¿Debo buscar un listado de tipo BBB o algún otro distintivo de buena reputación al elegir a alguien para realizar una revisión de seguridad?
¿Debo buscar un listado de tipo BBB o algún otro distintivo de buena reputación al elegir a alguien para realizar una revisión de seguridad?
No, no creo que haya listas o distintivos bien formulados.
Según mi experiencia, muchas empresas simplemente ejecutarán algún software de auditoría (como IBM racional AppScan ), le envía los resultados y luego responde a cualquier pregunta (los resultados generalmente definen cómo solucionar cualquier problema). Nota. Puede que haya experimentado algunas empresas promedio.
Personalmente, preferiría ahorrar mi dinero y ejecutar el software de auditoría internamente. Aquí hay una lista del software de auditoría de seguridad revisado que quizás desee consultar si alguna vez desea realizar una auditoría interna. Sin embargo, para alguien con antecedentes de seguridad limitada, esta puede no ser la mejor opción (aunque usted aprendería mucho).
Antes de comprometerse a preguntar, investigue sobre cada auditor potencial y compárelos entre sí. Esto debería ayudarlo a eliminar cualquier empresa promedio.
Buena suerte.
Incluso las empresas de renombre a veces dan comentarios inútiles o contraproducentes; muchas veces se trata de la experiencia del representante real con el que habla. Simplemente busque en este sitio preguntas relacionadas con las auditorías de cumplimiento de PCI para tener una idea de qué tan bien al revés pueden estar algunas empresas bien establecidas.
Pero al final, lo que realmente necesitas no es una auditoría, es capacitación. Una auditoría es solo una instantánea, y su valor desaparece casi de inmediato. Pero si puede lograr que una empresa actúe no como auditor sino como consultor, capacitándolo en la forma adecuada para asegurar su negocio, tendrá algo de valor duradero.
Además, los consultores son mucho más fáciles de calificar. Si no estás aprendiendo nada útil de tu consultor, entonces claramente no es muy bueno. Pruebe algunos y decida el estilo que le guste y compare sus consejos con lo que ve en este sitio. Debería ser bastante sencillo si le dedicas un poco de tiempo.
Tienes algunos buenos indicadores en algunas áreas:
En el Reino Unido, ser una empresa aprobada por CREST significa que su metodología cumple los requisitos del Consejo de Probadores de Seguridad Ética Registrados, y tener probadores de aplicaciones o infraestructura CREST es un 'oro estándar '
También en el Reino Unido, CHECK proporciona una garantía similar, pero está más adaptado para el sector público.
Aparte de eso, puedes ir a la pista:
En la mayoría de las áreas en las que trabajo, las compañías / equipos / individuos conocidos son Los que están en demanda y el valor detrás de ellos están en su nombre y reputación. Por eso me viene mucho trabajo, la gente me conoce. y conozco los equipos que administro (descargo de responsabilidad, trabajo para uno de los Big-4 empresas de contabilidad, y anteriormente trabajó con uno de los otros, por lo que han tenido grandes equipos en una amplia gama de clientes, lo que ayuda a visibilidad)
Para auditorías de seguridad de riesgo pequeño o bajo, puede automatizar el escaneo interno, utilizando una de las herramientas de marca conocidas, pero para algo más importante, necesita poder adaptar los resultados a sus necesidades comerciales específicas. Es ahí donde las grandes firmas de auditoría de seguridad se integran, proporcionando un análisis de riesgo operacional o de negocios, en lugar de solo un conjunto de resultados técnicos.
Yo diría que encontraría un buen proveedor dependiendo de sus objetivos para hacerlo. Si necesita probar algún tipo de cumplimiento o asegurarse de que puede pasar una auditoría, entonces diría que vaya con un proveedor que tenga experiencia con los criterios que necesita para aprobar. Si su objetivo es mejorar la seguridad en lugar del cumplimiento, entonces su mejor opción es ir con recomendaciones si puede obtenerlas y, si no, traer varias empresas candidatas para una entrevista. Déles uno de sus servidores web para hacer un escaneo y dígales que traigan los resultados de la muestra.
Algunos le brindarán resultados enlatados que se obtienen de una herramienta automatizada donde, obviamente, no le han dado una segunda mirada. Sus resultados pueden tener falsos positivos obvios, como decir que hay vulnerabilidades de Linux que no son aplicables a su sistema, o vulnerabilidades para software que no está presente en el sistema. Puede haber algo de relleno alrededor de ICMP para agruparlo. Los buenos habrán usado los resultados como un punto de salto para cavar para obtener más resultados. Habrán filtrado los falsos positivos y las entradas inútiles y habrán explorado más sus sistemas.
No te recomiendo que lo hagas tú mismo a menos que tengas muchos antecedentes en ello.
Puede considerar que la empresa es AAA +++ si publican sus procesos en su sitio web: P E.g. Dicen que primero realizan la capacitación, luego el diseño, la integración, la validación y cómo manejan el lanzamiento, como la certificación, etc.
Lea otras preguntas en las etiquetas audit