Google предоставила исходный код своего ПО для оценки состояния безопасности сообществу Open Source, чтобы компании, поставляющие продукты и сервисы, могли тщательно проверять собственную практику в области безопасности.
На днях этот ИТ-гигант сообщил, что его приложение Vendor Security Assessment Questionnaire (VSAQ), содержащее подборку самоадаптирующихся вопросников, ранее использовалось Google для ежегодной оценки практики обеспечения безопасности и связанных с этим рисков у сотен своих партнеров. Теперь VSAQ открыто для использования компаниями, желающими проверить себя или своих поставщиков и найти пути улучшения принимаемых мер в области безопасности.
Лукас Вайхселбаум и Дэниэл Фэйбиэн из группы Google Security написали в корпоративном блоге, что VSAQ полезно не только для сбора информации, но и для расстановки приоритетов при «оценке многочисленных аспектов состояния дел вендора по линии безопасности и приватности».
После апробации ПО многие вендоры использовали собранную при анкетировании информацию (которая в свою очередь указывала на проблемы и то, что надо улучшить), чтобы заняться устранением слабых мест в своей безопасности. Ряд компаний также выразил интерес к самостоятельному использованию VSAQ не только для дальнейшего улучшения корпоративных практик, но и для оценки собственных поставщиков.
Возможность применения VSAQ для контроля сторонних поставщиков очень важна. Независимо от того, сколько денег вложила компания в свою безопасность и инструменты защиты, их эффективность полностью зависит от самого слабого звена, и если другие фирмы, имеющие связь с сетью компании, не имеют нужных ресурсов и не позаботились в той же мере о кибербезопасности, они могут стать входными воротами для злоумышленного взлома сети.
Если ПО и средства анкетирования типа VSAQ станут общеупотребительными инструментами, это поможет крупным предприятиям находить наиболее слабые места и в своих сетях, и у своих партнеров и устранять проблемы до того, как они обернутся утечкой данных или успешной кибератакой.
Google выпустила в свет VSAQ Framework через GitHub под лицензией Apache License 2.0. Хотя VSAQ является ПО клиентского типа с достаточной производительностью, при реализации широкомасштабных программ безопасности предприятиям целесообразно использовать VSAQ Framework с серверными компонентами.
«Мы надеемся, что это поможет компаниям развернуть или улучшить программы обеспечения безопасности своих поставщиков, — говорят в Google. — Мы также рассчитываем, что базовые вопросники смогут послужить средством самооценки для компаний, заботящихся о своей безопасности, и разработчиков, стремящихся повысить свой уровень в области безопасности».
