Google og Salesforce har annonceret oprettelsen af en leverandørneutral sikkerhedsbaseline kaldet Minimum Viable Security Product (MVSP), som de sagde var et forsøg på at “hæve niveauet for sikkerhed og samtidig forenkle vurderingsproces.”
MVSP blev også udviklet og understøttet af Okta, Slack og mere. Googles vicepræsident for sikkerhed Royal Hansen sagde, at det var “designet til at eliminere overhead, kompleksitet og forvirring under indkøb, RFP og leverandørsikkerhedsvurderingsprocessen ved at etablere minimum acceptable sikkerhedsbaselines.”
“Med MVSP kan industrien øge klarheden i hver fase, så parter på begge sider af ligningen kan nå deres mål og reducere onboarding- og salgscyklussen med uger eller endda måneder,” sagde Hansen.
“MVSP er en samarbejdsbaseret baseline fokuseret på at udvikle et sæt minimumssikkerhedskrav for business-to-business software og business process outsourcing leverandører. Designet med enkelhed i tankerne, det indeholder kun de kontroller, der som minimum skal implementeres for at sikre en rimelig sikkerhedsposition. MVSP præsenteres i form af en minimumsbasis-tjekliste, der kan bruges til at verificere en løsnings sikkerhedsposition.”
Virksomheder har længe været nødt til at skabe deres egne sikkerhedsbaselines for deres leverandører, hvilket komplicerer processen, er vanskeligt at samle for organisationer og skaber en byzantinsk labyrint af baselines for overholdende leverandører.
Hansen forklarede, at MVSP vil skabe en branchedækkende baseline understøttet af praktikere, der klart kommunikerer et sæt minimumskrav.
Kravene kan også hjælpe organisationer med at forstå hullerne i deres egen proces og identificere områder, hvor de skal være hårdere over for leverandører.
“MVSP leverer et enkelt sæt sikkerhedsrelevante spørgsmål, der er offentligt tilgængelige og brancheunderstøttede. At justere på et enkelt sæt basislinjer giver klarere forståelse fra leverandører, hvilket resulterer i et hurtigere og mere præcist svar,” sagde Hansen.
“MVSP sikrer, at forventninger til minimumssikkerhedskontroller forstås på forhånd, hvilket reducerer diskussioner af kontroller på kontraktforhandlingsstadiet. Henvisning til en ekstern baseline hjælper med at forenkle kontraktsproget og øger kendskabet til kravene.”
Hansen tilføjede, at virksomhederne var interesserede i feedback fra sikkerhedsmiljøet og andre, der måtte have lyst til at bidrage.
Salesforce sagde, at outsourcing af operationer til tredjepartsleverandører er et tveægget sværd. Det gemmer, men skaber også nye angrebsvektorer ved at give ekstern adgang til kritiske systemer og kundedata, sagde en Salesforce-embedsmand. En nylig undersøgelse viste, at 59 % af virksomhederne har oplevet et databrud forårsaget af en af deres leverandører.
MSVP-tjeklisten indeholder spørgsmål om, hvorvidt en leverandør udfører årlige omfattende penetrationstest på systemer, samt om en leverandør overholder lokale love og regler som GDPR.
Spørgsmål dækker også, om leverandører har implementeret single sign-on ved hjælp af moderne og industristandardprotokoller eller anvender sikkerhedsrettelser på en hyppig basis.
Vedligeholder en leverandør en liste over følsomme datatyper, som applikationen forventes at behandle? Holder de et opdateret dataflowdiagram, der angiver, hvordan følsomme data når dine systemer, og hvor de ender med at blive gemt? Disse er alle spørgsmål stillet af MSVP-tjeklisten.
Tjeklisten indeholder også spørgsmål om den fysiske sikkerhed af faciliteter, og om leverandører har lagdelte perimeterkontrol eller ind- og udgangslogfiler.
“Med MVSP kan industrien øge klarheden i hver fase, så parter på begge sider af ligningen kan nå deres mål og reducere onboarding- og salgscyklussen med uger eller endda måneder,” sagde Salesforce.
p>
Sikkerhed
Hackere fik på en eller anden måde deres rootkit en Microsoft-udstedt digital signatur Dette monster af en phishing-kampagne er ude efter dine adgangskoder SolarWinds hackere Nobelium til at slå globale it-forsyningskæder igen, advarer Microsoft hackere skjuler deres ondsindede JavaScript-kode med et svært at slå trick Microsoft Teams: Dine videoopkald har lige fået et stort sikkerhedsløft Cybersecurity 101: Beskyt dit privatliv mod hackere, spioner, regeringen Salesforce.com | Sky | Mobilitet | Enterprise Software | Kunstig intelligens | Hardware