Esprimere il rischio di non avere una politica di sicurezza (ad es. ISO 27002, capitolo 5)

Naviga le tue risposte
2

Come posso esprimere la non conformità alla ISO 27002 capitolo 5 come un rischio?

Il principio di base di un ISMS secondo ISO 27001 è un approccio basato sul rischio. A seguito di ciò, ogni controllo dell'allegato A (ISO 27002) deve essere valutato e incluso o (con la ragione) escluso nella dichiarazione SOA.

Per i controlli pratici, è banale. Ma vorrei esprimere i primi capitoli che riguardano essenzialmente l'avere l'ISMS e i suoi documenti, come rischi (e preferibilmente, quantificarli).

In questo momento, la mia migliore idea è definire un meta-rischio di non avere un approccio unificato e definito alla sicurezza. Tuttavia, questo non crea rischi aziendali da solo. Potrei sostenere che aumenta la probabilità di altri rischi.

Sto cercando altre idee per affrontare questo problema. Se voglio esprimere, ad esempio, la non conformità alla norma ISO 27002 capitolo 5.1.1 come un rischio: quali sono i modi possibili per farlo?

    
posta Tom 21.03.2018 - 13:45
fonte

4 risposte

2

Questa domanda ha due tipi di risposte. Uno, che lo affronta direttamente. Il secondo, interroga la domanda stessa.

Discutiamoli uno per uno.

Per rispondere alla tua domanda, i rischi organizzativi per le sue informazioni avranno bisogno di un approccio sistematico che non può essere fatto in modo ad-hoc. Devono essere pensati e gestiti in modo appropriato. Da qui la necessità di un sistema di gestione (un sistema di processi per gestire la sicurezza delle informazioni).

Ora, un esercizio di valutazione del rischio non dovrebbe citare l'assenza di un controllo come un rischio. Questo, secondo il mio modesto parere, non è il modo corretto di fare la valutazione del rischio (non citare "mancanza di blocco" come un rischio. Si dice "possibile furto" come rischio). Questa è anche la ragione della tua confusione (nessun dis-rispetto inteso), perché la tua mente in qualche modo sa intuitivamente che questo non è il modo giusto. Questo, infatti, è l'opposto. Se si prende questa visione, si può finire per creare un sistema che verrà scartato dalle parti interessate o si troverà ad affrontare una resistenza rigida (perché non è intuibile, in quanto non è stato progettato in quel modo). Questo è anche uno dei motivi per cui la documentazione ISO 27001 in un'azienda a volte appare diversa dalla pratica reale!

Un'opzione migliore è: -

  • Definisci la tua attività e i suoi componenti. (Contesto)
  • Identifica le informazioni fondamentali per la tua attività. Ciò include anche i vostri obblighi legali, contrattuali relativi alle informazioni (ad esempio, alcuni paesi hanno leggi che richiedono di mantenere i dati finanziari per gli ultimi 10 anni. Un altro esempio, un contratto con il cliente che stipula che si tengano separati i suoi dati da tutti gli altri concorrenti che stai servendo, ecc.)
  • Disegna un flusso di informazioni nella tua azienda (questo è un esercizio molto grande e potrebbe richiedere molto tempo)
  • Identificare i rischi che potrebbero danneggiare la riservatezza, l'integrità e la disponibilità delle informazioni. Qui puoi prendere aiuto dagli strumenti di valutazione delle vulnerabilità e fare un test di penetrazione per la tua rete che contiene le informazioni che stai cercando di proteggere. Puoi utilizzare il rapporto VAPT come input per la valutazione del rischio.
  • Nessuna azienda ha 0 controlli. Devi avere alcuni controlli già presenti nel tuo sistema. Registrali contro i rischi rilevanti.
  • Ora identifica i controlli (fai riferimento a ISO 27001 Annexure o ISO 27002 per i dettagli) e mettili su ciascun rischio.
  • Preparare un piano d'azione per i rischi.
  • Implementa il piano di azione.

Sono sicuro che sarai in grado di adattare quasi tutte le clausole dei tuoi controlli perché, in seguito, si inseriranno intuitivamente.

    
risposta data 05.04.2018 - 09:48
fonte
3

Come ottimista direi: stai guardando a metà destra.

Hai ragione sul fatto che non avere una politica di sicurezza crea rischi.

Non hai ragione sul fatto che questo non include i rischi aziendali. La stessa ISO / IEC 27000 dice nel capitolo 3.6:

A large number of factors are critical to the successful implementation of an ISMS to allow an organization to meet its business objectives. Examples of critical success factors include the following:

a) information security policy, objectives, and activities aligned with objectives;

Per correggere ulteriormente la tua domanda: il rischio che l'organizzazione si trova ad affrontare non è non conforme alla norma ISO , il rischio risiede nelle conseguenze che derivano dal non avere una politica di sicurezza .

Quali sono queste conseguenze? Si tratta di minacce che la rispettiva organizzazione potrebbe affrontare a causa della non esistenza di una politica di sicurezza. ISO27005 ha alcuni esempi nell'allegato C sotto "Compromesso di informazioni" o "Azioni non autorizzate". Vedi l'allegato D per l'accoppiamento con le vulnerabilità per rendere le cose perfettamente chiare.

Ad esempio:

Lack of procedures for classified information handling - Error in use

Questa vulnerabilità e la minaccia accoppiata corrispondono a una politica mancante per la gestione delle informazioni classificate. Un'organizzazione ha bisogno di una politica del genere, che descrive come vengono gestite le informazioni classificate e chi vi ha accesso in quali circostanze, ecc. Dopo che una politica è stata elaborata e presentata a tutti i dipendenti, deve essere applicata in gradi diversi .

Se non ci sono criteri - > non può essere applicato - > non ci possono essere procedure - > le informazioni classificate verranno gestite male = > ad esempio: i dipendenti non fanno a pezzi i file segreti prima di buttarli via.

(Puoi trovare tutto questo nel capitolo 8.2 della norma ISO / IEC 27002.)

Quindi come descrivi il rischio alla fine?
Esattamente come descriveresti qualsiasi altro rischio. L'unica differenza è che questo è molto più incisivo. Segui semplicemente il processo di valutazione del rischio in ISO / IEC 27005 e immagina un'organizzazione che non ha criteri di sicurezza.

È tutto nelle norme, devi solo cercare sapere dove.

    
risposta data 22.03.2018 - 18:46
fonte
1

Senza un approccio unificato e definito alla sicurezza, l'azienda, il personale e i processi continuano a fornire una determinata funzione aziendale senza alcuna struttura di riferimento per come dovrebbero contribuire alla sicurezza in corso del business.

Questo è un rischio in quanto manca una guida o quadri coerenti per garantire che i processi siano implementati, mantenuti, revisionati, sottoposti a regressione e migliorati in modo sicuro.

Senza politiche, tutto è organico, ad hoc, caotico. Se può essere rivisto e dimostrato di essere strutturato e allineato alle best practice del settore, ciò probabilmente sarà solo un caso.

    
risposta data 22.03.2018 - 17:12
fonte
0

Nella misura in cui lo capisco, il tuo approccio sembra sano (anche se non lavoro in un ambiente ISO 27002). Il punto in cui non sono d'accordo è quando dichiari che non vi è alcun rischio per l'azienda di non avere una strategia di sicurezza.

Se non hai una strategia di sicurezza, non puoi investire razionalmente in sicurezza. In assenza di un approccio coerente e di uno stato obiettivo / obiettivo, gli investimenti in titoli verranno allocati arbitrariamente. Alcune aree saranno trascurate, mentre altre saranno duplicate. Gli avversari ti faranno sapere dove non sei riuscito a investire.

Se non hai una strategia, la probabilità che la sicurezza impedisca / comprometta la tua missione è così alta da essere una certezza virtuale.

Come ho detto, non lavoro in un ambiente ISO, ma quello sarebbe il mio approccio. Spero che ti aiuti almeno un po '.

    
risposta data 22.03.2018 - 10:46
fonte

Leggi altre domande sui tag

Perché due token CSRF (campo nascosto e cookie) sono necessari per mitigare gli attacchi CSRF? Master Password vs Passphrase