrebbe non essere l'opzione migliore (anche se dovresti imparare molto).
Prima di impegnarti a chiedere in giro, fai qualche ricerca su ciascun potenziale revisore e confrontali tra loro. Questo dovrebbe aiutarti a eliminare le aziende medie.
Goodluck.
Anche le aziende rispettabili a volte danno feedback inutili o controproducenti; molte volte si tratta dell'esperienza dell'effettivo rappresentante con cui parli. Basta cercare in questo sito le domande relative agli audit di conformità PCI per avere un'idea di quanto possano essere arretrate alcune aziende consolidate.
Ma alla fine, ciò di cui hai veramente bisogno non è un controllo, è un allenamento. Un controllo è solo un'istantanea e il suo valore scompare quasi immediatamente. Ma se riesci a convincere un'azienda a comportarti non come auditor ma come consulente, allenandoti nel modo giusto per garantire la tua attività, allora avrai qualcosa di duraturo.
Inoltre, i consulenti sono molto più facili da valutare. Se non stai imparando qualcosa di utile dal tuo consulente, allora chiaramente non è molto bravo. Prova alcuni e decidi quale stile preferisci e confronta i loro consigli con quello che vedi su questo sito. Dovrebbe essere piuttosto semplice se ci metti un po 'di tempo.
Hai alcuni buoni indicatori in alcune aree:
In the UK, being a CREST approved company means your methodology meets the Council of Registered Ethical Security Testers requirements, and having CREST application or infrastructure testers is a 'gold standard'
Anche nel Regno Unito, CHECK offre garanzie simili, ma è più adatto al settore pubblico.
Oltre a questo, puoi scegliere il track record:
In most of the areas I work, the known companies/teams/individuals are the ones in demand and the value behind them is in their name and reputation. This is why a lot of work comes my way - people know me and know the teams I manage (disclaimer, I work for one of the Big-4 accountancy firms, and previously worked with one of the others, so have had large teams in a wide range of clients - which helps for visibility)
Per i controlli di sicurezza a rischio ridotto o basso è possibile automatizzare la scansione interna, utilizzando uno degli strumenti di marca noti, ma per qualcosa di più importante è necessario essere in grado di adattare i risultati alle esigenze aziendali specifiche. È qui che le grandi ditte di audit sulla sicurezza arrivano da sole, fornendo quell'analisi del rischio operativo o aziendale, piuttosto che una semplice serie di risultati tecnici.
Direi come si potrebbe trovare un buon fornitore dipende dai tuoi obiettivi per farlo. Se è necessario dimostrare un qualche tipo di conformità o assicurarsi di poter passare un controllo, direi che andare con un fornitore che ha esperienza con i criteri che è necessario superare. Se il tuo obiettivo è il miglioramento della sicurezza piuttosto che la conformità, la soluzione migliore è quella di andare con le raccomandazioni se riesci a ottenerle, e se non riesci a coinvolgere diverse società candidate per un colloquio. Dare loro uno dei tuoi server web per fare una scansione e dire loro di portare i risultati del campione.
Alcuni ti porteranno risultati in scatola che sono appena usciti da qualche strumento automatico dove ovviamente non gli hanno dato una seconda occhiata. I loro risultati possono avere ovvi falsi positivi come dire che ci sono vulnerabilità di Linux che non sono applicabili al tuo sistema, o vulnerabilità per software che non è presente nel sistema. Potrebbe esserci del riempitivo intorno all'ICMP per estenderlo. I buoni avranno usato i risultati come punto di partenza per scavare per ulteriori risultati. Avranno filtrato i falsi positivi e le voci inutili e fatto ulteriori esplorazioni nei vostri sistemi.
Non ti consiglio di farlo da solo, a meno che tu non abbia una grande esperienza in esso.
Puoi considerare l'azienda come AAA +++ se pubblicano i loro processi sul loro sito web: P E.g. dicono che si occupano prima dell'allenamento, quindi della progettazione, dell'integrazione, della convalida e di come gestiscono il rilascio, come la certificazione ecc.
Leggi altre domande sui tag audit