La ISO 27001 consente a un'azienda di utilizzare FTP?

12

In un progetto ho dovuto utilizzare l'FTP non protetto per connettersi al provider di hosting, non SFTP, non FTPS. Il provider di hosting afferma con orgoglio di essere certificato ISO 27001. In qualche modo tutto questo mi sembrava del tutto sbagliato.

Is it possible that a company gets ISO 27001 certification while still heavily making use of insecure protocols like FTP?

Non sono più in questo progetto, non ho avuto una risposta adeguata quando ho chiesto in passato e sicuramente non avrò una risposta se lo chiedo al fornitore di servizi su questo ora.

Sono principalmente interessato a sapere come funziona in relazione alla ISO 27001 - e di conseguenza a quanto valore posso inserire in questa certificazione.

Chiunque emette queste certificazioni è indifferente a un'organizzazione che utilizza FTP? O è più probabile che il fornitore di servizi tenga queste informazioni lontane dal certificatore?

Personalmente non mi fido di nessun provider di servizi Internet che utilizza ancora FTP per qualcosa. Per non parlare di fornirlo come l'opzione principale per i loro clienti.

(Conosco la differenza tra FTP, SFTP e FTPS - bene la differenza tra questi ultimi 2 un po 'meno ma è oltre questa domanda.)

Correlati ma non duplicati:

UPDATE: i dati non protetti sono stati trasmessi su un canale non sicuro. Con un uomo in mezzo all'attacco, abili aggressori sarebbero stati facilmente in grado di accedere alla rete interna dell'istituzione (non fornirò dettagli qui, ma wow ... probabilmente avrei potuto farlo da solo - e io " non sono un pro pentito con qualsiasi mezzo). Il fornitore di servizi deve esserne a conoscenza.

    
posta guaka 29.10.2015 - 12:35
fonte

1 risposta

20

ISO 27001 non specifica quali protocolli dovrebbero essere usati e come dovrebbero essere usati, specifica come un'organizzazione dovrebbe strutturare il suo apparato di sicurezza delle informazioni. Un'organizzazione certificata ISO 27001 deve disporre di politiche in atto e procedure per assicurarsi che le politiche siano rispettate.

Anche la ISO 27001 ha uno scopo definito dall'organizzazione che può fare un'enorme differenza sull'impatto della certificazione. Una certificazione che copre la macchina da caffè abilitata alla rete è leggermente diversa da quella che copre l'intera azienda. La certificazione ISO 27001 nel caso della tua domanda potrebbe non avere il server FTP in ambito.

L'FTP è perfettamente accettabile da utilizzare nei casi in cui i dati trasferiti sono pubblici o ci sono altri controlli in atto per proteggere i dati. Se i dati vengono crittografati prima del transito e vi è un buon sistema di verifica per garantire che i dati non vengano manomessi, inviarli su un canale non crittografato è ok. Dal punto di vista ISO 27001, se l'organizzazione ha eseguito una valutazione del rischio e ha seguito un processo per mitigare il rischio, allora ha fatto quello che dovrebbe fare.

    
risposta data 29.10.2015 - 14:09
fonte

Leggi altre domande sui tag