PATAKARAN SA SEGURIDAD

Epektibo: Enero 7, 2025

Sinusunod namin ang mga pinakamahusay na kasanayan sa industriya pagdating sa seguridad at pagsunod gamit ang mga balangkas at alituntunin tulad ng OWASP, NIST, CIS, at CSA, kasama ang pagtugon sa mga kinakailangan sa regulasyon sa mga hurisdiksyon ng aming mga Customer.

Ang Ating mga Alituntunin

  • Nagpapatupad kami ng maraming mga layer at mga uri ng mga kontrol tulad na kung ang isang kontrol ay nabigo, ang iba pang mga kontrol ay naglilimita sa epekto ng isang kompromiso sa seguridad ng impormasyon, na tinutukoy namin bilang prinsipyo ng 'pagtatanggol sa lalim'.

  • Tinitiyak namin na ang pag access sa at pagsasaayos ng mga asset ng impormasyon ay limitado sa minimum na kinakailangan upang makamit ang mga layunin ng negosyo. Ito ay tinutukoy bilang ang prinsipyo ng 'least privilege', na naglalayong bawasan ang bilang ng mga vectors ng pag atake na maaaring magamit upang ikompromiso ang aming seguridad sa impormasyon.

  • Tinitiyak namin ang napapanahong pagtuklas ng mga insidente ng seguridad ng impormasyon. Ito minimises ang epekto ng isang impormasyon seguridad kompromiso.

  • Tinitiyak namin ang seguridad ng impormasyon ay isinama sa disenyo ng aming mga asset ng sistema ng impormasyon, na tinutukoy namin bilang ligtas sa pamamagitan ng disenyo.

  • Tinitiyak namin na ang paggamit at pag access sa mga asset ng impormasyon ay maiugnay sa isang indibidwal, hardware, o software, na may aktibidad na naka log at sinusubaybayan.

  • Tinitiyak namin na ang paghawak ng error ay dinisenyo tulad na ang mga error ay hindi nagpapahintulot sa hindi awtorisadong pag access sa mga asset ng impormasyon o iba pang mga kompromiso sa seguridad ng impormasyon.

  • Ipinapalagay namin ang mga asset ng impormasyon ay may isang hindi kilalang at posibleng nabawasan na antas ng kontrol sa seguridad ng impormasyon, na tinutukoy namin bilang prinsipyo ng 'hindi kailanman magtiwala, palaging tukuyin'.

  • Ipinatutupad namin ang paghihiwalay ng mga tungkulin sa pamamagitan ng angkop na paglalaan ng mga tungkulin at responsibilidad, na binabawasan ang potensyal para sa mga pagkilos ng isang solong indibidwal na ikompromiso ang aming seguridad sa impormasyon.

  • Nagdidisenyo kami ng mga kontrol na nagpapatupad ng pagsunod sa aming balangkas ng patakaran sa seguridad ng impormasyon, sa gayon ay binabawasan ang pag asa sa mga indibidwal.

  • Nagdidisenyo kami ng mga kontrol sa pagtuklas at pagtugon batay sa pagpapalagay na nabigo ang mga preventive control. Ang prinsipyong ito ay karaniwang tinutukoy bilang 'ipinapalagay na paglabag'.

Kamalayan

  • Mayroon kaming isang programa ng kamalayan sa pagsasanay at seguridad ng impormasyon upang makipag usap sa mga miyembro ng koponan tungkol sa mga kasanayan sa seguridad ng impormasyon, mga patakaran at iba pang mga inaasahan.

  • Sinusubaybayan namin ang pagsasanay na isinagawa at sinusubukan ang pag unawa sa mga kaugnay na patakaran sa seguridad ng impormasyon sa pagsisimula at pana panahon.

  • Tinuturuan namin ang aming mga gumagamit tungkol sa isang) personal kumpara sa paggamit ng korporasyon ng mga asset ng impormasyon; b) paggamit ng email, paggamit ng internet (kabilang ang social networking) at proteksyon sa malware; c) pisikal na proteksyon, remote computing at paggamit ng mga mobile device; d) kamalayan sa mga karaniwang pamamaraan ng pag-atake na nakatuon sa mga tauhan at ari-arian (hal. social engineering, tailgating); e) access control, kabilang ang mga pamantayan na may kaugnayan sa mga password at iba pang mga kinakailangan sa pagpapatunay; f) mga responsibilidad na may paggalang sa anumang end-user na binuo/naka-configure na software (kabilang ang mga spreadsheet, database at automation ng opisina); g) mga inaasahan ng mga tauhan kung saan ang pagdadala ng iyong-sariling-aparato ay isang opsyon; h) paghawak ng sensitibong data; at i) pag uulat ng mga insidente at alalahanin sa seguridad ng impormasyon.

Pagkakakilanlan at Pag access

  • Nagpapatibay kami ng mga kontrol sa pagkakakilanlan at pamamahala ng access upang matiyak na ang pag access sa mga asset ng impormasyon ay ipinagkakaloob lamang kung saan umiiral ang isang wastong pangangailangan sa negosyo, at para lamang sa hangga't kinakailangan ang pag access.

  • Isinasaalang alang namin ang mga sumusunod na kadahilanan kapag pinapayagan ang pag access sa mga asset ng impormasyon: papel ng negosyo, pisikal na lokasyon, malayong pag access, oras at tagal ng pag access, patch at anti malware status, software, operating system, aparato, at paraan ng pagkakakonekta.

  • Ang pagbibigay ng access sa aming mga gumagamit ay nagsasangkot ng mga sumusunod na yugto ng proseso: a) pagkakakilanlan — pagtukoy kung sino o ano ang humihingi ng access; b) pagpapatunay — pagpapatibay sa umano'y pagkakakilanlan; at c) awtorisasyon — pagtatasa kung ang pag-access ay pinapayagan ng humihingi sa isang information asset batay sa mga pangangailangan ng negosyo at sa antas ng seguridad ng impormasyon (tiwala) na kinakailangan.

  • Naglagay kami ng mga proseso upang matiyak na ang mga pagkakakilanlan at kredensyal ay inisyu, pinamamahalaan, na verify, binawi at na audit para sa mga awtorisadong aparato, mga gumagamit at software / proseso.

  • Ang lakas ng pagkakakilanlan at pagpapatunay ay commensurate sa epekto ay dapat na isang pagkakakilanlan ay palsipikado. Ang mga karaniwang pamamaraan para sa pagtaas ng lakas ng pagkakakilanlan at pagpapatunay ay kinabibilangan ng paggamit ng malakas na mga pamamaraan ng password (ibig sabihin, haba, pagiging kumplikado, mga limitasyon sa muling paggamit at dalas ng pagbabago), paggamit ng mga pamamaraan ng cryptographic at pagtaas ng bilang at uri ng mga kadahilanan ng pagpapatunay na ginamit. Kabilang sa mga kadahilanan ng pagpapatunay ang isang bagay na alam ng isang tao: a) - halimbawa, mga ID at password ng gumagamit; b) ay may - halimbawa, isang token ng seguridad o iba pang mga aparato sa pag-aari ng tao na ginagamit para sa henerasyon ng mga one-time password; at c) ay - halimbawa, retinal scan, kamay scan, lagda scan, digital na lagda, voice scan o iba pang biometrics.

  • Ang mga sumusunod ay mga halimbawa kung saan karaniwang kinakailangan ang mas mataas na lakas ng pagpapatunay, na ibinigay ang epekto nito sakaling palsipikado ang isang pagkakakilanlan: a) administrasyon o iba pang pribilehiyong pag-access sa sensitibo o kritikal na impormasyon asset; b) remote access (ibig sabihin, sa pamamagitan ng mga pampublikong network) sa sensitibo o kritikal na impormasyon asset; at c) mga aktibidad na may mataas na panganib (hal. mga paglilipat ng pondo ng third party, paglikha ng mga bagong payee).

  • I-deploy namin ang sumusunod na mga kontrol sa pag-access: a) magsagawa ng mga proseso ng tamang pagsisikap bago bigyan ng access ang mga tauhan; b) pagpapatupad ng mga profile ng access na batay sa papel na kung saan ay dinisenyo upang matiyak ang epektibong paghihiwalay ng mga tungkulin; c) pagbabawal sa pagbabahagi ng mga account at password (maliban sa mga generic account, kung saan ang pagbabawal sa pagbabahagi ng mga account at password ay hindi maiiwasan dahil sa mga hadlang sa teknolohiya); d) pagbabago ng mga default na password at username; e) napapanahong pagtanggal ng access rights tuwing may pagbabago sa tungkulin o responsibilidad at sa pagtigil ng trabaho; f) mga timeout sa session; g) mga proseso upang ipaalam sa mga naaangkop na tauhan ng mga karagdagan ng gumagamit, mga pagtanggal at mga pagbabago sa papel; h) audit logging at pagsubaybay sa access sa mga asset ng impormasyon ng lahat ng mga gumagamit; i) regular na mga review ng user access sa pamamagitan ng mga may-ari ng impormasyon asset upang matiyak na angkop na access ay pinananatili; j) multi-factor authentication para sa pribilehiyong pag-access, remote access at iba pang mga aktibidad na may mataas na panganib; k) henerasyon, sa kagustuhan sa imbakan, ng mga password/Personal Identification Numbers (PINs) kung saan ginagamit upang pahintulutan ang mga aktibidad na may mataas na panganib; at l) dalawang tao na panuntunan na inilapat sa mga asset ng impormasyon na may pinakamataas na antas ng sensitivity rating (hal. encryption key, PIN generation, financial database).

  • Para sa mga layunin ng pananagutan, tinitiyak namin na ang mga gumagamit at mga asset ng impormasyon ay natatangi na natukoy, at ang kanilang mga pagkilos ay naka log sa isang sapat na antas ng granularity upang suportahan ang mga proseso ng pagsubaybay sa seguridad ng impormasyon.

Seguridad ng software

  • Kasama namin ang mga pagsasaalang alang sa seguridad ng impormasyon sa buong lifecycle ng paghahatid ng software, kabilang ang kung saan ginagamit ang mga pamamaraan ng agile. Ang karaniwang mga aktibidad sa paghahatid ng software lifecycle ay bumubuo ng mga kinakailangan sa pagtiyak, pagpili at pagsasaayos (para sa software na ibinigay ng vendor, kabilang ang Software bilang isang Serbisyo), disenyo at programming (para sa in house na binuo ng software), pagsubok, at pagpapatupad.

  • Ang patuloy na seguridad ng umiiral na software ay itinuturing bilang bahagi ng pamamahala ng pagbabago at bilang mga bagong kahinaan ay natukoy. Kabilang sa mga karaniwang salik na itinuturing natin ang: a) mga kinakailangan — ang mga kinakailangan sa seguridad ng impormasyon ay malinaw na natukoy bilang bahagi ng mga kinakailangan kahulugan ng software at tugunan ang mga potensyal na banta; b) disenyo — ang mga dapat isaalang-alang kapag nagdidisenyo ng ligtas na software ay kinabibilangan ng modularisation ng software; kung saan sa network matatagpuan ang software; anong pribilehiyo ang ipinatutupad ng software sa ilalim nito; pagsasama ng mga tampok ng seguridad ng impormasyon bilang bahagi ng mga teknikal na pagtutukoy; at ang mga pamantayan sa seguridad ng impormasyon at mga alituntunin na isinulat ng mga detalye ng software; c) pagpili at pagsasaayos — ang mga dapat isaalang-alang kapag pumipili at nagko-configure ng vendor na ibinigay na software ay kinabibilangan ng nararapat na pagsisikap sa security testing na isinasagawa upang matukoy ang mga kahinaan (sinadya man o sinasadya); Mga kakayahan sa pamamahala ng access ng gumagamit (hal. Role based, suporta sa segregation of duties); kahinaan ng interface; mga kakayahan sa pagsubaybay; mga kakayahan sa pag-encrypt upang maprotektahan ang sensitibong data; kakayahang makakuha at magpatupad ng mga update sa seguridad ng impormasyon sa napapanahong paraan; pagsunod sa balangkas ng patakaran sa seguridad; at configuration / pagpapatupad ng software na kung saan minimises ang panganib ng isang seguridad kompromiso; d) Ang mga pamantayan at patnubay — ang katawan ng kaalaman para sa pagbuo ng ligtas na software ay nakapaloob sa isang hanay ng mga pamantayan at alituntunin. Ang mga pamantayan ay umiiral para sa bawat wika ng programming, isinasaalang alang ang mga kilalang kahinaan at kung ano ang itinuturing na mabuting kasanayan.

  • Pinapanatili namin ang isang rehistro ng mga naaprubahan na tool sa pag unlad ng software at kaugnay na paggamit. Ipinatutupad namin ang pagsunod sa rehistro para sa mga layunin ng kontrol sa kalidad, pag iwas sa mga kompromiso ng kapaligiran ng produksyon at pagbabawas ng panganib ng pagpapakilala ng mga hindi inaasahang kahinaan. Hindi ito hadlang sa paggamit ng iba pang mga tool sa isang kapaligiran na hindi produksyon para sa mga layunin ng pagsusuri at eksperimento.

  • Nagpapatupad kami ng mga tungkulin, responsibilidad at tool para sa pamamahala ng pagpaparehistro at pag deploy ng source code upang matiyak na ang mga kinakailangan sa seguridad ng impormasyon ay hindi nakompromiso.

Mga pamamaraan ng cryptographic

  • Ang mga pamamaraan ng cryptographic ay tumutukoy sa mga pamamaraan na ginagamit upang i encrypt ang data, kumpirmahin ang pagiging tunay nito o i verify ang integridad nito. Ang mga sumusunod ay mga halimbawa kung saan nag deploy kami ng mga pamamaraan ng cryptographic na ibinigay ang mga panganib na kasangkot: a) paghahatid at pag iimbak ng kritikal at / o sensitibong data sa isang 'hindi pinagkakatiwalaang' kapaligiran o kung saan kinakailangan ang mas mataas na antas ng seguridad; b) pagtuklas ng anumang hindi awtorisadong pagbabago ng data; c) pagpapatunay ng pagiging tunay ng mga transaksyon o data; at d) proteksyon ng mga PIN ng partner at end user na karaniwang ginagamit para sa financial transaction authorisation.

  • Pinipili namin ang mga pamamaraan ng cryptographic batay sa likas na katangian ng aktibidad at pagiging sensitibo at kritikal ng data. Ang mga pamamaraan na ito ay karaniwang sinusuri nang regular upang matiyak na nananatili silang commensurate na may mga kahinaan at banta.

  • Pinipili namin ang mga algorithm ng pag encrypt mula sa isang populasyon ng mahusay na itinatag at napatunayan na mga internasyonal na pamantayan na sumailalim sa mahigpit na pagsisiyasat ng publiko at pag verify ng pagiging epektibo. Ang haba ng isang cryptographic key ay karaniwang pipiliin upang mag render ng isang brutal na puwersa atake hindi praktikal (ibig sabihin, ito ay mangangailangan ng isang lubhang mahabang panahon upang paglabag gamit ang kasalukuyang mga kakayahan sa computing).

  • Ang pamamahala ng cryptographic key ay tumutukoy sa henerasyon, pamamahagi, imbakan, pag renew, pagbawi, pagbawi, pag archive at pagkawasak ng mga key ng pag encrypt. Tinitiyak ng epektibong pamamahala ng cryptographic key na ang mga kontrol ay nasa lugar upang mabawasan ang panganib ng pagkompromiso sa seguridad ng mga cryptographic key. Ang anumang pagkompromiso ng seguridad ng mga cryptographic key ay maaaring, sa turn, humantong sa isang kompromiso ng seguridad ng mga asset ng impormasyon na protektado ng deployed cryptographic technique.

  • Nag deploy kami, kung saan may kaugnayan, ang mga kontrol upang limitahan ang pag access sa mga cryptographic key, kabilang ang isang) ang paggamit ng pisikal at lohikal na protektadong mga aparato at kapaligiran upang mag imbak at makabuo ng mga cryptographic key, bumuo ng mga PIN at magsagawa ng pag encrypt at decryption. Ito ay nagsasangkot ng paggamit ng Hardware Security Modules (HSMs) o katulad na secured device; b) ang paggamit ng mga pamamaraan ng cryptographic upang mapanatili ang cryptographic key confidentiality; c) paghihiwalay ng mga tungkulin, na walang iisang indibidwal na may kaalaman sa buong cryptographic key (ibig sabihin, dalawang tao na kontrol) o may access sa lahat ng mga bahagi na bumubuo sa mga susi na ito; d) paunang natukoy na mga petsa ng pag activate at pag deactivate para sa mga cryptographic key, na nililimitahan ang tagal ng panahon na nananatili silang may bisa para magamit. Ang tagal ng panahon na nananatiling balido ang isang cryptographic key ay naaayon sa panganib; e) malinaw na tinukoy cryptographic key pagpapawalang bisa proseso; at f) ang pag deploy ng mga diskarte sa pagtuklas upang matukoy ang anumang mga pagkakataon ng cryptographic key substitution.

Seguridad ng kasosyo

  • Bilang isang negosyo ng platform, ang aming teknolohiya ay maaaring magpakilala ng karagdagang mga kahinaan sa seguridad ng impormasyon na, kung pinagsamantalahan, ay maaaring magresulta sa mga potensyal na insidente ng seguridad ng impormasyon na nakakaapekto sa aming mga kasosyo at sa kanilang mga benepisyaryo ng customer. Ipinatutupad namin ang mga preventative, tiktik at mga kontrol sa pagtugon na commensurate sa mga panganib na ito. Ang mga karaniwang kontrol ay kinabibilangan ng: a) mga kontrol sa pagpapatunay na naaayon sa kahinaan at mga banta na nauugnay sa mga produkto at serbisyong inaalok, na kinabibilangan ng paggamit ng pangalawang channel notification / kumpirmasyon ng mga kaganapan; b) mga limitasyon upang matiyak na ang mga pagkalugi ay nasa loob ng mga tolerance ng panganib (hal. mga limitasyon sa paglilipat, mga limitasyon sa transaksyon araw-araw); c) pagsubaybay sa aktibidad ng transaksyon upang matukoy ang mga di-pangkaraniwang pattern ng pag-uugali at pagrerepaso sa mga trend ng kaganapan sa pagkawala na maaaring mag-trigger ng pangangailangan para sa karagdagang mga kontrol (hal. pagsusuri ng end-user education at security advice para matiyak na nananatili itong sapat at nakahanay sa karaniwang kasanayan sa industriya; d) dokumentado at ipinarating ang mga pamamaraan para sa pagsubaybay at pamamahala ng insidente ng pandaraya, pagtagas ng data at pagnanakaw ng pagkakakilanlan; at e) minimising ang koleksyon ng sensitibong impormasyon ng customer na lampas sa kung ano ang may kaugnayan sa mga aktibidad sa negosyo na isinasagawa. Kabilang dito ang impormasyon ng customer na ginagamit para sa mga layunin ng pagpapatunay, tulad ng mga password / PINS.

Pagsubok

  • Upang limitahan ang pag access sa kung ano ang pinahintulutan batay sa papel na ginagampanan ng trabaho at ang prinsipyo ng hindi bababa sa pribilehiyo, pinagtibay namin ang Identity and access Management (IAM), pagkakakilanlan at pagpapatunay ng gumagamit, pisikal na seguridad, kamalayan ng empleyado, at pagsasanay. Kami (halimbawa) ay nagdedeploy ng mga pagsubok sa social engineering sa bagay na ito.

  • Nagpapatupad kami ng isang patakaran sa password at mga kontrol sa pagpapatunay ng system upang mapatunayan ang mga gumagamit na may lakas na commensurate sa sensitivity ng asset ng impormasyon na na access. Upang subukan ang layuning ito, nagsasagawa kami ng mga audit sa pag access ng gumagamit.

  • Upang maprotektahan ang mga network mula sa hindi awtorisadong trapiko, gumagamit kami ng mga firewall, router, at network segmentation at subukan ang mga ito sa pamamagitan ng mga pagsusulit sa pagtagos.

  • Upang maprotektahan ang mga system mula sa mga nakakahamak na pag atake, nag deploy kami ng anti malware, web at email filtering, mga sample ng pagsubok ng malware, at pagsubok sa pagsasaayos upang subukan ang layuning ito.

  • Upang maprotektahan ang sistema sa sistema ng komunikasyon, kabilang ang palitan ng data, mula sa hindi awtorisadong pag access at paggamit, gumagamit kami ng pag encrypt at pamamahala ng susi, na suportado ng isang pangunahing pagsusuri sa pamamahala

  • Upang matukoy ang hindi awtorisadong pag access at paggamit sa napapanahong paraan, gumagamit kami ng Mga Log, Impormasyon sa Seguridad at Pamamahala ng Kaganapan (SIEM), mga solusyon sa pagtuklas ng pagbabago ng integridad, pagsusuri ng kaganapan at mga pamamaraan sa escalation, at mga pagsubok sa pagtagos upang subukan ang aming layunin.

  • Upang ipatupad ang ligtas na software, pinagtibay namin ang ligtas na pag unlad ng software, pagkuha ng software at mga kasanayan sa pag deploy. Ang layuning ito ay nasubok sa pamamagitan ng mga pagsusuri sa disenyo, mga pagsusulit sa pagtagos, pagsusuri ng code at pag scan, pagsusuri ng trapiko sa network, pagsubok sa pagkakamali, at fuzzing.

  • Upang tumugon nang epektibo at mahusay sa mga insidente ng seguridad ng impormasyon, nagpapatibay kami ng mga playbook ng tugon sa insidente ng seguridad ng impormasyon, pamamahala ng krisis, at isang Business Continuity Plan (BCP). Sinusubukan namin ang layuning ito sa pamamagitan ng mga ehersisyo sa tabletop at mga pampublikong pribadong sitwasyon na pagsubok.

  • Upang magkaroon ng katatagan ng mga sistema upang mahawakan ang kabiguan ng mga indibidwal na bahagi, nagpapatibay kami ng mga aktibong aktibo, aktibong passive na solusyon na na deploy, sandboxed na mga solusyon, at zero trust architecture. Sinusubukan namin ang layuning ito sa pamamagitan ng chaos monkey testing, mga pagsusuri sa arkitektura, pagsusuri sa pagkakamali, at pagsubok sa failover.

  • Upang mabawi sa ilalim ng lahat ng mga kapani paniwala na sitwasyon, nagpapatibay kami ng mga plano sa pagbawi at mga kontrol upang maprotektahan ang mga backup mula sa kompromiso. Nagsasagawa din kami ng mga teknikal na pagsubok sa pagbawi at mga pagsubok sa pagtagos ng backup na kapaligiran.

  • Upang ang pagpapatupad ay kumokontrol sa minimise ang panganib ng mga bagong kahinaan mula sa pagbabago ng system, ang aming mga sistema ay ligtas sa pamamagitan ng disenyo. Pinagtibay namin ang ligtas na pag unlad ng software, pagsubok na hindi gumagana, kontrol sa pagbabago, at pagpapatigas ng system. Nagsasagawa kami ng mga review sa kontrol ng pagbabago, pag scan ng code, mga pagsusuri sa arkitektura, at fuzzing.

  • Upang suportahan ang napapanahong pagkilala at pag remediation ng mga bagong kahinaan, nag patch kami at gumagamit ng pamamahala ng pagsasaayos, suportado ng mga pag scan ng kahinaan, at pagsubok sa pagtagos.

  • Gumagamit kami ng katalinuhan ng banta, may diskarte sa seguridad ng impormasyon, at pana panahong nakikibahagi sa mga independiyenteng tagasuri upang suportahan ang napapanahong pagkakakilanlan at remediation ng mga bagong banta.

Pag-uulat

Pangkalahatan

  • Para mapaunlad ang ating kakayahan, nag-uulat kami tungkol sa Istratehiya sa seguridad ng Impormasyon, mahahalagang hakbangin at pag-unlad hanggang ngayon;  Pagsusuri ng kamalayan sa sitwasyon (kabilang ang katalinuhan ng banta);  Mga assessment ng kakayahan (self-assessed o sa pamamagitan ng benchmarking); at Natukoy na mga gaps kakayahan at katayuan ng mga aktibidad sa remediation

  • Para ipaalam ang mga insidente, kami ay: (a) Mga ulat pagkatapos ng insidente para sa mga materyal na insidente; (b) magsagawa ng pagsusuri sa trend ng insidente (panloob at panlabas); at (c) magsagawa ng mga resulta ng pagsubok sa pagtugon sa insidente (kabilang ang mga simulation).

  • Para maipaalam ang mga kontrol, iniuulat namin ang: (a) Kontrolin ang mga aktibidad sa pagsubok kabilang ang iskedyul, saklaw, resulta at uso; (b) Mga aktibidad sa audit sa loob kabilang ang iskedyul, saklaw, resulta at uso); (c) Pag-unlad sa mga aktibidad sa panganib at remediation; (d) Mga resulta ng kahinaan at mga pagtatasa ng pagbabanta; (e) Mga pagtatasa ng third party at kaugnay na partido; at (f) Patakaran sa seguridad ng impormasyon balangkas ng pagsunod sa pag uulat.

  • Upang makihalubilo sa edukasyon ng aming mga koponan, iniulat namin ang (a) Materyal na pang impormasyon at kamalayan at (b) Mga resulta ng pagsasanay at mga sesyon ng kamalayan.

Bago ang kompromiso

  • Para maipaalam ang mga pangyayari, nag-uulat kami tungkol sa (a) Panlabas na pag-scan ng mga na-block na koneksyon; (b) Mga bagong kahinaan ayon sa OWASP type - count; (c) Tumigil ang malware - bilangin; (d) Kilala ang mga site ng phishing - count; (e) Phishing site takedown - count, at oras bukas; (f) Natatanging malware na nagta target sa bank - count; (g) Mga kahinaan sa bawat linya ng code - count; (h) Mga application na papasok sa produksyon na may mga kahinaan sa code - bilang; at (i) Mga kaganapan sa seguridad na natukoy -count.

  • Upang maipaalam ang aming mga kasanayan, iniuulat namin ang tungkol sa (a) Pagsubok sa pagtagos ayon sa uri, bilang at paghahanap ng rating, (b) Mga Sistemang protektado ng pagkakakilanlan at mga sistema ng pamamahala ng access - bilangin); (c) Mga sistemang nabuo sa loob na hindi ma-update ayon sa uri, at mabibilang); (d) Mga sistemang may mga bahagi ng suporta sa labas ng vendor ayon sa uri, bilang, at saklaw %); (e) Mga sistemang walang mga solusyon sa malware -bilang; (f) Mga aparatong hindi awtorisado ayon sa uri, at bilang); (g) Pagsunod sa seguridad ng impormasyon - saklaw %; (h) Mga pagsasanay sa kamalayan - saklaw %, at bilang); (i) Mga kawani na tumutugon sa mga pagsusuri sa phishing - % ng kabuuang mga kawani; (j) Pagsusuri sa access ng gumagamit ayon sa tungkulin, pribilehiyo, pag-edad, at saklaw %); (k) Mga pagtatasa sa seguridad ng mga provider na higit sa labindalawang buwan - % saklaw ng mga kaugnay na third party; (l) Pag-iipon sa pamamagitan ng pagiging kritikal, at mga araw; at (m) Assurance report tungkol sa seguridad ng impormasyon - mga natuklasan sa pamamagitan ng rating, at pagtanda sa remediation.

Sa kompromiso

  • Para maipaalam ang ating mga pangyayari, nag-uulat tayo tungkol sa (a) Natukoy na mga malisyosong pagtatapos ng software; (b) Natukoy ang malisyosong software sa mga server - bilang; (c) Mga online directory na naglalaman ng info ng staff/customer - count; at (d) Uri ng insidente sa paglipas ng panahon - ayon sa uri, at bilang.

  • Upang maipaalam ang aming mga gawi, iniuulat namin ang (a) Mga plano sa pagtugon at pagbawi na binuo ayon sa uri, bilang, at % na saklaw; at (b) Mga ensayo ng insidente ayon sa uri, bilang, at % saklaw).

Mag post ng kompromiso

  • Para maipaalam ang mga kaganapan pagkatapos ng kompromiso, inirereport namin ang tungkol sa (a) Detected APT -count; (b) Mga naharang na koneksyon sa mga malisyosong website - bilangin; (c) Nakita ang mga paglabag sa data - bilang; (d) Mga pagkalugi sa pananalapi - $; at (e) Pagkawala ng kasosyo - $.

  • Para maipaalam ang mga kasanayan pagkatapos ng kompromiso, iniuulat namin ang mga post-incident report - count.