Récapitulatif des heures de bureau de Secureframe : Certifications de sécurité essentielles pour les startups, définition de la portée de l'audit et réponses à vos questions sur la conformité
Vous ne savez pas quels cadres de sécurité et de confidentialité votre organisation doit respecter pour votre secteur et vos clients ? Vous vous demandez comment définir la portée de votre audit ? Vous cherchez des meilleures pratiques pour mettre en œuvre de nouvelles politiques ou processus de sécurité ? Notre série Secureframe Office Hours | Ask an Expert est conçue pour vous — plus précisément, pour que vous obteniez des idées, des meilleures pratiques et des réponses à vos questions.
Notre série Secureframe Office Hours | Ask an Expert est un forum ouvert où les participants peuvent poser leurs questions sur la sécurité, la confidentialité et la conformité à l'un de nos experts internes en conformité et anciens auditeurs, et entendre ce que pensent et demandent d'autres organisations soucieuses de la sécurité.
La deuxième session, tenue le jeudi 3 novembre, a présenté Jonathan Leach, CISSP, CCSFP, CCSK. Jonathan est un ancien auditeur et consultant en sécurité de l'information avec plus d'une décennie d'expérience à aider les entreprises à mettre en œuvre et à améliorer leur posture de sécurité. Jonathan aide maintenant les clients de Secureframe à se conformer à des cadres incluant SOC 2, ISO 27001, RGPD (GDPR) et HIPAA.
Pendant les 30 minutes de questions-réponses en direct, Jonathan a répondu à des questions sur des sujets allant de la surveillance continue à la mise en place d'un nouveau programme de conformité. Si vous l'avez manqué, nous récapitulons certaines de ses réponses ci-dessous.
1. Quelles normes de sécurité recommandez-vous pour les entreprises SaaS ?
Jonathan : Ma première recommandation est ISO 27001. L'ISO 27001 est une norme reconnue mondialement, et elle ne met pas seulement en place les politiques et procédures de sécurité fondamentales, mais un véritable système de gestion de la sécurité de l'information qui est continuellement amélioré.
C'est l'un des meilleurs cadres fondamentaux que vous pouvez mettre en œuvre. Ensuite, vous pouvez plonger profondément dans certaines des normes plus spécifiques de la série ISO 27000 et obtenir des certifications supplémentaires pour montrer à vos clients que vous faites des efforts supplémentaires pour sécuriser leurs informations.
Si vous êtes basé aux États-Unis, le SOC 2 est également une norme très reconnue et il a beaucoup de chevauchement avec l'ISO 27001. Les deux cadres vous donneront un ensemble solide de principes de sécurité fondamentaux pour protéger votre entreprise et vos clients.
Le guide ultime de l'ISO 27001
Si vous cherchez à construire un SGSI conforme et à obtenir la certification, ce guide contient tous les détails dont vous avez besoin pour commencer.
2. Comment les petites organisations (moins de 5 employés) peuvent-elles satisfaire aux exigences de ségrégation des tâches et de contrôle d'accès nécessaires pour obtenir la certification ?
Jonathan : Cette question revient assez fréquemment dans les entreprises avec de petites équipes de développeurs. Elles cherchent à boxer au-dessus de leur catégorie de poids et à obtenir des certifications qui sont généralement vues par de plus grandes entreprises avec une équipe de développement bien établie et des contrôles de sécurité déjà en place.
Il existe quelques solutions de contournement qui vous permettront de prendre des décisions éclairées sur les risques concernant le contrôle d'accès, la ségrégation des tâches, la double autorisation et la révision appropriée du code.
La première étape concerne la documentation, qui est un principe clé de la norme ISO 27001. En ce qui concerne le contrôle d'accès avec un nombre limité de personnes pouvant toutes avoir (et avoir besoin) d'accéder à des informations sensibles et à des outils de développement capables de déployer des mises à jour, la première étape consiste à standardiser les types de changements pour limiter la quantité de révisions et de tests approfondis pour les changements à faible risque. Vous pouvez identifier les types de changements à faible impact nécessitant une révision et une approbation minimales, tout en suivant autant de tests et d'inspections automatisés que nécessaire.
Le deuxième volet est l'autorisation à double pour les changements plus importants et plus impactants. Le demandeur du changement est différent de l'approbateur, ou dans ce cas, nécessite au moins la révision d'une autre ressource qualifiée avant approbation.
Secureframe peut vous aider à créer et à publier la documentation nécessaire, ainsi qu'à confirmer que toutes les modifications ou personnalisations nécessaires sont conformes aux exigences de l'ISO. Nous aimons nous considérer comme une extension de votre équipe, qu'elle soit grande ou petite, et nous sommes heureux de répondre à toutes vos questions concernant la documentation.
3. Comment puis-je remplir les questionnaires de sécurité plus rapidement ?
Jonathan : Cela me ramène à mes jours de vCISO où j'aidais les entreprises à répondre à toutes ces RFP et questionnaires. Cela peut devenir vraiment fastidieux de devoir répondre à tant de demandes différentes et de répondre à des dizaines de variations de la même question.
Nos équipes d'ingénierie et de produits ont créé un moteur d'intelligence artificielle incroyable avec les Questionnaires Secureframe. Avec quelques exemples de questionnaires préalablement répondus, l'IA peut créer une base et compléter les RFP et questionnaires non répondus avec un degré élevé (90%+) de précision. Vous pouvez entrer et confirmer ou éditer les réponses avant de partager le questionnaire complété avec votre client, ce qui aide l'IA à apprendre et à augmenter la précision des réponses futures.
Infos d'expert | Répondez rapidement aux questionnaires de sécurité et aux RFP avec l'IA
Découvrez comment l'intelligence artificielle (IA) rend rapide et facile la démonstration de la posture de sécurité, de confidentialité et de conformité de votre organisation.
5. Notre organisation doit être conforme au GDPR, mais il a été difficile de consacrer du temps au processus de conformité. Par où commencer ?
Jonathan : Le GDPR peut être intimidant, d'autant plus qu'il s'agit d'une loi. Secureframe vous facilite la tâche autant que possible avec nos propres experts en conformité interne et nos anciens auditeurs afin que vous sachiez sans l'ombre d'un doute que vous faites tout ce qu'il faut pour protéger les données des citoyens de l'UE.
Bien que la conformité au RGPD soit davantage basée sur les politiques, les documents et la satisfaction des exigences légales, nous aidons en fournissant les politiques et procédures dont vous aurez besoin pour démontrer la conformité si vous optez pour un audit (bien qu'il n'y ait pas d'audit ou de certification officielle requise pour le RGPD).
6. Que doivent faire les entités couvertes et les cabinets médicaux pour mettre en place un cryptage conforme à la HIPAA ?
Jonathan : Nous avons aidé de nombreuses organisations à mettre en œuvre efficacement les politiques et procédures requises pour être conformes à la HIPAA. Et pas seulement en cochant des cases pour le compte du HHS, mais au nom des patients et des personnes concernées dont vous êtes chargés de protéger les informations de santé protégées, que vous soyez une entité couverte ou un associé commercial. Le cryptage n'est qu'un élément de cela.
Des divulgations non autorisées se sont produites en raison des données non chiffrées au repos. Quelqu'un va laisser un ordinateur portable dans une voiture ou sans surveillance dans un bureau et quelqu'un le volera. Crypter cette information permet de s'assurer que, si quelqu'un obtient un accès physique non autorisé à un appareil, il ne pourra pas voir ou accéder aux données protégées.
7. Comment fonctionne la surveillance continue de Secureframe ?
Jonathan : La surveillance continue donne vraiment à nos clients la tranquillité d'esprit que notre plateforme recherchera les lacunes en matière de conformité, alertera les clients et leur montrera ce qu'ils doivent corriger et quand.
Cela fonctionne de plusieurs manières, principalement en désignant et en assignant des responsables de tests qui sont associés à tous les différents contrôles pour les différents cadres. Ainsi, une personne spécifique dans un département spécifique est responsable de tests spécifiques, qui sont liés à des contrôles spécifiques.
Vous pouvez définir les fréquences pour chaque test, donc si c'est une tâche récurrente comme les examens d'accès trimestriels ou les tests de broches annuels, le propriétaire du contrôle reçoit un rappel.
Secureframe élimine beaucoup de stress du processus. D'abord, savoir ce que vous devez faire pour devenir conforme, puis savoir avec certitude qui est responsable de quoi et quand, afin de rester conforme.
8. Du point de vue de la conformité PCI DSS, existe-t-il des critères qui disqualifient Microsoft Bitlocker en tant qu'outil de cryptage de disque efficace lorsqu'il n'y a pas d'annuaire actif disponible pour stocker la clé de récupération ?
Jonathan : Je ne suis pas au courant de quelconques exigences PCI DSS qui remettraient en cause l'efficacité de Bitlocker. Mais sans clé de récupération disponible dans un annuaire actif, et tant qu'il y a quelqu'un avec un accès autorisé qui peut récupérer cette clé en toute sécurité si nécessaire, cela ne devrait pas poser de problème.
Le seul problème que j'ai rencontré avec Bitlocker concerne la version Microsoft Home Windows. Cela nécessiterait des facteurs d'atténuation supplémentaires pour s'assurer que les données sensibles ne descendent jamais jusqu'au niveau des points de terminaison et qu'elles sont stockées en toute sécurité ailleurs où vous pouvez utiliser un chiffrement efficace.
9. Comment délimiter mon audit ?
Jonathan : Secureframe aide également avec cela. Délimiter un produit, un outil ou un système individuel contenant des informations sensibles peut devenir compliqué, car ils s'étendent souvent à des systèmes de support.
Je recommande toujours, dans la mesure du possible, d'inclure l'ensemble de l'organisation dans le cadre de l'audit. De cette façon, vous savez que vous êtes sécurisé de haut en bas. Chaque fois que vous lancez de nouveaux produits ou services, vous savez qu'ils vont également répondre aux mêmes exigences.
Il y a aussi l'élément humain. Si vous pouvez inclure tout le monde dans l'organisation, vous n'avez pas besoin de deviner qui doit être inclus dans le cadre des examens de politique et de la formation en sécurité.
Parfois, cette portée plus large est plus facile à dire qu'à faire d'un point de vue budgétaire. Nous discutons toujours de la portée de l'audit lors du processus d'intégration avec les multiples ressources dédiées que vous obtenez lorsque vous devenez client Secureframe.
Rejoignez notre prochain webinaire Secureframe Expert Insights.
Nous organisons régulièrement des webinaires Secureframe pour répondre aux principaux points de douleur en matière de sécurité, de confidentialité et de conformité que nous entendons de la part des prospects, des clients et de nos experts internes en conformité. Retrouvez les prochains webinaires ainsi que les enregistrements à la demande des anciens dans notre bibliothèque de ressources de conformité.
4. Comment savoir si mes politiques contiennent toutes les informations requises pour être conformes ? Les modèles de politiques de Secureframe incluent-ils tout ce qui est nécessaire ?
Jonathan : Toutes les politiques pré-vérifiées et approuvées que nous fournissons sont rédigées intentionnellement pour être aussi larges que nécessaire afin de couvrir les exigences tout en étant facilement personnalisables là où cela est nécessaire. Nous signalons les sections spécifiques qui nécessitent une révision ou une personnalisation supplémentaire avant la publication afin d'avoir le bon équilibre entre la préparation clé en main et l'applicabilité à votre environnement spécifique.