Come dovrebbe un approccio di avvio di medie dimensioni per la sicurezza e la conformità delle informazioni?

6

La situazione: Una startup SaaS affermata con 100 dipendenti, un grande team di sviluppo e diversi ingegneri di reti autodidatta. La nostra attività consiste nel gestire sia le informazioni personali che i dati di pagamento.

Poiché siamo cresciuti e dato il crescente focus su infosec, abbiamo ricevuto più richieste da parte dei clienti per conformità ISO e NIST, rapporti SOC 2 e la minaccia incombente di PCI.

A questo punto la nostra infrastruttura è ragionevolmente sicura, ma le politiche e le procedure sono molto verdi e la maggior parte viene implementata ad hoc per soddisfare una domanda dei clienti.

La mia domanda è: in che modo un'azienda deve avvicinarsi allo sviluppo di un programma di conformità per la sicurezza più maturo e quali sono i costi ragionevoli per un business di queste dimensioni da spendere?

La maggior parte dei consulenti consiglia di iniziare con una valutazione del rischio per la sicurezza, quindi l'analisi del gap e la consultazione, se necessario, per sviluppare la policy fino a quando non sono conformi.

Gli avvocati raccomandano di lavorare direttamente con un'azienda per tutto. A queste dimensioni, un'azienda dovrebbe iniziare a pensare di assumere uno specialista dedicato per la conformità della sicurezza a un massimo di $ 120.000 l'anno? O è solo questione di dire agli ingegneri di rete di abbandonare i loro progetti e iniziare a lavorare su ISO e NIST per i prossimi mesi?

TLDR: qual è un approccio ragionevole per iniziare a creare un programma di conformità per la sicurezza maturo per un'azienda di piccole e medie dimensioni? I consulenti sono un must o richiede solo olio di gomito? Dove devono essere spesi i soldi , dove è una buona idea da spendere e che spreco?

    
posta InfoSec Newb 22.01.2018 - 02:18
fonte

2 risposte

3

Innanzitutto, se non sei conforme allo standard PCI-DSS e stai elaborando le informazioni di pagamento, elimina tutto e risolvilo prima . Se si affronta questo in modo efficace, è possibile sfruttare le attività di conformità per creare un'infrastruttura di sicurezza delle informazioni più ampia per la propria organizzazione. Questo è il tuo primo divario!

Sono stato dove sei.

Anche se normalmente la valutazione del rischio è dove le organizzazioni dovrebbero iniziare (e dovresti fare una!), la mia ipotesi è che sarà solo una distrazione per te nel tuo stadio di sviluppo. Hai un compito più immediato a portata di mano.

Non dovresti vedere PCI-DSS come una minaccia, ma un'opportunità da abbracciare. È necessario adottare PCI-DSS e (SOC 2) come strumento per definire cosa si dovrebbe fare e l'infrastruttura di cui si ha bisogno per essere conformi. Non "lesinare" su questo passaggio, ma assumerlo come requisito normativo per soddisfare frontalmente e soddisfare pienamente.

Questa attività esiste a parte il rischio come qualcosa che "ha solo bisogno di essere fatto". Concentrarsi su questo all'inizio rimuove i dibattiti e le tensioni politiche. Sia PCI-DSS che SOC 2 richiedono revisori esterni e guida esperta. Spendi tempo e denaro per queste cose, per iniziare.

Sarebbe ancora meglio (per processi e rischi sicuri) se si usassero i framework ISO 27001 e / o NIST per progettare prima un approccio per il quale PCI-DSS e SOC 2 possono avere un luogo, ma questo non è semplicemente efficiente per le piccole imprese, e non dove il valore immediato può essere trovato. Se riesci a fare bene i primi passi e ad ottenere successo e valore, avrai più tempo per fare le cose più grandi.

Sono un fan della sicurezza "Agile": fai in modo che tutte le tue esigenze vengano mappate come le capisci adesso, ma prima affronta le aree critiche (alla luce delle prossime esigenze). Per te, hai problemi di sicurezza tecnica da affrontare prima (PCI-DSS). Progettare gli approcci per rispondere a tali esigenze alla luce di un quadro più ampio, ma prima di tutto rivolgetevi a tali esigenze! Quindi crea iterativamente da lì.

    
risposta data 22.01.2018 - 12:09
fonte
2

La valutazione del rischio è d'obbligo. La decisione su quanto vuoi spendere per il processo sarà in parte basata sul risultato dell'analisi del rischio, quindi è una linea di base che dovrai fare.

Se dovresti lavorare con consulenti esterni dipende principalmente dal fatto che i tuoi clienti e le autorità di regolamentazione richiedano un audit formale con un certificato di conformità da parte di un valutatore qualificato o se possano accettare un audit informale basato su quegli standard di revisione . Se i vostri clienti / regolatori richiedono un certificato formale, non avete altra scelta che lavorare con un consulente esterno.

Oltre a questo, è solo questione di avere un dipendente disposto a studiare i documenti di revisione pertinenti e se hai fretta di fare audit. Ricorda che è necessario dedicare più tempo al dipendente per studiare gli standard di revisione mentre un valutatore qualificato dovrebbe già averne familiarità. Questo tempo di allenamento dovrebbe essere incluso nei calcoli dei costi quando si decide se andare con un consulente.

Un controllo, anche con un consulente qualificato, può richiedere mesi per essere completato. Devi assicurarti che chiunque ti assegni faccia effettivamente l'audit dal ruolo principale per quel lasso di tempo.

    
risposta data 22.01.2018 - 04:01
fonte

Leggi altre domande sui tag