La mia azienda ha una certificazione ISO 27001 . Mi hanno fornito un nuovo laptop con sistema operativo Windows 8. Ho chiesto se posso avere un sistema operativo Linux / Ubuntu installato, hanno detto che non è possibile a causa della ISO 27001 standard.
È vero o il personale tecnico dell'azienda non sa come installare Linux / Ubuntu?
Uno dei requisiti ISO 27001 è la gestione del controllo dell'accesso alle risorse IT dell'azienda.
Se installi Ubuntu sul tuo laptop, tutto il controllo degli accessi sarà gestito direttamente da te, invece che dalla tua azienda. Quindi, ad esempio, quando il tuo manager vorrà licenziarti, il tuo reparto IT non sarà in grado di bloccare l'account del tuo laptop locale in un momento opportuno.
Naturalmente Linux può essere collegato a sistemi di autenticazione centralizzati (AD, IPA, CAS ecc.), ma prima è necessario che il dipartimento IT sviluppi le competenze richieste (un singolo dipendente sapendo come farlo non è sufficiente poiché tutti gli standard ISO richiedono processi scritti, ripetibili e verificabili).
D'altro canto, le conoscenze su come connettere Windows ad AD e implementare un'autenticazione centrale sono più o meno comuni nell'IT, quindi probabilmente la tua azienda ha già processi ISO per questo. Pertanto, ti consentono di utilizzare solo Windows.
La ISO 27001 * riguarda la documentazione di ciò che fai, come lo fai e quali controlli hai in atto per verificare che le cose siano come dovrebbero essere. Ciò significa che le installazioni tipiche dei laptop sono molto, molto standardizzate con modelli conosciuti (come farlo). È probabile che i PC vengano installati in Active Directory con GPO applicati e monitorati in loco (AV, firewall, ecc.) Per scopi di controllo.
Tutto quanto sopra significa che non installeranno la tua distribuzione preferita o software anche sul tuo laptop, anche se sapranno come farlo.
* questo è nel contesto delle installazioni di software e in pochissime parole, ci sono interi libri dedicati all'argomento.
Questo dipende interamente dalle politiche e dagli standard della tua azienda. ISO 27001 è un sistema per la gestione della sicurezza, ma ha pochi requisiti rigidi per ciò che dicono effettivamente le politiche e gli standard.
Lavoro per una società ISO 27001 che consente al personale tecnico di eseguire l'installazione autonoma di un sistema operativo alternativo. Ci sono alcuni requisiti tecnici (hardware aziendale, crittografia del disco, ecc.) Ma una volta incontrato l'autoinstallazione viene trattata come un'installazione aziendale. Mi aspetto che questo accordo sia un caso piuttosto raro. Alcune aziende consentono il BYOD (portare il proprio dispositivo) anche se in genere i dispositivi BYO hanno accesso limitato.