Qual è uno standard di revisione appropriato per uno studio legale?

9

Sono un amministratore IT presso uno studio legale. Gestiamo dati sensibili dei clienti e alcuni registri sanitari. Mi piacerebbe davvero che un consulente esterno valuti le nostre pratiche di sicurezza dei dati, ma non sono sicuro di cosa chiedere.

Mi rendo conto che la vera risposta è "Dipende dal contesto normativo in cui ci si imbatte, HIPAA, SOX, PCI-DSS ecc."

Ma la mia domanda è rivolta alla comunità, esiste uno standard di sicurezza generale che sarebbe appropriato per le impostazioni generali dell'ufficio?

Non rientriamo specificamente in nessuno dei quadri normativi citati in precedenza, ma non fare nulla non è una buona opzione.

    
posta SLY 10.02.2011 - 01:24
fonte

4 risposte

6

Dovrai esaminare il Data Protection Act (o il suo equivalente nella tua giurisdizione) in quanto stabilisce le linee guida per la protezione dei dati personali sensibili, che include dati medici. La formulazione in esso contenuta, e in documenti simili, è piuttosto fiacca - usando frasi come "protezione adeguata" - che non è utile, ma fondamentalmente si propone di spingere le organizzazioni a dover valutare cosa dovrebbero fare per questi dati.

Anche la famiglia ISO27000 è ora un set abbastanza utile di standard di settore. ISO27002 è appropriato per quasi tutte le organizzazioni, quindi anche se potresti non essere in grado di certificare la tua organizzazione come conforme a 27002, puoi utilizzarlo come elemento chiave.

Controlla ISF , e in particolare il loro standard di buona pratica. Per citare l'ISF:

The Standard represents part of the ISF's information risk management suite of products and is based on a wealth of material, in-depth research, and the extensive knowledge and practical experience of ISF Members worldwide.

The Standard is updated at least every two years in order to:

respond to the needs of leading international organisations refine areas of best practice for information security reflect the most up-to-date thinking in information security remain aligned with other information security-related standards, such as ISO 27002 (17799), COBIT v4.1 and PCI/DSS • include information on the latest ‘hot topics’.

L'altro modo per farlo è quello di convincere i partner dello studio legale a valutare il loro rischio / responsabilità / danno reputazionale se i record dei clienti sono stati danneggiati, persi o pubblicati. Questo può rendere più facile l'acquisto per definire i tuoi requisiti di sicurezza.

    
risposta data 10.02.2011 - 02:15
fonte
10

Entrambe le risposte di cui sopra sono bang sul denaro, ma vorrei solo aggiungere il seguente avvertimento. Gestisco un'azienda di servizi di regolamentazione e ci ottengo certificati ISO 27001. L'unica cosa che vorrei comunicare a chiunque stia pensando di diventare certificata è di ricordare che essere certificati a uno standard non è come acquistare un talismano magico che scongiura il male (e cause legali). Poiché questi standard non sono obbligatori e la certificazione è volontaria, la tua protezione in tribunale contro i risarcimenti legali si riduce sempre alla dovuta diligenza.

In altre parole, se un magistrato pensa di aver fornito informazioni riservate a un'esposizione indebita, allora sarai avvitato, indipendentemente dal fatto che tu abbia o meno la ISO 27001. Tuttavia il punto di certificazione, e questo è davvero importante da ricordare, è che per ottenerlo devi essere totalmente metodologico e attento e elencare tutte le tue responsabilità, valutarle e affrontarle con azioni correttive. Ciò significa che alla fine del processo di certificazione la tua azienda sarà molto più vigile e "indurita" a prendere in prestito un termine per il sysadmin.

Sono prevenuto verso ISO 27001 rispetto a SOX ecc. perché è generalmente accettato che la ISO copra i requisiti per praticamente tutti gli altri standard. Il PCI ha alcune stranezze, come la separazione delle strutture di elaborazione e altri standard possono essere prescrittivi su particolari cose, ma è comunque possibile imporle all'interno di un framework ISO, e probabilmente lo farai meglio nello stesso momento.

Un ultimo punto che è stato anche menzionato tangenzialmente, è che un buon sistema basato sulla valutazione del rischio ti farà risparmiare denaro. Prima che iniziassi a farlo, volevo il firewall più costoso, il lettore di schede più intelligente, il failover perfetto per più siti e non potevo fare a meno delle specifiche. Ma quando hai fatto una valutazione del rischio adeguata, inizi a capire che in realtà non eliminerai completamente il rischio, quindi dalla legge dei rendimenti decrescenti è meglio spendere i tuoi soldi con saggezza piuttosto che puntare alla massima protezione. Alla fine della giornata, una delle maggiori vulnerabilità sono i tuoi dipendenti. Quindi salva i soldi della tua azienda e organizza alcune sessioni di formazione del personale.

    
risposta data 12.02.2011 - 19:08
fonte
5

Espandendo sull'ultima piccola frase della risposta di @ Rory, potresti voler riconsiderare il tuo approccio - invece di cercare una regolamentazione appropriata che puoi usare, chiedi al tuo consulente esperto di eseguire un'analisi di sicurezza focalizzata sui rischi basata sul business .

Vale a dire, non preoccuparti degli standard generici, concentrati invece su ciò che è importante per il tuo business - potrebbe includere il furto di informazioni sensibili sui clienti, l'indisponibilità dei record (che potrebbe impedire ore continuative fatturabili), danni alla reputazione e così via. La revisione potrebbe quindi concentrarsi su questi aspetti e, in base alla stima del loro valore, esaminare i modi in cui questi sono vulnerabili ai danni.

(Naturalmente la revisione della sicurezza dovrebbe anche identificare eventuali regolamenti o leggi applicabili, se ce ne sono alcuni - questo naturalmente può essere il più grande rischio per il business.)

Ciò fornirebbe il più grande botto (o la sua mancanza) per il tuo buck / quid di sicurezza.

    
risposta data 10.02.2011 - 08:35
fonte
1

Riteniamo che alcuni dei nostri clienti legali si stiano muovendo verso la ISO 27001. Per questo motivo abbiamo creato una roadmap (o guida). Sentiti libero di scaricarlo e usarlo come riferimento se stai considerando la mossa in quella direzione.

ISO 27002 (ex ISO 17799) è una "raccolta" di controlli di sicurezza (spesso definiti best practice) che vengono spesso utilizzati come "standard di sicurezza".

ISO 27001 è un sistema di gestione della sicurezza delle informazioni (ISMS) - un processo logico e strutturato grazie al quale un'azienda può determinare quali controlli di sicurezza (in gran parte dalla raccolta ISO 27002) deve essere implementato al fine di mantenere il rischio di sicurezza delle informazioni un livello accettabile Questo approccio evolve ISO 27002 definendo un processo formale e di audit per determinare quali controlli sono rilevanti e la misura / il rigore necessari per tali controlli.

    
risposta data 20.06.2011 - 21:34
fonte

Leggi altre domande sui tag