Come si misura la conformità alle politiche di sicurezza delle informazioni?

Una buona politica di sicurezza delle informazioni dovrebbe indicare chiaramente una serie di cose. Almeno il seguente:

1. Il motivo per cui è stato implementato
2. i suoi obiettivi
3. il suo ambito
4. i suoi confini (le cose a cui non si applica)
5. deselezionare i requisiti relativi alle risorse che fanno parte dell'ambito
6. controlli che soddisfano questi requisiti
7. responsabilità

Ci sono (almeno) due tipi di politiche che sono auto-scritte. Quelli che impostano le regole organizzative e quelle che impostano le regole tecniche. Questi ultimi sono talvolta denominati "standard" o "linee guida", ad esempio "Linee guida per la configurazione di Windows Server 2012". Se sei la persona che sta dando dei nomi, prova a dare lo stesso nome per i criteri con lo stesso ambito.

Un criterio molto piccolo che imposta le regole organizzative potrebbe assomigliare a questo.

1. Employees noticed that visitors tend to stare at their screens
2. To reduce screen staring this policy will be implemented
3. This policy applies to employees of level 1
4. It does not apply to employees of level 2 and 3
5. & 6 All employees are required to lock their screens if they have a visitor in their office. If the visitor needs to look at the screen, because of business reasons, employees have to make sure, that the visitor is only able to see what she needs to see. This can mean to close all other windows, even if this harms productivity while the visitor is there.

7 managers are required to monitor this behavior on a sample basis.

Come puoi misurare la conformità con le politiche che impostano le regole organizzative?

Non puoi davvero. ^{(e anche auditing)}

Puoi chiedere ai dipendenti se sono conformi alla politica. Da un lato questo è rischioso, perché i tuoi dipendenti spesso risponderanno come pensano che sia socialmente previsto, così come i loro manager. D'altra parte se il processo di richiesta è completo, questo può dare buoni risultati. Se i dipendenti non devono necessariamente temere il contraccolpo se non rispettano una politica, saranno più onesti. Un bell'effetto collaterale: puoi anche chiedere loro perché non seguono le regole date. C'è spesso una discrepanza tra come i processi sono pianificati e costruiti - e come sono "vissuti". Potresti testare i dipendenti riguardo a ciò che sanno su una politica e i suoi dettagli. Ma poi saprai solo se conoscono circa della politica, non se applicano le regole che sono impostate lì.

A causa di questi problemi, alcune organizzazioni fanno quanto segue: quando si tratta di politiche che stabiliscono regole organizzative.

1. implementa la politica
2. i dipendenti devono firmare dichiarazioni che rispetteranno le politiche pubblicate a livello aziendale e che si applicano a loro
3. pubblica le politiche a livello aziendale e / o ai rispettivi gruppi

Come puoi misurare la conformità con le politiche che definiscono le regole tecniche?

Auditing.

Il modo migliore per farlo è controllo . Ci sono tutti i tipi di audit con tutti i tipi di scopi diversi. Se si desidera misurare se i controlli sono efficaci (= soddisfare i requisiti) e se sono stati implementati correttamente, è necessario assumere un revisore o cercare tecniche di auditing. Suggerirei di assumere perché 1) gli audit sono noiosi e 2) avere una prospettiva esterna può essere molto utile per trovare difetti nei processi e nei controlli.

Arriva al punto! In che modo gli auditor misurano la conformità?

Bene ... ci sono diverse tecniche che dipendono davvero da ciò che si vuole misurare.

Esiste la base: X macchine di Y, quindi Z% ha vulnerabilità con un punteggio CVSS di 7 o superiore. - Misurerai la conformità con una politica che stabilisce le regole con regolari scansioni di vulnerabilità. La conformità per la maggior parte del tempo si riduce a "sì / no / in parte". Le regole che sono state impostate in una politica potrebbero essere simili a quelle che puoi vedere qui .
Ad esempio:

"The auditor should verify that management has controls in place over the data encryption management process. Access to keys should require dual control, keys should be composed of two separate components and should be maintained on a computer that is not accessible to programmers or outside users. Furthermore, management should attest that encryption policies ensure data protection at the desired level and verify that the cost of encrypting the data does not exceed the value of the information itself. All data that is required to be maintained for an extensive amount of time should be encrypted and transported to a remote location. [...]"

Questi possono essere misurati molto facilmente con interviste di esperti e audit tecnici. Ad esempio: quale versione di TLS è in uso, come vengono crittografati i dati di backup, ecc.

Ci sono anche obiettivi più complessi che possono essere impostati prima di un audit, ma probabilmente non sono ciò che stai cercando, perché richiedono audit e processi complessi. Normalmente queste cose non sono impostate tramite le politiche.

Alla fine, tutto dipende dall'auditor e dalla tecnica che sceglie. Se assumi qualcuno, disponilo in anticipo.

Se non si sceglie di effettuare la verifica, è necessario definire la quantità di rischio ridotta dopo l'implementazione di una politica e: 1) i dipendenti non sono a conoscenza della politica, 2) i dipendenti rispettano sempre la politica e tutti i vari gradi tra questi due.

Suggerirei di utilizzare gli obiettivi SMART per misurare le prestazioni in modo efficace e accurato.

Assicurati di avere le risposte per le seguenti domande quando definisci l'obiettivo / KPI SMART:

L'obiettivo S è specifico?

L'obiettivo M è facile?

L'obiettivo A è visibile?

L'obiettivo R è elevato?

Questo obiettivo T è specifico?

Di seguito sono riportati alcuni esempi di tali obiettivi / KPI SMART:

AlcuniesempisuSMARTKPI/Obiettiviperlaconformità:

Fonte: link