I'm new in this company but I'm the only one interested in security here.
Se la frase in grassetto è letteralmente vera, sei già nei guai e potrebbe non essere in grado di essere efficace nell'implementare le tue idee. La sicurezza IT non è, e non dovrebbe, essere la responsabilità di un singolo individuo. Se la cultura della sicurezza del tuo ambiente di lavoro è lassista, come sembra, a meno che la direzione non decida di dare priorità alla sicurezza, la sicurezza non sarà un investimento importante visto come valore aggiunto per l'azienda.
In qualità di revisore IT, la mia esperienza è stata che una politica di sicurezza IT aziendale adottata e modellata dal senior management è essenziale. Ti consigliamo di considerare prima di utilizzare la gestione per adottare innanzitutto una politica di sicurezza IT piuttosto che implementare comandi a caso.
Una buona politica di sicurezza IT dovrebbe in generale definire aspettative di gestione in aree come
- L'aspettativa dei dipendenti di impegnarsi a proteggere beni e dati aziendali.
- Come verrà applicata la politica
- Quali conseguenze possono derivare dalla violazione della politica
- Come devono essere classificati i beni aziendali per il loro "valore" per l'azienda
Solo dopo aver saputo quali beni saranno di maggior valore e in che modo la direzione vede la propria missione nel proteggere tali beni, i controlli di sicurezza saranno efficaci. Dopo aver appreso la posizione del management sulla sicurezza IT come descritto all'interno di un documento di policy, il passaggio successivo dovrebbe essere una valutazione del rischio. In sostanza, in questa fase si desidera rispondere alle seguenti domande:
- Quali minacce / fonti di attacco potrebbero mettere in pericolo le risorse preziose identificate?
- Quanto è probabile che si verifichino tali attacchi?
- Se un attacco è riuscito, quanto può essere grave il danno risultante? (Impatto)
- Quali fattori attenuanti, se esistono, sono già in atto per ridurre l'impatto? (controlli compensativi)
Solo dopo aver completato una valutazione del rischio, i controlli di sicurezza possono essere significativamente raccomandati alla direzione da attuare. Detto questo, manca la "cultura della sicurezza IT" nella tua azienda, vedo alcuni controlli che possono essere preziosi in base alle informazioni limitate che hai fornito.
One of our sites are accessible from outside but we do not manage such redirection, another company is tasked to manage the network
Dato che la gestione della rete è esternalizzata a una terza parte, si desidera verificare i controlli attorno a quanto segue:
- Termini contrattuali: il monitoraggio della SLA e il diritto alla revisione sono essenziali
- Accesso fornitore alla rete - In che modo viene gestito il provisioning degli accessi e il deprovisoning?
- Autenticazione utente - In che modo il venditore autentica le identità di quegli utenti che provengono da Internet non fidata verso l'applicazione aziendale di fronte al Web pubblica?