Salesforce og Google oppretter cybersikkerhetsbaseline for selskaper som sjekker leverandører

0
88

Jonathan Greig

Av Jonathan Greig | 27. oktober 2021 | Emne: Google

Google og Salesforce har kunngjort opprettelsen av en leverandørnøytral sikkerhetsgrunnlinje kalt Minimum Viable Security Product (MVSP), som de sa var et forsøk på å “heve standarden for sikkerhet og samtidig forenkle undersøkelsesprosess.”

MVSP ble også utviklet og støttet av Okta, Slack og flere. Googles visepresident for sikkerhet Royal Hansen sa at det var “utformet for å eliminere overhead, kompleksitet og forvirring under anskaffelses-, RFP- og sikkerhetsvurderingsprosessen for leverandører ved å etablere minimum akseptable sikkerhetsgrunnlag.”

“Med MVSP kan bransjen øke klarheten i hver fase, slik at parter på begge sider av ligningen kan nå sine mål, og redusere ombordstignings- og salgssyklusen med uker eller til og med måneder,” sa Hansen.

“MVSP er en samarbeidsbasert baseline fokusert på å utvikle et sett med minimumssikkerhetskrav for business-to-business programvare og leverandører av outsourcing av forretningsprosesser. Designet med enkelhet i tankene, inneholder den bare de kontrollene som som et minimum må implementeres for å sikre en rimelig sikkerhetsstilling. MVSP presenteres i form av en minimumsbasert sjekkliste som kan brukes til å verifisere sikkerhetsstillingen til en løsning.”

Bedrifter har lenge måttet lage sine egne sikkerhetsgrunnlag for sine leverandører, noe som kompliserer prosessen, er vanskelig å sette sammen for organisasjoner og skaper en bysantinsk labyrint av grunnlinjer for leverandører som overholder kravene.

Hansen forklarte at MVSP vil skape en bransjedekkende baseline støttet av utøvere som tydelig kommuniserer et sett med minimumskrav.

Kravene kan også hjelpe organisasjoner med å forstå hullene i sin egen prosess og identifisere områder hvor de må være tøffere mot leverandører.

“MVSP gir et enkelt sett med sikkerhetsrelevante spørsmål som er offentlig tilgjengelige og bransjestøttede. Justering etter ett enkelt sett med basislinjer gir klarere forståelse fra leverandører, noe som resulterer i en raskere og mer nøyaktig respons,” sa Hansen.

“MVSP sikrer at forventninger til minimumssikkerhetskontroller blir forstått på forhånd, noe som reduserer diskusjoner om kontroller på kontraktsforhandlingsstadiet. Å referere til en ekstern grunnlinje bidrar til å forenkle kontraktsspråket og øker fortroligheten med kravene.”

Hansen la til at selskapene var interessert i tilbakemeldinger fra sikkerhetsmiljøet og andre som måtte ønske å bidra.

Salesforce sa at outsourcing av operasjoner til tredjepartsleverandører er et tveegget sverd. Det sparer, men skaper også nye angrepsvektorer ved å gi ekstern tilgang til kritiske systemer og kundedata, sa en Salesforce-tjenestemann. En fersk studie viste at 59 % av selskapene har opplevd et datainnbrudd forårsaket av en av deres leverandører.

MSVP-sjekklisten inkluderer spørsmål om hvorvidt en leverandør utfører årlige omfattende penetrasjonstesting på systemer, samt om en leverandør overholder lokale lover og forskrifter som GDPR.

Spørsmål dekker også om leverandører har implementert enkeltpålogging ved bruk av moderne og industristandardprotokoller eller bruker sikkerhetsoppdateringer på en hyppig basis.

Holder en leverandør en liste over sensitive datatyper som programmet forventes å behandle? Holder de et oppdatert dataflytdiagram som indikerer hvordan sensitive data når systemene dine og hvor de ender opp med å bli lagret? Dette er alle spørsmål som stilles av MSVP-sjekklisten.

Sjekklisten inneholder også spørsmål om den fysiske sikkerheten til anlegg og om leverandører har lagdelte perimeterkontroller eller inn- og utgangslogger.

“Med MVSP kan bransjen øke klarheten i hver fase, slik at parter på begge sider av ligningen kan nå sine mål og redusere ombordstignings- og salgssyklusen med uker eller til og med måneder,” sa Salesforce.

p>

Sikkerhet

Hackere fikk på en eller annen måte rootsettet sitt en Microsoft-utstedt digital signatur Dette monsteret av en phishing-kampanje er ute etter passordene dine SolarWinds-hackere Nobelium skal slå globale IT-forsyningskjeder igjen, advarer Microsoft Hackere skjuler sin ondsinnede JavaScript-kode med et vanskelig triks Microsoft Teams: Videosamtalene dine har nettopp fått et stort sikkerhetsløft Cybersecurity 101: Beskytt personvernet ditt mot hackere, spioner, myndighetene Salesforce.com | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Maskinvare