In un progetto ho dovuto utilizzare l'FTP non protetto per connettersi al provider di hosting, non SFTP, non FTPS. Il provider di hosting afferma con orgoglio di essere certificato ISO 27001. In qualche modo tutto questo mi sembrava del tutto sbagliato.
Is it possible that a company gets ISO 27001 certification while still heavily making use of insecure protocols like FTP?
Non sono più in questo progetto, non ho avuto una risposta adeguata quando ho chiesto in passato e sicuramente non avrò una risposta se lo chiedo al fornitore di servizi su questo ora.
Sono principalmente interessato a sapere come funziona in relazione alla ISO 27001 - e di conseguenza a quanto valore posso inserire in questa certificazione.
Chiunque emette queste certificazioni è indifferente a un'organizzazione che utilizza FTP? O è più probabile che il fornitore di servizi tenga queste informazioni lontane dal certificatore?
Personalmente non mi fido di nessun provider di servizi Internet che utilizza ancora FTP per qualcosa. Per non parlare di fornirlo come l'opzione principale per i loro clienti.
(Conosco la differenza tra FTP, SFTP e FTPS - bene la differenza tra questi ultimi 2 un po 'meno ma è oltre questa domanda.)
Correlati ma non duplicati:
UPDATE: i dati non protetti sono stati trasmessi su un canale non sicuro. Con un uomo in mezzo all'attacco, abili aggressori sarebbero stati facilmente in grado di accedere alla rete interna dell'istituzione (non fornirò dettagli qui, ma wow ... probabilmente avrei potuto farlo da solo - e io " non sono un pro pentito con qualsiasi mezzo). Il fornitore di servizi deve esserne a conoscenza.