每周都有关于高调黑客入侵或客户数据泄露的新新闻报道。虽然没有哪家公司愿意成为下一个破坏声誉的头条新闻的主题,但许多企业领导人在面试、招聘和聘用新的外包QA合作伙伴时,仍然会跳过网络安全最佳做法。这要花多少钱?你能多快让它发生?这些QA问题占据了许多安全问题的中心位置。
在寻找合适的QA测试公司之前,您必须首先确定哪些需求是不可协商的。数据保护标准和强大的网络安全协议应该在你的清单上名列前茅。
要得到你需要的答案,首先要问正确的网络安全问题。为了遵循网络安全培训的最佳实践,我们建议您在为您的组织探索潜在的质量保证供应商时询问这些顶级的网络安全问题。
1.你如何保护周边环境?
从基本的与安全相关的QA测试问题开始。严格执行哪些现场协议以保护所有IT和QA设备?数据保护标准如何保护所有硬件和软件免受网络威胁?这些顶级的网络安全问题可以提供一个清晰的视角,以了解QA提供商在各个层面保护产品的各种安全机制。
记住,软件中的每个漏洞都是网络攻击者的机会。你的工作是确保所有适当的网络安全培训的最佳实践到位,所以与遵循这一点的QA供应商合作是很重要的渗透测试指南并实施安全机制。这些应该包括但不限于web应用防火墙,入侵检测和防御系统。
2.你是否达到资料保护标准?
遵循网络安全最佳实践的QA提供商会佩戴这些认证,就像荣誉徽章。认证是客观的,可衡量的证据,证明提供商的数据保护标准达到了行业水平,被认可的机构认可。
一些最常见的认证包括ISO 27001, SSAE16, Safe Harbor和SOC 2。在询问有关认证的网络安全问题之前,确保您知道哪些认证适用于您的行业,并准备探索QA提供商获得这些认证的过程。
认证如何遵循网络安全培训最佳实践?许多行业都受到高网络安全标准和严格法规的保护,如医疗机构的HIPAA和HITECH,金融公司的GLBA,以及电子教育和教育机构的FERPA。认证证明QA供应商始终如一地执行测试过程和安全措施,使软件产品符合这些行业标准的期望。
3.如何保证客户数据的安全?
与专门的QA团队合作可以解决许多网络安全领域问题的痛点.当QA供应商知道如何保证客户数据的安全时,他们对这些QA测试问题的回答就会显示出来:
- QA供应商能否提供关于数据加密和传输的详细反馈?
- 设备控制策略是什么?
- 他们的数据保护政策包括哪些措施?
- 执行的策略是什么为远程测试人员维护一个安全的测试环境?
- 他们是如何对抗的网络安全中自动化测试的局限性实践?
向QA供应商询问更多的网络安全问题,以便他们解释如何划分和存储客户数据。如果它们遵循网络安全最佳实践,这些数据应该与供应商的web服务器分开,最好位于防火墙后的独立数据库服务器上。尽管这样做会使设置过程更加复杂,但是安全方面的好处是值得的。
4.我们如何监控进出我们网络的内部和外部流量?
当面对一个意志坚定的黑客时,即使是最好的攻击偏转尝试也可能失败。问正确的QA问题,以确保QA供应商能够抵御针对您的软件应用程序的最狡猾的网络攻击,这取决于您。
关于网络流量监控的最重要的网络安全问题应该关注他们的工具集。潜在的质量保证供应商是否具备以下系统?
- 入侵检测系统(IDS)
- 入侵防御系统(IPS)
- 数据丢失保护(DLP)
- 安全事件和事件管理(SIEM)
- 网络行为异常检测(NBAD)
一个强大的QA测试公司网络安全最佳实践有一个强大的备份系统,用于检测网络上的恶意流量。如果你问了正确的QA测试问题,QA供应商应该解释他们如何能够:
- 识别可疑活动
- 有效地将警报与实际的人类活动联系起来
- 对这些事件采取迅速的行动
5.你的事件反应机制是什么?
遭受数据泄露的痛苦。当你事后没有行动计划时,这种感觉尤其痛苦。现在通过问一些棘手的QA问题,你就会知道QA供应商是否知道如何从网络攻击中恢复过来。
当QA供应商遵循网络安全培训最佳实践时,他们已经建立了一个全面的响应计划,概述了攻击后的关键行动(以及谁负责执行每个行动)。一份写得好的计划可以缩短从最初的违约到第一次响应的时间,从而启动团队的协调响应工作。
6.你是否建立了一个组织范围内的意识运动来教育所有员工网络安全?
就像你的物理和逻辑安全保障一样,QA测试公司的员工也可能被黑客攻击。网络犯罪分子知道该说什么来欺骗、欺骗或操纵几乎所有人采取行动,使他们能够进入网络。这些“客户端”攻击包括鱼叉式网络钓鱼、基于浏览器的攻击和其他形式的社会工程。
这就是为什么网络安全的最佳实践是将人类的决策作为有效的防线。向QA测试人员询问潜在的QA供应商如何培训他们的工程师识别、应对、记录和报告客户端攻击。
7.你如何评估员工对安全的理解?
这类QA问题的核心在于你的潜在QA供应商对网络安全的重视程度。一个强大的QA测试公司可以提供详细的答案,其中包括一流的安全意识程序和定期审查或测试。例如,QA提供者应该解释为什么要在网络安全中进行API测试增强了QA团队对安全性的理解。
请记住,几乎所有重大安全漏洞都是人为错误造成的。由于QA工程师在每个测试周期中都是必不可少的,所以QA供应商必须让他们的测试人员跟上网络安全最佳实践的速度。
8.在网络安全方面,你有哪些最佳实践?
你的QA供应商应该采取分层的安全方法。您的网络安全首要问题应解决以下网络安全最佳做法:
- 正式的信息安全治理
- 数据备份策略
- 内部威胁检测和管理
- 监控供应商、承包商和员工以防止数据丢失
- 安全教育培训
- 定期更新软件和系统
- 彻底的事件反应剧本
- 保持合规认证
看看其他组织是如何利用QA合作伙伴来增加价值和提高效率的。
在下面的白皮书中了解更多信息!