SaaS-CTO-Sicherheitscheckliste [27-seitiges PDF]
(sqreen.com)Eine nach Themen gegliederte Liste von Sicherheitsaspekten, die beim Betrieb eines Webdienstes grundsätzlich geprüft werden sollten, inklusive zusammengestellter Referenzdokumente sowie Beispiel-Links.
- Unternehmen insgesamt
-
Domain-Sicherheit
-
Datenerfassung und GDPR
-
Sicherheit der im Unternehmen genutzten Drittanbieter-Services (Google Apps, Slack, WordPress usw.)
-
Erstellung von Sicherheitsrichtlinien für intern und extern
-
Betrieb eines Bug-Bounty-Programms
-
Erstellung eines Reaktionsplans für Sicherheitsvorfälle
-
Einhaltung von Compliance-Vorgaben
-
2FA überall, wo es möglich ist
-
Checkliste für Onboarding/Offboarding
- Infrastruktur
-
HTTPS
-
Grundlegende Sicherheitschecks (HSTS, X-Frame-Options, CSP usw.)
-
Automatisierung von Updates für OS-/Docker-Images
-
Beschränkung des IP-Zugriffs auf interne Services
-
Zentralisierung von Logs
-
Service-Monitoring
-
Monitoring von Auffälligkeiten auf Basis von Metriken
-
Dokumentation der Neuinstallation der Infrastruktur im Katastrophenfall
- Code
-
Erstellung und Durchsetzung einer Checkliste für Security Code Reviews
-
Einführung von SAST
-
Verwaltung von Secrets (Passwörter, Schlüssel usw.)
-
Durchführung sicherheitsfokussierter Test-Sessions
-
Durchführung von Sicherheitsschulungen beim Onboarding
- Anwendung
-
Ausführung mit einem Konto ohne Admin-/Root-Rechte
-
Kontinuierliches Tracking von Third-Party-Bibliotheken
-
Einführung von RASP (Realtime Application Self Production)
-
Beauftragung eines externen Penetration-Testing-Teams
-
Sicherheitsautomatisierung
2 Kommentare
Dateilink: https://assets.sqreen.com/whitepapers/…
Da die Checkliste von Sqreen stammt, einem Unternehmen, das ein Sicherheitstool entwickelt, enthält sie zwar auch werbliche Inhalte,
a ber ich denke, man kann die gesamte Liste durchgehen und sie dann jeweils passend auf das eigene Unternehmen anwenden.