Google och Salesforce har tillkännagivit skapandet av en leverantörsneutral säkerhetsbaslinje kallad Minimum Viable Security Product (MVSP), som de sa var ett försök att “höja ribban för säkerhet och samtidigt förenkla granskningsprocessen.”
MVSP utvecklades också och backades upp av Okta, Slack med flera. Googles vicepresident för säkerhet Royal Hansen sa att den var “designad för att eliminera overhead, komplexitet och förvirring under upphandlingen, RFP och leverantörssäkerhetsbedömningsprocessen genom att fastställa lägsta acceptabla säkerhetsbaslinjer.”
“Med MVSP kan branschen öka tydligheten under varje fas så att parter på båda sidor av ekvationen kan uppnå sina mål och minska introduktions- och försäljningscykeln med veckor eller till och med månader,” sa Hansen.
“MVSP är en gemensam baslinje fokuserad på att utveckla en uppsättning minimisäkerhetskrav för leverantörer av programvara för företag till företag och outsourcing av affärsprocesser. Designad med enkelhet i åtanke, innehåller den endast de kontroller som åtminstone måste implementeras för att säkerställa en rimlig säkerhetsställning. MVSP presenteras i form av en minimichecklista som kan användas för att verifiera en lösnings säkerhetsställning.”
Företag har länge varit tvungna att skapa sina egna säkerhetsbaslinjer för sina leverantörer, vilket komplicerar processen, är svårt att montera för organisationer och skapar en bysantinsk labyrint av baslinjer för leverantörer som uppfyller kraven.
Hansen förklarade att MVSP kommer att skapa en industriomfattande baslinje som stöds av praktiker som tydligt kommunicerar en uppsättning minimikrav.
Kraven kan också hjälpa organisationer att förstå luckorna i sin egen process och identifiera områden där de behöver vara hårdare mot leverantörer.
“MVSP tillhandahåller en enda uppsättning säkerhetsrelevanta frågor som är allmänt tillgängliga och stöds av industrin. Att anpassa sig efter en enda uppsättning baslinjer ger tydligare förståelse från leverantörer, vilket resulterar i ett snabbare och mer exakt svar,” sa Hansen.
“MVSP säkerställer att förväntningar på minimisäkerhetskontroller förstås i förväg, vilket minskar diskussioner om kontroller vid avtalsförhandlingsstadiet. Att hänvisa till en extern baslinje hjälper till att förenkla avtalsspråket och ökar förtrogenhet med kraven.”
Hansen tillade att företagen var intresserade av feedback från säkerhetsgemenskapen och andra som kan vilja bidra.
Salesforce sa att outsourcing till tredjepartsleverantörer är ett tveeggat svärd. Det sparar men skapar också nya attackvektorer genom att ge extern åtkomst till kritiska system och kunddata, sa en Salesforce-tjänsteman. En nyligen genomförd studie visade att 59 % av företagen har upplevt ett dataintrång orsakat av en av deras leverantörer.
MSVP-checklistan innehåller frågor om huruvida en leverantör utför årliga omfattande penetrationstester på system samt om en leverantör följer lokala lagar och förordningar som GDPR.
Frågor omfattar även om leverantörer har implementerat enkel inloggning med moderna protokoll och industristandarder eller använder säkerhetskorrigeringar på en frekvent basis.
Upprätthåller en leverantör en lista över känsliga datatyper som programmet förväntas bearbeta? Håller de ett uppdaterat dataflödesdiagram som anger hur känslig data når dina system och var den hamnar lagrad? Dessa är alla frågor som ställs av MSVP-checklistan.
Checklistan innehåller också frågor om den fysiska säkerheten för anläggningar och om leverantörer har lager omkretskontroller eller in- och utgångsloggar.
“Med MVSP kan branschen öka tydligheten under varje fas så att parter på båda sidor av ekvationen kan uppnå sina mål och minska introduktions- och försäljningscykeln med veckor eller till och med månader,” sa Salesforce.
p>
Säkerhet
Hackare fick på något sätt sitt rootkit en Microsoft-utfärdad digital signatur Detta monster av en nätfiskekampanj är ute efter dina lösenord SolarWinds hackare Nobelium ska slå globala IT-försörjningskedjor igen, varnar Microsoft Hackers döljer sin skadliga JavaScript-kod med ett svårtillgängligt trick Microsoft Teams: Dina videosamtal har precis fått en stor säkerhetshöjning Cybersäkerhet 101: Skydda din integritet från hackare, spioner, regeringen Salesforce.com | Moln | Rörlighet | Företagsprogramvara | Artificiell intelligens | Hårdvara