Come iniziare con un programma di sicurezza delle informazioni?

24

Sono un tester di software, InfoSec è per lo più tangenziale al mio lavoro, e le persone mi fanno solo domande su InfoSec perché non ho paura di usare Google o Stack Exchange quando non so qualcosa. (che è la maggior parte delle volte)

Il nostro responsabile delle operazioni USA desidera avere una conversazione con me per ulteriori informazioni sulla sicurezza delle informazioni. Ha ricevuto un'email da un potenziale cliente nel settore finanziario che include questa sezione:

(a) ACME will ensure its information security program (“Info Security Program”) is designed and implemented, and during the term of this Agreement will continue to be designed and implemented, to: (1) reasonably and adequately mitigate any risks identified by either of the parties related to the Software and Services, and the protection of Customer Confidential Information disclosed to ACME or ACME Personnel, and (2) describe and report on its own risk assessments, risk management, control, and training of ACME Personnel in compliance with the Info Security Program, security oversight regarding ACME Personnel, and the process for the annual certification of the Info Security Program. ACME will safeguard against the destruction, loss, alteration, or unauthorized disclosure of or access to Customer Confidential Information in the possession of ACME Personnel, including through the use of encryption while transmitted or in transport, or while being stored, processed or managed on ACME equipment when such encryption required by Law, is advised by industry standards for similar products or services, or is required in an Transaction Document (collectively, the “Data Safeguards”). ACME will ensure that the Info Security Program is materially equivalent to Customer’s own information security standards in place from time to time applicable to the risks presented by the Products or Services (collectively the “IS Standards”). The parties may redefine the term “IS Standards” to mean any industry-recognized standard or testing protocol (e.g., NIST, ISO 27001/27002 or SSAE, AT101), if expressly set forth in an SOW.

Questo linguaggio è così spaventoso che prima ho fatto una cacca nei miei pantaloni e poi ho creato un account security.stackexchange.com per chiedere un consiglio perché non so nemmeno da dove cominciare. Siamo una piccola azienda di software (meno di 40 persone) che è abbastanza fortunata da avere un certo successo commerciale, e non siamo incuranti della sicurezza, ma non abbiamo ancora alcun programma di sicurezza delle informazioni formale.

Alcune domande:

  • Qualcuno può tradurre la citazione sopra in inglese comune?
  • Ho letto qualcosa sulla certificazione annuale, sarebbe giusto dire che la nostra azienda dovrebbe utilizzare un auditor di sicurezza di terze parti e lasciare che ci dicano cosa dovremmo fare?
  • Chi all'interno della nostra organizzazione sarebbe in genere responsabile dell'implementazione di un programma di sicurezza delle informazioni?
  • Sto pensando di raccomandare di acquistare ISO27001 (intendo il vero file PDF che contiene il testo di quello standard, che può essere acquistato per 166 franchi svizzeri dal negozio iso.org), ma chi dovrebbe leggerlo? (correlato alla domanda precedente)

Informazioni di base:

  • Raccogliamo le informazioni CRM tipiche per poter inviare fatture.
  • Non raccogliamo informazioni sensibili, come i dati sugli utenti / clienti dei nostri clienti.
  • Il nostro team di supporto potrebbe richiedere dati di esempio per la risoluzione dei problemi e chiederà sempre dati "fittizi" o disinfettati che riproducano il problema a portata di mano.

Questa domanda non è un duplicato di Come comunicare la sicurezza del sistema ai clienti del tuo datore di lavoro . Questi post riguardano come comunicare ai clienti: sappiamo già che, poiché il cliente ci ha già detto quale tipo di comunicazione desiderano, hanno menzionato un rapporto di tipo 1 SOC. Inoltre, non è un duplicato di Come ottenere il top management supporto per i progetti di sicurezza? perché il supporto alla gestione è facile nel nostro caso: ottieni la certificazione di sicurezza o perdi i grandi contratti.

    
posta Amedee Van Gasse 28.08.2017 - 18:52
fonte

6 risposte

30

Farò un tentativo.

In breve, la lingua è CYA in caso di violazione, hacking e accesso ai propri dati, possono comunicare ai propri clienti "Acme ha dichiarato di avere un programma di sicurezza ed è stato protetto, quindi è colpa loro".

In tal caso, se finisci per essere la causa della perdita di dati, possono biasimarti.

Detto questo, il suo linguaggio contrattuale piuttosto standard quando le aziende collaborano o condividono dati. Principalmente è un artefatto di tipo "Due Diligence".

Riguardo alle tue domande:

Can someone please translate the above quote into common English?

Fondamentalmente è necessario avere politiche / procedure di sicurezza documentate. All'interno di questi documenti è necessario indicare cosa si fa per mantenere i sistemi e garantire che venga fornita una sicurezza adeguata. Dovresti anche provare ad affrontare le procedure effettive che riguardano argomenti relativi alla sicurezza (controllo degli accessi, auditing, monitoraggio, risposta agli incidenti, ecc.). Potresti già coprirne parte delle normali procedure operative standard (SOP) e puoi fare riferimento a tali documenti. Quando crei un nuovo utente o cambi gruppi / ruoli, ci sono procedure scritte su come farlo? C'è qualcuno che approva quel cambiamento? Questi sono i tipi di cose che dovrebbero essere affrontate. Quando non vengono annotati, le persone non hanno riferimenti su come eseguirli e prendono delle libertà che possono introdurre vulnerabilità alla sicurezza.

I read something about annual certification, would it be ok to say that our company should make use of a third party security auditor and let them tell us what we should do?

Questa è la strada che prendono molte organizzazioni, ma la sicurezza non è sicuramente qualcosa che dovrebbe essere rivista "annualmente". È un processo continuo, per sempre, che dovrebbe essere integrato nelle operazioni quotidiane. Detto questo, un gruppo di terze parti può eseguire un "audit" che funge da certificazione annuale. Il risultato sarà una relazione che è possibile utilizzare per correggere le carenze e migliorare la propria postura di sicurezza. Consiglio vivamente questo, non importa quanto sia maturo il tuo programma di sicurezza. Le prime volte che lo fai, usa diversi fornitori in modo da poter confrontare i risultati. La qualità di questi tipi di valutazioni varia GRANDE.

Who within our organisation would typically be responsible for implementing an Information Security Program?

Sono noti con molti nomi, ma la responsabilità ultima della sicurezza spetta al proprietario del sistema. Potrebbe essere il tuo amministratore delegato, il responsabile del programma o, in organizzazioni più grandi, un ISSO o un responsabile della sicurezza del sistema informativo. Nelle organizzazioni più piccole, di solito ricade su un Product o IT Manager. Assumere un consulente per iniziare questo processo può essere una buona idea in questa fase. Vedrai questi requisiti più spesso quando inizi a lavorare / collaborare con grandi aziende.

I am thinking about recommending to buy ISO27001, but who should read it? (related to the previous question)

Che cosa stai pensando di acquistare ? ISO27001 è un framework di conformità di sicurezza che fornisce una direzione per la protezione delle risorse / azienda e, per quanto so, non si dovrebbe dover pagare nulla in anticipo a meno che non sia un servizio o un prodotto. Scegliere un framework di conformità per basare il proprio programma è un primo passo importante per stabilire un programma di sicurezza. Personalmente raccomanderei ISO o NIST in quanto sono standard internazionali / nazionali di grandi dimensioni e hanno molte sovrapposizioni con altri framework di conformità (PCI, HIPAA, ecc.). Detto questo, non ho idea di quali siano i tuoi obiettivi, quindi dovrai fare delle ricerche e scegliere ciò che è meglio per la tua organizzazione.

Ho scritto un sacco di documentazione e fatto molti test di controllo della sicurezza, quindi potrei essere a un certo punto dell'opinione pubblica, ma se hai altre domande, non esitare a contattarmi. Buona fortuna!

    
risposta data 28.08.2017 - 19:38
fonte
3

Il linguaggio legale e contrattuale è sempre complesso e talvolta scoraggiante da leggere, motivo per cui a volte ignoriamo le pagine di termini e condizioni di prodotti

Per la tua domanda su dove cominciare

Qui ci sono pochi link da risorse standard come NIST, SANS e ISACA ognuno di questi istituti ha una ricca storia nel trattare molte sfaccettature di sicurezza delle informazioni

Collegamento SANS: -

link

Collegamento ISACA: -

link

Ora riguardo alla sezione di posta che hai indicato

Ho dato per scontato che il nome della tua organizzazione fosse ACME

Ci si assicurerà quanto segue.

  1. Il tuo programma di sicurezza delle informazioni è stato progettato e implementato e durante il periodo del contratto lo utilizzerai per prevenire e ridurre qualsiasi rischio identificato dal tuo team o dal team del cliente per qualsiasi software o servizio.

  2. Proteggi anche i dati riservati dei clienti che vengono forniti alla tua azienda o ai tuoi dipendenti.

Ad esempio: - Nel caso degli Stati Uniti è vietato dalla legge rilasciare i registri sanitari di un individuo o il suo numero di previdenza sociale senza la sua autorizzazione.

  1. Farai un rapporto dettagliato come segue

• Valutazione del rischio: - Identificare i potenziali rischi per i servizi e il funzionamento • Gestione del rischio: - Suggerisce e implementa metodi per evitare o ridurre l'impatto dei rischi identificati • Stabilire il flusso di controllo: - Si tratta di stabilire e mantenere la catena di comando in caso di un evento di rischio al fine di continuare i servizi critici senza interruzioni • Formazione: - Formare tutti i dipendenti correlati su pratiche sicure e sicure per gestire i dati e anche evidenziare le migliori pratiche

Stabilisci anche un adeguato meccanismo di feedback per garantire che anche i dipendenti svolgano un ruolo nello stabilire queste pratiche. Paga molto a lungo termine.

  1. Proteggi i dati da perdita, distruzione e alterazione e previeni la divulgazione accidentale di dati sensibili.

  2. Utilizzerai i servizi di crittografia per ottenere ciò quando i dati vengono archiviati in un file U.s.b o mentre i dati sono in uso in quanto questo è richiesto dal governo.

  3. Inoltre assicurerai che i tuoi standard di sicurezza siano allo stesso livello dei tuoi clienti per i rischi elencati da standard internazionali come NIST o ISO (sono le organizzazioni che definiscono quali sono le pratiche standard) se sono scritte giù nel tuo SOW.

Venendo ora alla tua domanda sulla certificazione suggerisco due livelli di controllo, uno sarebbe il tuo team interno, questo dà alla tua organizzazione la possibilità di affrontare problemi di sicurezza particolari per la tua azienda e un revisore di terze parti è sempre consigliabile in quanto aumenta la soddisfazione del cliente .

E per quanto riguarda chi è responsabile tipicamente sarebbe il CISO i.e il responsabile della sicurezza delle informazioni. E a livello di progetto sarebbe il Project manager e il team dedicato alla sicurezza.

Anche in questo caso vorrei ripetere che sarebbero gli utenti di quei dati che dovrebbero prestare molta attenzione a come lo gestiscono.

Sulla stessa nota vorrei sottolineare che qualsiasi tipo di dati può essere classificato come sensibile, ad esempio ci sono una grande varietà di essi come nel caso in cui si accennasse che il potenziale cliente proviene dal settore finanziario, quindi il termine dati sensibili potrebbe comprendere dei dettagli delle transazioni commerciali o di un valore di transazione che potrebbe non sembrare prezioso dal punto di vista degli hacker standard, ma sarebbe molto critico per i concorrenti dei tuoi clienti.

Purtroppo ho poca o nessuna conoscenza sulla tua query finale, ma suggerirei ricerche di mercato approfondite prima di acquistarne una in quanto gli standard potrebbero variare leggermente se non sostanzialmente.

    
risposta data 29.08.2017 - 16:56
fonte
2

Ho risposto a molti di questi. Una cosa salta fuori:

ACME will ensure that the Info Security Program is materially equivalent to Customer’s own information security standards in place from time to time applicable to the risks presented by the Products or Services (collectively the “IS Standards”).

Ottieni gli standard di sicurezza delle informazioni del cliente. Analizzalo riga per riga e osserva ciò che non può essere applicato alla tua organizzazione.

Seconda cosa ... Probabilmente fai hai un programma di sicurezza delle informazioni, probabilmente è solo informale. I tuoi sviluppatori hanno password, tu hai un SDLC, usi la gestione delle modifiche, la revisione del codice, la tua VPN nell'ufficio, fai controlli in background sui dipendenti, assicurati che gli appaltatori non usino codice rubato o software piratato, nessuna password condivisa, hai AV su workstation, ecc. Ecc.

Formalizzare ciò che hai e vedere se si allinea con ciò che il cliente sta chiedendo potrebbe essere tutto ciò di cui hanno bisogno. Hai bisogno del buy-in da parte del tuo dirigente, ovviamente, e potrebbe doverti finanziare se i clienti hanno domande specifiche (prevenzione delle intrusioni, scansione delle vulnerabilità, ecc.).

Ricorda anche che la loro unica alternativa qui è di andare alla tua competizione. Se la tua competizione ha un infosec incredibile e un prezzo scontato, allora potresti avere un problema, ma è probabile che si trovino in un posto simile, quindi non preoccuparti di essere perfetto, fai il più possibile e prova a migliorare la situazione.

Questo accadrà di nuovo, e ancora e ancora, cliente dopo cliente. Spero che a quel punto avrai una persona infosec.

ISO 27001 è un documento molto leggero e richiede molta esperienza per comprendere e interpretare. Non penso che aiuterà molto. NIST e PCI potrebbero essere più utili in questa fase, ma questa è la mia opinione.

    
risposta data 30.08.2017 - 02:36
fonte
1

Se stai per iniziare un programma di sicurezza, dovrai definire l'ambito del programma. Probabilmente è meglio iniziare con un ambito limitato in modo da lavorare con qualcosa di gestibile. L'ambito potrebbe essere il ciclo di sviluppo e distribuzione, la protezione del sistema e la gestione della configurazione, la gestione degli utenti, la vulnerabilità e il test di sicurezza ecc. Partire da un piccolo ambito consente di apprendere e rendere realizzabile l'obiettivo finale.

Ciascuno dei domini di cui sopra ha processi e controlli standard del settore che dovrebbero essere presenti e li troverai in ciascuno dei framework NIST CyberSecurity, SANS Critical Security Controls, PCI DSS, ISO ecc. Se hai intenzione di allineati a uno standard del settore, dovrai sceglierne uno. Ognuno di quelli a cui mi riferisco è riconosciuto a livello internazionale. Suggerirei il NIST Cyber Security Framework poiché è ben presentato e digeribile. Puoi anche dare la priorità all'implementazione in base alle categorie di alto livello e la verifica è semplice.

Leggendo nuovamente la tua domanda, suggerirei di rivedere il requisito 6 del PCI DSS, in particolare 6.3, 6.5 e 6.6. Essendo una casa di sviluppo, questi sono gli standard industriali esatti che ci si aspetta di avere, ovvero sviluppo sicuro, formazione degli sviluppatori, revisione del codice, conoscenza delle vulnerabilità OWASP e capacità di mitigare tramite codifica difensiva, uso di librerie appropriate, configurazione dei sistemi ecc.

Dal punto di vista dell'audit, devi documentare ciò che fai (o dovresti fare) e assicurarti che controlli e processi siano allineati con la tua documentazione - se questi non si sincronizzano c'è un problema.

    
risposta data 29.08.2017 - 03:21
fonte
1

L'impostazione di un intero programma Info Sec è un'impresa enorme e potrebbe essere il caso di provare a mordere più di quanto tu possa masticare. Ti suggerirei di cercare l'assistenza di un CISSP per aiutarti a configurare un efficace programma di sicurezza delle informazioni.

Ci sono molte sfaccettature per mettere in piedi un programma di successo, e almeno sai già che non li conosci tutti. Ecco perché penso che tu abbia bisogno di qualcuno che capisca l'importanza di stabilire una politica di sicurezza completa e come usarla per guidare gli standard all'interno della tua organizzazione.

Internamente, per andare avanti, avrai bisogno di qualcuno responsabile dell'organizzazione degli sforzi, e qualcuno con abbastanza autorità per garantire che gli sviluppatori stiano effettivamente seguendo la politica. A seconda di altri requisiti contrattuali (PCI DSS, ad esempio), potrebbe anche essere richiesto di eseguire verifiche dei processi di sviluppo del software, fornire prove di dispositivi di sicurezza aggiornati, mappe delle reti e firewall, procedure di gestione delle chiavi di crittografia sicure, ecc.

Un professionista può almeno aiutarti a navigare in queste acque complesse, e forse fornire una stima migliore di quanto effettivamente costa alla tua azienda per arrivare al punto in cui sei almeno conforme ai termini dei contratti che hai cercare.

    
risposta data 29.08.2017 - 19:41
fonte
0

Una volta sono stato incaricato di fornire una stima sulla fattibilità di fare ISO 27001 per la nostra azienda (1-10 dipendenti). Non ho idea degli altri certificati, ma presumo che non siano così diversi.

Anche per un'azienda piccola è un lotto di lavoro. In realtà migliora quanto più sei grande (e più omogeneo è il tuo IT) Permettetemi di riassumere il processo generale:

Per cominciare, ciò che devi fare è compilare un elenco del tuo inventario completo, i tuoi dipendenti, i tuoi processi ... eccetera.

Ci sono numerosi strumenti gratuiti / commerciali per aiutare qui. Uno strumento esemplificativo è Verinice , esisteva qualcosa chiamato GSTOOL dal tedesco BSI, ora fuori produzione, ma hanno una bella lista di alternative disponibili qui: link .

Quando questo elenco (in realtà più simile a un grafico) è completato, è necessario passare attraverso l'elenco degli elementi e, a seconda di quale sia esattamente quell'elemento, lo standard fornirà una lista di problemi. Ancora una volta, dovrai lavorare su ognuno di questi checkpoint e dare una stima:

  • Sono in atto misure di sicurezza?
  • Possiamo ignorarlo a causa di qualsiasi motivo?
  • Quale sarebbe l'ambito del danno?
  • ...

Alla fine, questo probabilmente ti lascerà con una serie di punti deboli critici che sono troppo brutti da ignorare, puoi quindi iniziare a risolvere. Anche se non sta andando per la certificazione completa, l'intero processo è definitivamente un aprire gli occhi. Infine, per ricevere una certificazione, un revisore esterno verificherà le tue stime e si assicurerà che siano valide.

Verinice era gratuito e solo scaricarlo e giocarci ti dà una buona idea di come "funziona" nella realtà, c'è molto di più di ciò che potrebbe essere inserito in questa risposta.

    
risposta data 29.08.2017 - 14:33
fonte

Leggi altre domande sui tag