8 perguntas a fazer o auditor de segurança

Aqui no Redspin, Inc. ficamos pediu a todos os tipos de perguntas, a maioria dos quais pode ser respondida com “No final do corredor, pegue uma porta, segunda à esquerda, à direita.” Depois disso, aqui estão as oito questões mais importantes que pensamos você deve estar se perguntando o auditor independente de segurança.

1. Você é um auditor de segurança independente?

Esta é a pergunta mais importante que você pode fazer ao seu auditor de segurança. Eles são um auditor, pura independente, ou são uma empresa com outra coisa para vender que também acontece para fazer auditorias? Você não quer uma empresa que vende soluções para fazer sua auditoria de segurança, porque as chances de que eles encontram um problema que correções sua solução só fui subindo.

2. Você fazer uma análise real, e fornecer relatórios úteis?

Cuidado com o auditor de segurança que lhe dá um relatório de 100 páginas. Quantidade de modo algum significa qualidade de uma auditoria de segurança. O que você quer de um auditor de segurança é um relatório completo que se concentra em questões que são relevantes para você. Qualquer auditoria de segurança pode encontrar 100 problemas triviais. Você quer uma auditoria que lhe diz que cinco questões são importantes.

3. Você tem uma equipe de qualidade?

Caras empresa de consultoria em linha reta fora da faculdade são úteis para algumas coisas, mas a compreensão de redes de computadores complicados e as vulnerabilidades associadas a eles é melhor deixar para os engenheiros de segurança dedicados.

4. Ei, você não é os caras que nos vendem o nosso TI?

Não contratar os mesmos caras que configurar o sistema para auditar o sistema. Tão divertido quanto seria para eles ao grau do seu próprio trabalho, você provavelmente não vai obter os resultados mais honesto deles. Tenha especial cuidado se eles dizem que um “ramo separado” de sua empresa faz a auditoria de segurança, e ainda um outro “ramo separado” de sua empresa oferece soluções. Isto é o que nós gostamos de chamar de “tempestade perfeita de subjetividade”.

5. Faça reguladores como você?

Principalmente disso importa se a resposta é “não”. Caso contrário, é uma coisa boa, se a empresa está fazendo sua auditoria de segurança é reconhecida pelos órgãos reguladores como um que faz um excelente trabalho, porque eles são muito mais propensos a dar-lhe o bem rápida.

6. Quanto você custou, e por que é que mais / menos do que outras empresas?

Você pode pagar um pouco, e tem um cara executar uma ferramenta automatizada que olha tudo de forma indiscriminada e verifica fora de algumas caixas. Você pode pagar uma quantia enorme, e obter alguns rapazes em ternos de uma empresa de consultoria, onde isso não é realmente o seu foco – de novo, eles estão lá apenas para completar uma lista de verificação. O que você quer é um auditor de segurança independente que leva o negócio a sério, entende-lo completamente, e pode ajudá-lo a priorizar riscos de segurança e vulnerabilidades no contexto de seu negócio.

7. Por que eu preciso de uma auditoria de segurança?

A resposta é fácil, porque um regulador está fazendo você. A questão mais difícil de responder é: “Por que eu preciso de uma auditoria de segurança boa?” A resposta para isso depende do que a indústria que você está dentro É óbvio que indústrias como bancos, casinos e e-commerce são especialmente atraentes para o mal, e seria quer ter a certeza de que suas redes são completamente seguros. Se você estiver executando um negócio on-line leitura de mãos, talvez não seja uma preocupação tão grande.

8. Você já fez uma auditoria de segurança antes?

A experiência conta. Certifique-se de que o seu auditor de segurança fez uma série de auditorias, e verificar com algumas das empresas que fizeram auditorias para se certificar de que eles fazem um bom trabalho.