¿Cuándo necesita una empresa contratar a un especialista en seguridad dedicado? [cerrado]

Navega tus respuestas
0

Actualmente, no tenemos un especialista / probador de seguridad o penetración dedicado específico en el equipo.

Hemos sido escaneados y auditados por diferentes compañías especializadas en seguridad de Internet y hemos estado abordando los problemas descubiertos utilizando las fuerzas del desarrollo backend, el desarrollo frontend y los equipos DevOps. A veces, sin embargo, nos dimos cuenta de que podríamos haber encontrado algunos de los problemas antes, antes de la auditoría, si hubiéramos prestado más atención a las pruebas de seguridad.

¿En qué momento y cuáles serían los signos de un momento en que una empresa necesitaría contratar a un especialista en seguridad dedicado y cuáles serían las ventajas / desventajas de esa acción?

Me gustaría mantener la pregunta genérica, pero le proporcionaré detalles si es necesario.

    
pregunta alecxe 21.12.2017 - 03:57
fuente

1 respuesta

3

Ahora.

El hecho de que se esté dando cuenta de que los problemas se encuentran tan tarde en el SDLC es una señal de que necesita contratar personal de seguridad. Pero aquí está la parte difícil. Existen muchas disciplinas diferentes en Seguridad de la información, y es posible que necesite contratar a más de una persona para cubrir las diferentes disciplinas. Por ejemplo, los siguientes son cada conjunto de habilidades diferentes. Puede haber cierta superposición, pero será difícil encontrar a alguien que tenga experiencia en todo lo que tenga la profundidad necesaria para realizar el trabajo correctamente.

  • Arquitectura de software
  • Arquitectura de red
  • Revisión de código
  • Pruebas de penetración
  • Evaluaciones de vulnerabilidad
  • Gestión de riesgos
  • educación del desarrollador

También debería haber preguntas sobre dónde desea que madure un programa de seguridad. Si contrata probadores de penetración que solo encuentran una vulnerabilidad tras otra, terminará con desarrolladores que siguen escribiendo código incorrecto, porque sus errores no se detectan durante el proceso de desarrollo. O durante el proceso de diseño. Es realmente difícil para mí decirle a alguien "sí, encontré este grave defecto de diseño. Necesitarás extraer un montón de código para solucionarlo". Eso es financieramente caro. Tiempo humano caro. Y los desarrolladores realmente no obtienen educación de esto.

Cabe señalar que incluso dentro de cada una de estas disciplinas, hay diferentes habilidades. Por ejemplo, la arquitectura del software puede ser alguien que esté integrado en un equipo, pero desde el equipo de seguridad, ayudando a diseñar software. O puede ser alguien que lleve la documentación cerca del final del proceso de diseño, la revise, ayude al equipo a comprender los defectos de diseño. Ambos enfoques tienen sus pros y sus contras. O puede encontrar personas que son buenas en la gestión de riesgos cuando se trata de seguridad física, pero no de seguridad de la información. O personas que son buenas en las evaluaciones de vulnerabilidad, pero no buenas en las pruebas de penetración.

Haga un balance de lo que la compañía necesita ahora, y comience a desarrollar un programa de seguridad alrededor de eso.

    
respondido por el h4ckNinja 21.12.2017 - 04:38
fuente

Lea otras preguntas en las etiquetas

¿Hay una manera fácil de registrar cuánto tiempo le lleva a John the Ripper descifrar las contraseñas? ¿Es este un verdadero ataque CSRF?