¿Es común ser auditado por seguridad, pero no se le da acceso a los resultados de la auditoría?

Navega tus respuestas
1

  • ¿Cuándo tiene sentido, o es común que no tenga acceso? Auditoría de seguridad resuts / informes cuando se trata de grandes empresas ¿Quién usa tu software?

  • ¿Cómo se puede hacer un caso para los beneficios de compartir documentación en brechas de seguridad, y cuáles son los riesgos de no revelar esto información?

Escenario hipotético:

  

La compañía MediumSizedSoftwareCorp fue contactada recientemente por uno   de sus clientes, SuperGiantMegaCorp para realizar una auditoría de seguridad de   La plataforma MediumSizedSoftwareCorp (que utilizan).

     

La auditoría se llevó a cabo en un secreto relativo por una seguridad y   equipo de cumplimiento en SuperGiantMegaCorp y gerentes en   Se informó a MediumSizedSoftwareCorp que su plataforma de software había "fallado" la auditoría. Los gerentes son ambas empresas están en un tizzy porque los problemas de seguridad amenazan con descarrilar el crecimiento futuro del contrato.

     

Los ingenieros de MediumSizedSoftwareCorp desean desesperadamente remediar la seguridad   problemas, pero SuperGiantMegaCorp solo discutirá las vulnerabilidades   por teléfono, omitiendo detalles y discutiendo solo en vagos, generales   condiciones. A esto se suma el hecho de que los auditores de SuperGiantMegaCorp se niegan a compartir documentos de informes de auditoría detallados debido a la naturaleza "sensible" de los documentos.

Este escenario parece antitético para cerrar brechas en la seguridad. La transparencia y la cooperación parecen ser mejores opciones, pero ¿cómo se construye un caso basado en evidencia para esto?

    
pregunta Ray 01.08.2017 - 18:34
fuente

2 respuestas

3

De hecho, la situación que describe no se presta para una resolución rápida de las vulnerabilidades encontradas por la auditoría de mega corp. Sin embargo, ten cuidado que puede no ser el punto. Incluso si el propósito real de la auditoría es corregir fallas de seguridad, hay algunas razones por las que el mega corp no puede compartir detalles.

¿Qué otros propósitos tiene una auditoría de seguridad además de arreglar los agujeros de seguridad? Bueno, lee tu contrato y piensa en las motivaciones de todos. Como han dicho otros, puede haber motivaciones contractuales o políticas. Fuera de la cabeza:

  1. Mega Corp puede querer romper o renegociar su contrato, o un contrato con otra persona. Están utilizando la auditoría como apalancamiento.
  2. Mega Corp está realizando una evaluación de riesgos de su producto, y solo quieren entender qué tipo de riesgo representa su software para su negocio.
  3. Mega Corp está siguiendo una regla o regulación que dice que necesitan hacer auditorías regulares y eso es todo lo que han decidido hacer.
  4. Mega Corp no quiere iniciar un rastro en papel que documente vulnerabilidades potencialmente dañinas, o no quiere que el rastro en papel deje su control físico.
  5. Se les puede prohibir legalmente (o estar legalmente preocupados por) el intercambio de información desde un entorno clasificado / controlado a un entorno no clasificado / no controlado.

Pueden sentir que tienen razones de seguridad legítimas para no compartir vulnerabilidades específicas también.

  1. Es posible que no confíen en su compañía y, si le dan una lista de casos de prueba específicos, le dirán mucho sobre los tipos de problemas que tuvieron en el pasado, así como los problemas que prevén que serán problemas para ellos en el futuro. .
  2. Es posible que no quieran que solo corrijas los errores que encontraron, sino que realicen una revisión más completa. Si le dicen que pueden deslizar las cadenas X, Y y Z a través de la validación de entrada, tendrá la tentación de corregir esos casos específicos. Si solo le dicen que su validación de entrada es un pedazo de basura y para solucionarlo, o de lo contrario perderá su contrato, entonces su empresa analizará todo el software de arriba a abajo.
respondido por el David 01.08.2017 - 20:13
fuente
0

Lo que los otros han dicho, este es un problema de negocios, no técnico. Puede ser tan simple como el hecho de que MegaCo pagó por la auditoría, y no ve ninguna razón para compartir esa información con usted. La solución podría ser tan simple como preguntar quién hizo la auditoría para MegaCo y ver si puede contratarlos para su propia auditoría.

    
respondido por el JesseM 01.08.2017 - 20:28
fuente

Lea otras preguntas en las etiquetas

Paso del parámetro Shellcode Decida la autenticación del certificado de cliente en https según el nombre de host o la URL