Varför vi publicerar hela vår ISMS offentligt (och varför det skrämmer konkurrenter)
Ingenting är sant. Allt är tillåtet. Inklusive—särskilt—att göra hela ditt ledningssystem för informationssäkerhet offentligt medan dina konkurrenter gömmer sitt bakom sekretessavtal och "KONFIDENTIELLT"-stämplar. De flesta "experter" säger att publicering av dina säkerhetspolicyer är vårdslöst. Vi säger att dölja dem är misstänkt. Vad gömmer du? FNORD.
Tänk själv. Ifrågasätt auktoritet. Fråga varför säkerhetspolicyer måste vara hemliga. Fråga leverantörer som säger "lita på oss, vi är säkra" utan att visa dig bevis. Fråga säkerhet genom obskyritet i en era där angripare har nationalstatsbudgetar och dina "hemliga" policyer läcker i varje M&A-granskning ändå.
På Hack23 är vi paranoida nog att anta att angripare redan känner till våra försvar—så vi kan lika gärna få marknadsföringsvärde och peer review genom att publicera dem. ISMS-transparens är inte marknadsföring—det är konkurrensfördel genom verifierbar säkerhetsexcellens.
40+ policyer på GitHub. Vår ISMS är 70% offentligt ramverk, 30% redakterade operativa detaljer. (De 30% är inte "vår hemliga sås"—det är referenser och specifika leverantörsbedömningar som skulle tråka ut dig till tårar.)
Kunder verifierar vår säkerhet innan kontraktsunderteckning genom att läsa våra faktiska policyer, inte leverantörsfrågeformulär fulla med lögner. Säkerhetsforskare granskar våra kontroller och föreslår förbättringar eftersom vi är paranoida nog att vilja ha global peer review. Potentiella klienter bedömer vår expertis genom faktisk implementering, inte PowerPoint-löften. Vi vapenar transparens.
UPPLYSNING: Välkommen till Chapel Perilous, där du inser att om din säkerhet beror på att angripare inte känner till dina försvar har du inte säkerhet—du har önsketänkande insvept i sekretessavtal. Riktig säkerhet överlever transparens. Svag säkerhet kräver obskyritet. Vilket har du? Är du paranoid nog att låta världen verifiera dina säkerhetspåståenden, eller behöver du gömma dem?
Vår metod: standard till offentlig såvida inte specifik dokumenterad risk kräver konfidentialitet (och "förlägenhet" är inte en säkerhetsrisk). Demonstrera säkerhetsmognad genom bevis, inte marknadsföringslöften. Acceptera sårbarhetsupptäckt genom community-granskning över falsk självförtroende genom obskyritet. Fullständig transparensstrategi i vår offentliga ISMS-transparensplan. Ja, vår transparensplan är också transparent. Vi är paranoida nog att vilja ha meta-granskning. FNORD.
Letar efter expertstöd för implementering? Se varför organisationer väljer Hack23 för säkerhetskonsulter som accelererar innovation.
De fem principerna för radikal ISMS-transparens
1. 🔍 Standard till offentlig
Policyer, ramverk, procedurer offentliga såvida inte specifik risk. Informationssäkerhetspolicy? Offentlig. Klassificeringsramverk? Offentligt. Riskbedömningsmetodik? Offentlig. Hotmodelleringsmetod? Offentlig. Om publicering skapar specifik exploaterbar sårbarhet, redigera den detaljen—publicera resten.
Motivering: Säkerhetsramverk demonstrerar expertis. Processer visar mognad. Metoder möjliggör kundförtroende. Publicering bevisar att vi inte gömmer inkompetens bakom "KONFIDENTIELLT"-markeringar.
Säkerhet genom obskyritet antar att angripare är lata. De är inte. Transparens antar att angripare känner till dina försvar—så bygg bättre försvar.
2. ✅ Demonstrera, exponera inte
Visa säkerhetsmognad utan att avslöja exploaterbara hemligheter. Publicera krypteringsstandarder (AES-256, RSA-4096)—inte krypteringsnycklar. Publicera backup-strategi (oföränderliga korsregionssäkerhetskopior)—inte backup-referenser. Publicera MFA-krav (hårdvarutokens)—inte återställningskoder.
Implementering: Högnivåarkitektur offentlig, specifika konfigurationer redakterade. Ramverksefterlevnad offentlig, revisionsfynd privata. Säkerhetsmått offentliga, incidentdetaljer konfidentiella.
Målet är att bevisa säkerhetskompetens, inte skapa attackvägkarta. Balansen är "här är vår försvarsstrategi" vs. "här är exakt hur man kringgår den."
3. 📝 Redigera, gömma inte
Blandade dokument får sanerade versioner publicerade. Riskregister: riskkategorier offentliga, specifika finansiella påverkningar redakterade. Tillgångsregister: tillgångstyper offentliga, referenser/IP-adresser konfidentiella. Leverantörsbedömningar: metodik offentlig, specifika fynd privata.
Process: Skapa intern komplett version → skapa offentlig kopia → applicera redigeringar ([REDAKTERAD], [Generiskt exempel]) → VD-granskning → publicera på GitHub.
Redigering möjliggör partiell transparens där full transparens skapar risk. Låt inte perfekt (100% offentlig) vara fienden till bra (70% offentlig).
4. 🤝 Förtroende genom verifiering
Kunder verifierar säkerhet, litar inte på påståenden. Försäljningssamtal: "Är er data krypterad?" → "Ja, här är vår Kryptografipolicy som visar AES-256-GCM med AWS KMS." RFP-säkerhetsfrågeformulär? Länka till relevanta offentliga ISMS-policyer. Due diligence? Här är 40+ policyer som demonstrerar omfattande ISMS.
Konkurrensfördel: Vi svarar på säkerhetsfrågor med bevis medan konkurrenter gör löften. Kunder litar på verifiering över leverantörspåståenden.
I säkerhetsförsäljning är "lita på oss" vad leverantörer utan bevis säger. "Här är det offentliga GitHub-arkivet" är vad självförtroende ser ut som.
5. 🔄 Community-förbättring
Offentlig ISMS möjliggör crowd-sourcad säkerhetsgranskning. Säkerhetsforskare över hela världen kan granska våra policyer, identifiera luckor, föreslå förbättringar. GitHub-frågor för policyfeedback. Bättre än någon betald konsult—för community-granskare har olika expertis och ingen intressekonflikt.
Exempel: Policyförtydliganden från praktiker, ramverksanpassningsförslag, branschens bästa praxis-uppdateringar, regulatorisk tolkningsvägledning.
Öppen källkodssäkerhetspolicy utnyttjar global expertis. Proprietär säkerhetspolicy begränsad till intern kunskap och dyra konsulter.
Offentlig vs. konfidentiell: Vad vi publicerar och varför
| Dokumentkategori | Status | Motivering |
|---|
| 📋 Kärnsäkerhetspolicyer (40+) | ✅ Offentlig | Demonstrerar omfattande ISMS, möjliggör kundverifiering, visar expertis |
| 🏷️ Klassificeringsramverk | ✅ Offentlig | Metodtransparens, affärspåverkanskategorier, demonstrerar riskbaserad metod |
| 📊 Säkerhetsmättavla | ✅ Offentlig | OpenSSF Scorecard, SonarCloud, testtäckning—levande bevis på säkerhetsprestanda |
| 🔐 Krypteringsimplementering | ✅ Offentlig (standarder), 🔒 Konfidentiell (nycklar) | Krypteringsstandarder (AES-256, RSA-4096) offentliga. Faktiska krypteringsnycklar, KMS-referenser, återställningskoder konfidentiella |
| 📍 IP-adresser & nätverkstopologi | 🔒 Konfidentiell | Specifika IP-adresser, intern nätverkslayout, brandväggsregler skapar exploaterbar information |
| 🔑 Referenser & hemliga nycklar | 🔒 Konfidentiell | API-nycklar, lösenord, AWS-åtkomstnycklar, SSH-nycklar, databas-referenser är aldrig offentliga |
70% offentlig / 30% konfidentiell uppdelning: Policy ramverk, metoder, compliance-mappningar offentliga. Operativa detaljer som skulle underlätta direkta attacker konfidentiella.
TRANSPARENSUPPLYSNING: Målet är att bevisa säkerhetskompetens utan att skapa attackhandbok. Balansen: "här är hur vi säkrar system" (offentlig) vs. "här är exakt hur man bryter sig in" (konfidentiell).
Välkommen till Chapel Perilous: ISMS-transparens som konkurrensfördel
Ingenting är sant. Allt är tillåtet. Inklusive att göra hela din ISMS offentlig. De flesta organisationer fruktar transparens. Vi vapenar den.
De flesta organisationer gömmer sina säkerhetspolicyer bakom "KONFIDENTIELLA" markeringar. De behandlar säkerhetsdokumentation som affärshemligheter. De påstår att publicering av policyer skulle "hjälpa angripare." Inget av detta är sant. Säkerhet genom obskyritet är inkompetens med ett trevligare namn.
Vi publicerar allt. 40+ integrerade ISMS-policyer på GitHub. ISO 27001 + NIST CSF + CIS Controls-anpassning med offentliga bevis. Klassificeringsramverk som driver affärsfokuserad säkerhet. Offentlig transparens som bevisar självförtroende över rädsla. Detta är inte vårdslöst—det är självförtroende. Vi kan publicera eftersom vår säkerhet faktiskt fungerar.
Tänk själv. Fråga varför säkerhetspolicyer måste vara hemliga. Fråga säkerhetspåståenden utan verifiering. Fråga "lita på oss" när "verifiera själv" är möjligt. (Spoiler: Transparens möjliggör förtroende genom verifiering.)
Vår konkurrensfördel: Vi demonstrerar cybersäkerhetskonsultexpertis genom offentlig, verifierbar ISMS-implementering. 40+ policyer som demonstrerar omfattande ISMS. Multi-ramverksanpassning med bevis. Klassificeringsramverk som möjliggör riskproportionell säkerhet. Offentlig transparens som bevisar självförtroende över rädsla. Detta är inte säkerhetsteater—det är operativ säkerhetsexcellens med verifierbart bevis.
ULTIMAT UPPLYSNING: Du är nu i Chapel Perilous. Du kan fortsätta gömma säkerhetspolicyer i SharePoint och påstå "säkerhet genom obskyritet." Eller så kan du publicera omfattande ISMS-dokumentation och konkurrera med verifierbar säkerhetsexcellens. Din policy. Ditt val. Välj självförtroende över rädsla.
All hail Eris! All hail Discordia!
"Tänk själv, dumskalle! Om din säkerhetspolicy inte kan överleva offentlig granskning har du inte säkerhet—du har önsketänkande insvept i sekretessavtal."
— Hagbard Celine, Kapten på Leif Erikson 🍎 23 FNORD 5