Sono un tester di software, InfoSec è per lo più tangenziale al mio lavoro, e le persone mi fanno solo domande su InfoSec perché non ho paura di usare Google o Stack Exchange quando non so qualcosa. (che è la maggior parte delle volte)
Il nostro responsabile delle operazioni USA desidera avere una conversazione con me per ulteriori informazioni sulla sicurezza delle informazioni. Ha ricevuto un'email da un potenziale cliente nel settore finanziario che include questa sezione:
(a) ACME will ensure its information security program (“Info Security Program”) is designed and implemented, and during the term of this Agreement will continue to be designed and implemented, to: (1) reasonably and adequately mitigate any risks identified by either of the parties related to the Software and Services, and the protection of Customer Confidential Information disclosed to ACME or ACME Personnel, and (2) describe and report on its own risk assessments, risk management, control, and training of ACME Personnel in compliance with the Info Security Program, security oversight regarding ACME Personnel, and the process for the annual certification of the Info Security Program. ACME will safeguard against the destruction, loss, alteration, or unauthorized disclosure of or access to Customer Confidential Information in the possession of ACME Personnel, including through the use of encryption while transmitted or in transport, or while being stored, processed or managed on ACME equipment when such encryption required by Law, is advised by industry standards for similar products or services, or is required in an Transaction Document (collectively, the “Data Safeguards”). ACME will ensure that the Info Security Program is materially equivalent to Customer’s own information security standards in place from time to time applicable to the risks presented by the Products or Services (collectively the “IS Standards”). The parties may redefine the term “IS Standards” to mean any industry-recognized standard or testing protocol (e.g., NIST, ISO 27001/27002 or SSAE, AT101), if expressly set forth in an SOW.
Questo linguaggio è così spaventoso che prima ho fatto una cacca nei miei pantaloni e poi ho creato un account security.stackexchange.com per chiedere un consiglio perché non so nemmeno da dove cominciare. Siamo una piccola azienda di software (meno di 40 persone) che è abbastanza fortunata da avere un certo successo commerciale, e non siamo incuranti della sicurezza, ma non abbiamo ancora alcun programma di sicurezza delle informazioni formale.
Alcune domande:
- Qualcuno può tradurre la citazione sopra in inglese comune?
- Ho letto qualcosa sulla certificazione annuale, sarebbe giusto dire che la nostra azienda dovrebbe utilizzare un auditor di sicurezza di terze parti e lasciare che ci dicano cosa dovremmo fare?
- Chi all'interno della nostra organizzazione sarebbe in genere responsabile dell'implementazione di un programma di sicurezza delle informazioni?
- Sto pensando di raccomandare di acquistare ISO27001 (intendo il vero file PDF che contiene il testo di quello standard, che può essere acquistato per 166 franchi svizzeri dal negozio iso.org), ma chi dovrebbe leggerlo? (correlato alla domanda precedente)
Informazioni di base:
- Raccogliamo le informazioni CRM tipiche per poter inviare fatture.
- Non raccogliamo informazioni sensibili, come i dati sugli utenti / clienti dei nostri clienti.
- Il nostro team di supporto potrebbe richiedere dati di esempio per la risoluzione dei problemi e chiederà sempre dati "fittizi" o disinfettati che riproducano il problema a portata di mano.
Questa domanda non è un duplicato di Come comunicare la sicurezza del sistema ai clienti del tuo datore di lavoro . Questi post riguardano come comunicare ai clienti: sappiamo già che, poiché il cliente ci ha già detto quale tipo di comunicazione desiderano, hanno menzionato un rapporto di tipo 1 SOC. Inoltre, non è un duplicato di Come ottenere il top management supporto per i progetti di sicurezza? perché il supporto alla gestione è facile nel nostro caso: ottieni la certificazione di sicurezza o perdi i grandi contratti.