Google en Salesforce hebben de oprichting aangekondigd van een leveranciersneutrale beveiligingsbasislijn, het Minimum Viable Security Product (MVSP), waarvan ze zeiden dat het een poging was om “de lat voor beveiliging hoger te leggen en tegelijkertijd de controleproces.”
MVSP is ook ontwikkeld en ondersteund door Okta, Slack en meer. Google Vice President of Security Royal Hansen zei dat het “ontworpen is om overhead, complexiteit en verwarring tijdens het inkoop-, RFP- en leveranciersbeveiligingsbeoordelingsproces te elimineren door minimaal acceptabele beveiligingsbaselines vast te stellen.”
“Met MVSP kan de industrie de duidelijkheid tijdens elke fase vergroten, zodat partijen aan beide kanten van de vergelijking hun doelen kunnen bereiken en de onboarding- en verkoopcyclus met weken of zelfs maanden kunnen verkorten”, aldus Hansen.
“MVSP is een gezamenlijke basislijn die is gericht op het ontwikkelen van een reeks minimale beveiligingsvereisten voor leveranciers van business-to-business software en business process outsourcing. Ontworpen met eenvoud in het achterhoofd, bevat het alleen die controles die minimaal moeten worden geïmplementeerd om ervoor te zorgen dat een redelijke beveiligingshouding. MVSP wordt gepresenteerd in de vorm van een minimale baseline checklist die kan worden gebruikt om de beveiligingshouding van een oplossing te verifiëren.”
Bedrijven hebben lang hun eigen beveiligingsbaselines voor hun leveranciers moeten creëren, wat het proces bemoeilijkt, moeilijk te assembleren is voor organisaties en een byzantijns doolhof van baselines creëert voor leveranciers die zich aan de regels houden.
Hansen legde uit dat de MVSP een industriebrede baseline zal creëren, ondersteund door beoefenaars, die duidelijk een reeks minimumvereisten communiceert.
De vereisten kunnen organisaties ook helpen de hiaten in hun eigen proces te begrijpen en gebieden te identificeren waar ze strenger moeten zijn voor leveranciers.
“MVSP biedt een enkele reeks veiligheidsrelevante vragen die openbaar beschikbaar zijn en door de industrie worden ondersteund. Door op één enkele reeks basislijnen af te stemmen, krijgen leveranciers een duidelijker begrip, wat resulteert in een snellere en nauwkeurigere reactie”, aldus Hansen.
“MVSP zorgt ervoor dat de verwachtingen met betrekking tot minimale beveiligingscontroles vooraf worden begrepen, waardoor discussies over controles in de contractonderhandelingsfase worden verminderd. Het verwijzen naar een externe baseline helpt de contracttaal te vereenvoudigen en vergroot de bekendheid met de vereisten.”
Hansen voegde eraan toe dat de bedrijven geïnteresseerd waren in feedback van de beveiligingsgemeenschap en anderen die mogelijk willen bijdragen.
Salesforce zei dat het uitbesteden van activiteiten aan externe leveranciers een tweesnijdend zwaard is. Het bespaart maar creëert ook nieuwe aanvalsvectoren door externe toegang te verlenen tot kritieke systemen en klantgegevens, aldus een Salesforce-functionaris. Uit een recent onderzoek blijkt dat 59% van de bedrijven te maken heeft gehad met een datalek veroorzaakt door een van hun leveranciers.
De MSVP-checklist bevat vragen over de vraag of een leverancier jaarlijks uitgebreide penetratietests op systemen uitvoert en of een leverancier voldoet aan lokale wet- en regelgeving zoals de AVG.
Vragen gaan ook over de vraag of leveranciers eenmalige aanmelding hebben geïmplementeerd met behulp van moderne en industriestandaard protocollen of regelmatig beveiligingspatches hebben toegepast.
Houdt een leverancier een lijst bij van gevoelige gegevenstypen die de toepassing naar verwachting zal verwerken? Houden ze een up-to-date gegevensstroomschema bij dat aangeeft hoe gevoelige gegevens uw systemen bereiken en waar deze uiteindelijk worden opgeslagen? Dit zijn allemaal vragen die gesteld worden door de MSVP checklist.
De checklist bevat ook vragen over de fysieke beveiliging van faciliteiten en of leveranciers gelaagde perimetercontroles of in- en uitloglogboeken hebben.
“Met MVSP kan de industrie de duidelijkheid tijdens elke fase vergroten, zodat partijen aan beide kanten van de vergelijking hun doelen kunnen bereiken en de onboarding- en verkoopcyclus met weken of zelfs maanden kunnen verkorten”, aldus Salesforce.
” p>
Beveiliging
Hackers hebben op de een of andere manier aan hun rootkit een door Microsoft uitgegeven digitale handtekening gekregen Dit monster van een phishing-campagne zit achter je wachtwoorden aan SolarWinds-hackers Nobelium om opnieuw wereldwijde IT-toeleveringsketens aan te vallen, waarschuwt Microsoft Hackers vermommen hun kwaadaardige JavaScript-code met een moeilijk te verslaan truc Microsoft Teams: uw videogesprekken hebben zojuist een grote beveiligingsboost gekregen Cybersecurity 101: bescherm uw privacy tegen hackers, spionnen, de overheid Salesforce.com | Wolk | Mobiliteit | Bedrijfssoftware | Kunstmatige Intelligentie | Hardware