Quali sono i principali problemi di sicurezza per il software Enterprise in esecuzione su reti interne?

La classificazione dei dati determinerà ampiamente i requisiti. Un'impresa adotterà un sistema di classificazione dei dati per aiutare a identificare quali sistemi necessitano di quali protezioni. Possiamo supporre che la tua domanda si applichi ai dati sensibili. Anche in questo caso, si applicano requisiti diversi a seconda dell'origine di tali dati e della classificazione.

A volte, forze esterne dettano i requisiti. Ad esempio, a causa del tipo di dati con cui lavoriamo, siamo controllati ogni anno da una parte esterna. Richiedono, tra le altre cose, di passare le scansioni di Nessus e AppDetectivePro. Quindi, per assicurarci di passare, eseguiamo questi strumenti su sistemi in ambito.

"Prima di firmare l'assegno" è il momento in cui un'impresa si assicura di disporre dell'autorizzazione per eseguire i test richiesti. Ad esempio, il contratto potrebbe richiedere al fornitore di fornire un ambiente di test per eseguire scansioni di sicurezza delle applicazioni invasive. Il processo di approvvigionamento potrebbe richiedere che queste scansioni siano consentite prima dell'acquisto del prodotto.

I venditori possono essere richiesti per dimostrare di aver rispettato gli standard. Ad esempio, i venditori al governo federale devono soddisfare i requisiti FedRAMP. I fornitori di cloud sono giudicati in base ai requisiti SOC 2.

La sicurezza si riferisce a Riservatezza, integrità e disponibilità e questo è ciò che testerai. Dipende da cosa l'impresa utilizzerà per il software. Un approccio basato sul rischio è quello che consiglierei perché indipendentemente da ciò che si sta usando, i benefici devono superare i rischi che il software porterà. Quindi, se stai acquistando un software aziendale che ospiterà le PII, la riservatezza deve essere irreprensibile e questo è ciò che testerai.