Domanda:
In quali domande consisterebbe il test di Joel per i professionisti Infosec?
sdanelson
2010-12-04 08:51:39 UTC
view on stackexchange narkive permalink

Vedi Server Fault e il test originale. In altre parole, quali sono alcune buone domande che un professionista della sicurezza delle informazioni dovrebbe porre a un potenziale datore di lavoro? Queste domande potrebbero anche prestarsi ad aiutare a migliorare un ambiente di lavoro esistente e consentire a un datore di lavoro di attrarre i migliori e più brillanti nel campo della sicurezza delle informazioni.

wow, GRANDE domanda! Anche se penso che molti non abbiano familiarità con questo, e dovrebbero chiarire per loro: il punto di questo, è che le domande devono fornire una risposta immediata SÌ / NO - nessun risultato complicato, niente scavare per calcolare, solo una risposta diretta che tutti dovrebbe sapere.
Non credo che ci siano molte domande sì / no che puoi porre sulla sicurezza. Le domande sul "come" sarebbero probabilmente una misura molto migliore della valutazione delle proprie abilità. Ma sono curioso di vedere cosa verranno in mente le persone oltre a "hai la registrazione" e "fai rotolare la tua crittografia".
@Marcin solo per chiarire che questo non è un test di valutazione delle competenze, è più un test di maturità. Come in un'azienda matura nella sua pratica di sicurezza informatica.
Cinque risposte:
Rory Alsop
2010-12-05 06:49:21 UTC
view on stackexchange narkive permalink

Uno che sembra avere un impatto significativo sui team di sicurezza sarebbe:

  • Hai un CISO o equivalenti che sponsorizzano la sicurezza a livello di consiglio di amministrazione e lo sviluppo di capacità e competenze in materia di sicurezza

Senza di essa, i team si disilludono molto rapidamente della loro mancanza di influenza e si trasferiranno in organizzazioni con una visione più matura della sicurezza.

Inoltre, al fine di attrarre persone che stanno cercando di assicurarsi la loro carriera a lungo termine

+1, ma il CISO dovrebbe essere abbastanza tecnico da comprendere le minacce e abbastanza esperto di affari da tradursi in rischio. Hmm, immagino che sia un altro test ...
AviD
2010-12-05 14:59:10 UTC
view on stackexchange narkive permalink
  • Disponi di un team separato per la sicurezza delle applicazioni? (al contrario del solo sec di rete che gestisce lo spettacolo)
  • Il CISO / capo della sicurezza / come lo chiami tu - sia abbastanza tecnico da comprendere le minacce, sia abbastanza esperto di affari da tradursi in rischio
  • Esiste un SDL olistico, con acquisti di dirigenti, dirigenti e sviluppatori?
  • Tutti i dipendenti devono avere una formazione sulla sicurezza pertinente, pertinente alla loro area di lavoro?
  • Qualche prodotto / sistema / applicazione / ecc. deve ottenere l'approvazione della sicurezza prima della distribuzione e la sicurezza può interromperlo?
  • Se / quando la sicurezza interrompe il funzionamento di un sistema a causa di gravi vulnerabilità , vengono ringraziati o maledetti dall'azienda?
  • I direttori del consiglio di amministrazione sono vincolati dalla politica di sicurezza aziendale? :)
  • Il dipartimento di sicurezza è visto come un ostacolo tecnico o come un aiuto esecutivo per la gestione del rischio aziendale?
VirtuosiMedia
2010-12-04 09:19:44 UTC
view on stackexchange narkive permalink
  • Esegui backup regolari per più di una posizione fisica?
  • Provi regolarmente il ripristino dal backup?
  • Hai una strategia di gestione del rischio per i problemi di sicurezza?
  • Istruisci regolarmente i tuoi dipendenti sui problemi di sicurezza che li riguardano?
  • Disponi di un budget per la sicurezza?
  • Esistono controlli, sia tecnici che gestionali, per la sensibilità dati?
  • Rimani aggiornato sulle questioni di sicurezza?
  • Memorizzate le password in testo normale?
  • Quale software utilizzate per proteggere computer, server e dati?
  • Aggiornate regolarmente software critico alle versioni più recenti?
  • Le modifiche alla password per tutti i dipendenti sono obbligatorie?
Non credo che le domande sul "come" si adattino allo spirito del test di Joel.
C'erano solo due domande di follow-up, ma le ho rimosse.
sdanelson
2010-12-04 22:00:49 UTC
view on stackexchange narkive permalink

Alcuni da aggiungere:

  • Utilizzi strumenti di analisi e gestione dei log automatizzati?
  • Segmenti la tua rete?
  • Il personale di sicurezza effettua la manutenzione dei sistemi di produzione? (Esiste una separazione dei compiti)
  • Gli utenti normali hanno diritti di amministratore?
In particolare come l'ultima domanda.
Wayne
2010-12-04 09:37:03 UTC
view on stackexchange narkive permalink

Oltre a quelli di VirtuosiMedia:

  • Di cosa è responsabile il team di sicurezza e quante persone ci sono?
  • Quando sono stati aggiornati i criteri di sicurezza l'ultima volta?
  • A chi riferisce il team di sicurezza?
  • Qual è l'applicazione più vecchia in esecuzione nel tuo ambiente?
  • Il team di sicurezza fa parte del programma di conformità? In caso affermativo, quali tipi di audit vengono eseguiti ogni anno?
mentre questi sono ovviamente dettagli importanti da sapere, il punto del test di Joel è risposte immediate e semplici SI / NO.


Questa domanda e risposta è stata tradotta automaticamente dalla lingua inglese. Il contenuto originale è disponibile su stackexchange, che ringraziamo per la licenza cc by-sa 2.0 con cui è distribuito.
Loading...