Cyberthreat.id - Bagaimana cara meningkatkan standar keamanan dan menyederhanakan proses keamanan? Google dan Salesforce menjawabnya dengan pembuatan dasar keamanan netral vendor yang disebut Minimum Viable Security Product (MVSP).

MVSP juga dikembangkan dan didukung oleh Okta, Slack, dan lainnya. "Dirancang untuk menghilangkan overhead, kompleksitas dan kebingungan selama pengadaan, RFP dan proses penilaian keamanan vendor dengan menetapkan dasar keamanan minimum,” kata Vice President of Security Google, Royal Hansen, kepada ZDNet, Kamis (28/10).

"MVSP adalah baseline kolaboratif yang berfokus pada pengembangan serangkaian persyaratan keamanan minimum untuk perangkat lunak bisnis-ke-bisnis dan pemasok outsourcing proses bisnis. Dirancang dengan kesederhanaan dalam pikiran, hanya berisi kontrol yang harus, minimal, diterapkan untuk memastikan postur keamanan yang wajar. MVSP disajikan dalam bentuk daftar periksa dasar minimum yang dapat digunakan untuk memverifikasi postur keamanan suatu solusi."

Google telah lama harus membuat garis dasar keamanan mereka sendiri untuk vendor mereka yang memperumit proses, sulit dirakit untuk organisasi dan menciptakan labirin garis dasar Bizantium untuk vendor yang mematuhi.

Hansen menjelaskan bahwa MVSP akan menciptakan baseline industri yang didukung oleh para praktisi yang dengan jelas mengomunikasikan serangkaian persyaratan minimum. Persyaratan juga dapat membantu organisasi memahami kesenjangan dalam proses mereka sendiri dan mengidentifikasi area di mana mereka harus lebih ketat terhadap vendor.

"MVSP menyediakan satu set pertanyaan terkait keamanan yang tersedia untuk umum dan didukung oleh industri. Menyelaraskan satu set dasar memungkinkan pemahaman yang lebih jelas dari vendor, menghasilkan respons yang lebih cepat dan akurat," kata Hansen.

"MVSP memastikan ekspektasi mengenai kontrol keamanan minimum dipahami di awal, mengurangi diskusi tentang kontrol pada tahap negosiasi kontrak. Merujuk garis dasar eksternal membantu menyederhanakan bahasa kontrak dan meningkatkan keakraban dengan persyaratan." Hansen menambahkan bahwa Google tertarik dengan umpan balik dari komunitas keamanan dan pihak lain yang mungkin ingin berkontribusi.

Salesforce mengatakan operasi outsourcing ke vendor pihak ketiga adalah pedang bermata dua. Ini menghemat tetapi juga menciptakan vektor serangan baru dengan memberikan akses eksternal ke sistem penting dan data pelanggan. Sebuah studi baru-baru ini menunjukkan 59% perusahaan mengalami pelanggaran data yang disebabkan oleh salah satu vendor mereka.

Daftar periksa MSVP mencakup pertanyaan tentang apakah vendor melakukan pengujian penetrasi komprehensif tahunan pada sistem serta apakah vendor mematuhi undang-undang dan peraturan setempat seperti GDPR.

Pertanyaan juga mencakup apakah vendor telah menerapkan sistem masuk tunggal menggunakan protokol standar industri dan modern atau menerapkan patch keamanan secara berkala.

Apakah vendor memelihara daftar tipe data sensitif yang diharapkan dapat diproses oleh aplikasi? Apakah mereka menyimpan diagram aliran data terkini yang menunjukkan seberapa sensitif data mencapai sistem dan di mana akhirnya disimpan? Ini semua adalah pertanyaan yang diajukan oleh daftar periksa MSVP.

Daftar periksa juga mencakup pertanyaan tentang keamanan fisik fasilitas dan apakah vendor memiliki kontrol perimeter berlapis atau log masuk dan keluar.

"Dengan MVSP, industri dapat meningkatkan kejelasan selama setiap fase sehingga pihak di kedua sisi persamaan dapat mencapai tujuan mereka dan mengurangi siklus orientasi dan penjualan selama berminggu-minggu atau bahkan berbulan-bulan," kata Salesforce.[]