Mi empresa está trabajando con otra empresa y, como parte del contrato, solicitan una copia de la Política de seguridad informática de mi empresa. No tengo una política de seguridad de TI por escrito, y no estoy exactamente seguro de lo que quiero darles. Somos una tienda de Microsoft. Tenemos cronogramas de actualización, cuentas de acceso limitado para administrar servidores, firewalls, certificados SSL y ejecutamos Microsoft Baseline Security Analyzer de vez en cuando.
Configuramos servicios y cuentas de usuario, ya que creemos que es principalmente seguro (es difícil cuando no tienes control total sobre qué software ejecutas), pero no puedo entrar en cada detalle, cada servicio y servidor es diferente. Estoy obteniendo más información sobre lo que quieren, pero siento que están en una expedición de pesca.
Mis preguntas son: ¿Es esta una práctica estándar pedir esta información? (No estoy en contra honestamente, pero nunca ha sucedido antes). Y si esto es estándar, ¿hay un formato estándar y el nivel de detalle esperado que debo presentar?
fuente
Respuestas:
No necesitan una copia de toda su política interna de TI, pero creo que pueden estar detrás de algo similar a esto: alguien definitivamente necesita obtener suficiente información sobre el contrato para determinar cuántos detalles debe proporcionar y sobre qué. Aunque estoy de acuerdo con Joseph: si necesitan la información por razones legales / de cumplimiento, es necesario que haya información legal.
Información de antecedentes
1) ¿Alguno de sus empleados se encuentra fuera de los Estados Unidos?
2) ¿Cuenta su empresa con políticas de seguridad de la información formalizadas y documentadas?
3) ¿El manejo y clasificación de la información y los datos están cubiertos por sus políticas de seguridad de la información?
4) ¿Hay algún problema regulatorio pendiente que esté abordando actualmente en los estados donde opera? En caso afirmativo, explíquelo porfavor.
Seguridad general
1) ¿Tiene un programa de capacitación de concientización sobre seguridad de la información para empleados y contratistas?
2) ¿Cuál de los siguientes métodos para autenticar y autorizar el acceso a sus sistemas y aplicaciones utiliza actualmente:
3) ¿Quién autoriza el acceso de empleados, contratistas, trabajadores temporales, proveedores y socios comerciales?
4) ¿Permite que sus empleados (incluidos contratistas, trabajadores temporales, proveedores, etc.) tengan acceso remoto a sus redes?
5) ¿Tiene un plan de respuesta a incidentes de seguridad de la información? Si no, ¿cómo se manejan los incidentes de seguridad de la información?
6) ¿Tiene una política que aborde el manejo de información interna o confidencial en mensajes de correo electrónico a fuera de su empresa?
7) ¿Revisa sus políticas y estándares de seguridad de la información al menos anualmente?
8) ¿Qué métodos y controles físicos existen para evitar el acceso no autorizado a las áreas seguras de su empresa?
9) ¿Describa su política de contraseña para todos los entornos? Es decir. Longitud, fuerza y envejecimiento.
10) ¿Tiene un plan de recuperación ante desastres (DR)? En caso afirmativo, ¿con qué frecuencia lo prueba?
11) ¿Tiene un plan de continuidad comercial (BC)? En caso afirmativo, ¿con qué frecuencia lo prueba?
12) ¿Nos proporcionará una copia de los resultados de sus pruebas (BC y DR) si así lo solicita?
Revisión de arquitectura y sistema
1) ¿Se almacenarán y / o procesarán los datos y / o aplicaciones de [La Compañía] en un servidor dedicado o compartido?
2) Si se encuentra en un servidor compartido, ¿cómo se segmentarán los datos de [La Compañía] de los datos de otras compañías?
3) ¿Qué tipo (s) de conectividad de empresa a empresa se proporcionará?
4) ¿Se encriptará esta conectividad de red? En caso afirmativo, ¿qué método (s) de cifrado se utilizará?
5) ¿Se requiere algún código del lado del cliente (incluido el código ActiveX o Java) para utilizar la solución? En caso afirmativo, describa.
6) ¿Tiene un firewall (s) para controlar el acceso a la red externa a sus servidores web? Si no, ¿dónde se encuentran estos servidores?
7) ¿Su red incluye una DMZ para el acceso de Internet a las aplicaciones? Si no, ¿dónde están ubicadas estas aplicaciones?
8) ¿Su organización toma medidas para asegurarse contra interrupciones por denegación de servicio? Por favor describa estos pasos
9) ¿Realiza alguna de las siguientes revisiones / pruebas de seguridad de la información?
10) ¿Cuáles de las siguientes prácticas de seguridad de la información se utilizan activamente dentro de su organización?
11) ¿Tiene estándares para fortalecer o asegurar sus sistemas operativos?
12) ¿Tiene un cronograma para aplicar actualizaciones y correcciones urgentes a sus sistemas operativos? En caso negativo, díganos cómo determina qué y cuándo aplicar parches y actualizaciones críticas.
13) Para proporcionar protección contra una falla de energía o red, ¿mantiene sistemas totalmente redundantes para sus sistemas transaccionales clave?
Servidor web (si corresponde)
1) ¿Cuál es la URL que se utilizará para acceder a la aplicación / datos?
2) ¿Qué sistema operativo (s) son los servidores web? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o el nivel de parche).
3) ¿Qué es el software del servidor web?
Servidor de aplicaciones (si corresponde)
1) ¿Qué sistema operativo (s) son los servidores de aplicaciones? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o el nivel de parche).
2) ¿Qué es el software del servidor de aplicaciones?
3) ¿Está utilizando el control de acceso basado en roles? En caso afirmativo, ¿cómo se asignan los niveles de acceso a los roles?
4) ¿Cómo se asegura de que exista la autorización y la segregación de funciones adecuadas?
5) ¿Su aplicación emplea acceso / seguridad de usuario multinivel? En caso afirmativo, por favor indique los detalles.
6) ¿Las actividades en su aplicación son monitoreadas por un sistema o servicio de terceros? En caso afirmativo, proporciónenos el nombre de la empresa y el servicio y qué información se está monitoreando
Servidor de base de datos (si corresponde)
1) ¿Qué sistema operativo (s) son los servidores de la base de datos? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o nivel de parche).
2) ¿Qué software de servidor de bases de datos se está utilizando?
3) ¿Se replica el DB?
4) ¿El servidor de base de datos es parte de un clúster?
5) ¿Qué se hace (si se hace algo) para aislar los datos de [La Compañía] de otras compañías?
6) ¿Se cifrarán los datos de [La Compañía], cuando se almacenen en el disco? En caso afirmativo, describa el método de cifrado
7) ¿Cómo se capturan los datos de origen?
8) ¿Cómo se manejan los errores de integridad de datos?
Auditoría y registro
1) ¿Registra el acceso del cliente en:
2) ¿Se revisan los registros? En caso afirmativo, explique el proceso y con qué frecuencia se revisan.
3) ¿Ofrecen sistemas y recursos para mantener y monitorear registros de auditoría y registros de transacciones? En caso afirmativo, ¿qué registros retiene y cuánto tiempo los almacena?
4) ¿Permitirá que [La Compañía] revise los registros de su sistema en lo que respecta a nuestra compañía?
Intimidad
1) ¿Cuáles son los procesos y procedimientos utilizados para desclasificar / eliminar / descartar los datos de [La Compañía] cuando ya no son necesarios?
2) ¿Ha revelado en algún momento información del cliente por error o accidentalmente?
En caso afirmativo, ¿qué medidas correctivas ha implementado desde entonces?
3) ¿Los contratistas (no empleados) tienen acceso a información confidencial o confidencial? En caso afirmativo, ¿han firmado un acuerdo de confidencialidad?
4) ¿Tiene proveedores autorizados para acceder y mantener sus redes, sistemas o aplicaciones? En caso afirmativo, ¿están estos proveedores bajo contratos escritos que brindan confidencialidad, verificación de antecedentes y seguro / indemnización por pérdida?
5) ¿Cómo se clasifican y protegen sus datos?
Operaciones
1) ¿Cuál es la frecuencia y el nivel de sus copias de seguridad?
2) ¿Cuál es el período de retención in situ de las copias de seguridad?
3) ¿En qué formato se almacenan sus copias de seguridad?
4) ¿Almacena copias de seguridad en una ubicación fuera del sitio? En caso afirmativo, ¿cuál es el período de retención?
5) ¿Cifras tus copias de seguridad de datos?
6) ¿Cómo se asegura de que solo se ejecuten programas de producción válidos?
fuente
Solo me han pedido esta información cuando trabajo con industrias reguladas (bancarias) o gubernamentales.
No conozco un "formato estándar", per se, pero siempre me ha dado una plantilla que un auditor me dio a mi Cliente como un "punto de partida" cuando tuve que hacer esto.
Probablemente comenzaría con algunas búsquedas en Google y vería qué podría encontrar en el camino de documentos de política de muestra. SANS ( http://www.sans.org ) también es otro buen lugar para comenzar a buscar.
En cuanto al nivel de detalle, diría que probablemente deba adaptarse a la audiencia y al propósito. Mantendría los detalles de alto nivel a menos que me pidieran específicamente que proporcionara detalles de bajo nivel.
fuente
Hay varias razones diferentes por las que una empresa puede querer ver su política de seguridad. Un ejemplo es que la industria de tarjetas de pago (Visa, MasterCard, AmEx, etc.) requiere que las compañías que procesan tarjetas de crédito deben adherirse a la industria de tarjetas de pago - Estándar de seguridad de datos (PCI-DSS). Una sección de PCI-DSS requiere que los socios de la compañía también se adhieran a PCI-DSS (que por supuesto requiere políticas escritas).
Francamente, si le estoy otorgando acceso a su red a través de una VPN o conexión directa, entonces quiero saber que tiene un cierto nivel de seguridad, de lo contrario, me estoy abriendo a todo tipo de problemas potenciales.
Es por eso que obtener la certificación PCI o ISO 27001 puede ser una gran ayuda en este sentido, ya que puede informar a la organización externa que tiene las cosas manejadas hasta cierto nivel. Si sus políticas son muy generales, qué políticas deberían ser, entonces podría no ser un problema proporcionar una copia a su socio. Sin embargo, si quieren ver procedimientos específicos o información de seguridad, no dejaría que eso abandone mi sitio.
Kara tiene una excelente orientación sobre lo que desea cubrir en sus políticas. Aquí hay un ejemplo de una política.
Política de respaldo / recuperación del sistema IT-001
I. Introducción Esta sección habla sobre cómo las copias de seguridad son importantes, cómo planea probar y mantener copias fuera del sitio.
II Propósito A. Esta política cubrirá la frecuencia, el almacenamiento y la recuperación B. Esta política cubre datos, sistemas operativos y software de aplicaciones C. Todos los procedimientos de copia de seguridad / recuperación deben documentarse y guardarse en un lugar seguro
III. Alcance Esta sección señala que la política cubre todos los servidores y activos de datos en su empresa (y cualquier otra área específica como las oficinas satelitales).
IV. Roles y responsabilidades A. Gerente: decide lo que se respalda, determina la frecuencia, el medio y los procedimientos, también verifica que las copias de seguridad sucedan B. Administrador del sistema: ejecuta las copias de seguridad, verifica las copias de seguridad, prueba las copias de seguridad, transporta las copias de seguridad, prueba la restauración, mantiene la rotación de respaldo abuelo / padre / hijo C. Usuarios: tiene información sobre lo que se respalda, debe colocar los datos en la ubicación designada para respaldar
V. Descripción de la política Copia de seguridad: todo lo que quiere decir sobre las copias de seguridad en un sentido general Recuperación: todo lo que quiere decir sobre la recuperación en un sentido general
Las instrucciones específicas paso a paso deben estar en un documento separado de procedimientos / instrucciones de trabajo. Sin embargo, si tiene una organización muy pequeña, es posible que no separe las políticas de los procedimientos.
Espero que esto ayude y le brinde información útil.
fuente
Tuve que escribir uno de estos recientemente y no terminó siendo demasiado difícil. Sin embargo, el punto de Even sobre la adaptación es importante, ya que algunos detalles requerirán más trabajo para describir que otros. NIST también tiene una gran biblioteca de publicaciones gratuitas en línea que describen medidas de seguridad para diversos fines, puede usarlas para ideas en las que no está seguro de qué tipo / alcance de seguridad se requiere.
Aquí hay algunas categorías generales para cubrir en términos de alto nivel:
Esta lista se puede ampliar o reducir en función de que ahora se necesita mucha información. Además, no hay necesidad de preocuparse si aún no tiene todo esto en su lugar. Mi consejo es que se limite a describir sus políticas 'previstas', pero esté preparado para expandirlas inmediatamente por cualquier falta. También prepárate para que te llamen por lo que estás reclamando, no importa lo improbable que sea (a los abogados no les importará más adelante).
fuente
Para empezar, me gustaría consultar con el asesor legal de su empresa, especialmente porque es parte de un contrato.
fuente
Para abordar la necesidad que tiene de enviar una copia de su documento de política de seguridad sería un poco en contra de la seguridad. He escrito nuestra política de seguridad y he eliminado la mayoría de los documentos de las plantillas de la SAN. Los demás los puede completar con búsquedas de políticas específicas en Google. La forma en que manejamos a una parte externa que quiere ver la política es dejándola sentarse en la oficina de nuestro Director de Operaciones y permitiéndole leerla. Nuestra política es que la política nunca abandone el edificio y más específicamente nuestra vista. Tenemos acuerdos que cualquier tercero debe aceptar al trabajar en capacidades específicas que requerirían acceso a nuestra información. Y son caso por caso. Es posible que esta política no se ajuste a su entorno ni todas las políticas que se encuentran en SAN '
fuente
¿Es una práctica estándar? Mi experiencia es afirmativa para ciertas industrias que están reguladas, como la banca, la alimentación, la energía, etc.
¿Existe un formato estándar: hay una serie de estándares, pero si su contrato no especifica un estándar (ISO, por ejemplo), debe aceptar contractualmente el formato que elija.
No debería ser difícil. Ya tiene un estándar de parches y contraseñas, por lo que el documento debe especificar cuál es ese estándar y cómo se asegura de que se siga. No caigas en la trampa de pasar demasiado tiempo haciéndolo bonito. Solo un simple documento será suficiente.
Si su contrato especifica el uso de un estándar específico, entonces debe buscar ayuda profesional para asegurarse de que cumple con los requisitos contractuales.
fuente
Recibimos mucho esta pregunta porque somos una instalación de alojamiento. La conclusión es que no lo entregamos a menos que sepamos exactamente lo que están buscando por adelantado. Si están buscando algo en nuestra política de seguridad que no tenemos, generalmente es porque la naturaleza de nuestro negocio no lo requiere, y se lo decimos. Eso puede ser subjetivo, pero no importa: todavía tenemos que perder negocios por eso. La mayoría de las veces, preguntan porque tienen que decirle a alguien más que lo hicieron. Una respuesta 'NO' no es necesariamente algo malo o un factor decisivo.
Acabamos de pasar por la certificación SAS70 II, por lo que ahora solo damos la carta de opinión del auditor y dejamos que hablen por nuestras políticas escritas.
fuente
Necesitarás un NDA antes de mostrarles algo. Luego les dejaría venir y revisar la política de seguridad, pero nunca tendría una copia de ella.
fuente