Quando una società ha bisogno di assumere uno specialista della sicurezza dedicato? [chiuso]

Naviga le tue risposte
0

Al momento, non disponiamo di uno specialista di penetrazione o di sicurezza / specialista dedicato nel team.

Siamo stati scansionati e controllati da diverse società specializzate nella sicurezza di Internet e abbiamo affrontato i problemi rilevati utilizzando le forze dello sviluppo di backend, dello sviluppo di frontend e dei team DevOps. A volte, tuttavia, ci siamo resi conto che avremmo potuto trovare alcuni dei problemi prima, prima dell'audit, se avessimo prestato maggiore attenzione ai test di sicurezza.

A che punto e quali sarebbero i segni di un momento in cui un'azienda dovrebbe assumere uno specialista della sicurezza dedicato e quali sarebbero i vantaggi / gli svantaggi di tale azione?

Vorrei mantenere la domanda generica, ma fornirò tutti i dettagli se necessario.

    
posta alecxe 21.12.2017 - 03:57
fonte

1 risposta

3

Ora.

Il fatto che tu stia capendo che i problemi sono stati scoperti così tardi nell'SDLC è un segno che devi assumere personale della sicurezza. Ma ecco la parte difficile. Ci sono molte discipline diverse nella sicurezza delle informazioni, e potrebbe essere necessario assumere più di una persona per coprire le diverse discipline. Ad esempio, i seguenti sono ciascuno diversi skillset. Potrebbero esserci delle sovrapposizioni, ma difficilmente riuscirai a trovare qualcuno che sia abile in tutto ciò che ha la profondità necessaria per svolgere correttamente il lavoro.

  • Architettura software
  • Architettura di rete
  • Revisione codice
  • Test di penetrazione
  • Valutazioni di vulnerabilità
  • Gestione dei rischi
  • Formazione per gli sviluppatori

Ci dovrebbero anche essere delle domande su dove vuoi che un programma di sicurezza faccia maturare. Se assumi penetratori che trovano solo vulnerabilità dopo la vulnerabilità, finirai con gli sviluppatori che continuano a scrivere codice errato, perché i loro errori non vengono catturati durante il processo di sviluppo. O durante il processo di progettazione. È davvero difficile per me dire a qualcuno "Sì, ho trovato questo grave difetto di progettazione. Dovrai strappare un po 'di codice per sistemarlo". Questo è economicamente costoso. Costante umano. E gli sviluppatori non ne traggono veramente l'educazione.

Va notato che anche all'interno di ciascuna di queste discipline, ci sono diverse abilità. Ad esempio, l'architettura software può essere una persona incorporata in un team, ma dal team di sicurezza, che aiuta il software di progettazione. Oppure può essere qualcuno che prende la documentazione vicino alla fine del processo di progettazione, lo rivede, aiuta il team a capire i difetti di progettazione. Entrambi gli approcci hanno i loro pro e contro. Oppure potresti trovare persone che sono brave nella gestione del rischio quando si tratta di sicurezza fisica, ma non di sicurezza delle informazioni. O persone che sono brave nelle valutazioni di vulnerabilità, ma non sono brave nei test di penetrazione.

Fai un bilancio di ciò di cui l'azienda ha bisogno ora e inizia a sviluppare un programma di sicurezza intorno a questo.

    
risposta data 21.12.2017 - 04:38
fonte

Leggi altre domande sui tag

Antivirus vs Firewall con antivirus Può essere utilizzato per l'attacco di correlazione in tribunale? [chiuso]