TVRA dovrebbe essere fatto fisicamente andando al datacenter?

1

Come fornitore SaaS, vorremmo essere conformi ai requisiti dei nostri potenziali clienti basati a Singapore. E l'Autorità monetaria di Singapore impone un TVRA (Threat and Vulnerability Risk Assessment) da eseguire annualmente sui data center che ospitano e gestiscono i dati delle istituzioni finanziarie con sede a Singapore.

  • Per condurre la TVRA, è necessario visitare fisicamente il datacenter o possiamo inviare al nostro centro di colocation un questionario i controlli di sicurezza fisica impiegati presso la DC e rivedere i loro risposte e prove? Qual è la prassi generale standard del settore?
posta Sree 19.07.2018 - 08:38
fonte

2 risposte

1

Come sempre: dipende .

Da cosa dipende? Il tuo livello di fiducia e il tuo livello di propensione al rischio . Ti fidi dell'operatore della DC di rispondere onestamente a un questionario e quali rischi sei disposto a prendere al riguardo? Puoi iniziare inviando il questionario, come avevi già programmato. Alcuni partner commerciali considerano le domande come indecenti, quindi gestiscile con cura.

Le risposte dell'operatore potrebbero portare a una violazione del contratto, quindi le domande devono essere formulate correttamente. Entra in contatto con il tuo ufficio legale e / o dai un'occhiata al contratto che hai con l'operatore.

Ci sono diverse reazioni che potrebbero portarti a creare più fiducia o perdere la fiducia nel tuo appaltatore. Rendi le aspettative chiare internamente per diversi scenari e fissa obiettivi, come faresti in ogni altro progetto. Se tutte le risposte sembrano troppo belle per essere vere, prenota un volo. Se tutto sembra terribile, non prenotarne uno e pensa a risolvere il contratto.

    
risposta data 19.07.2018 - 09:26
fonte
0

Qualsiasi tipo di TVRA o RA per quella materia dovrebbe essere fatto andando al sito. Inoltre, ritengo che sia necessario esaminare anche le politiche, i processi o le procedure esistenti per la sicurezza fisica, la sicurezza informatica, il ripristino di emergenza, la continuità operativa, la risposta alle emergenze, ecc. Per valutare l'efficacia delle misure di controllo volte a mitigare le minacce identificate / vulnerabilità / rischi / impatti.

Certo, la DC può fornire manuali o SOP che coprono le aree sopra indicate come precursore della visita al sito per valutare / condurre la TVRA, ma bisogna vederli in gioco sul sito per valutare l'efficacia e potrei anche andare Al punto di dire che un TVRA efficace ed esaustivo dovrebbe anche incorporare uno scenario di Red Team in cui vengono eseguite minacce o piuttosto scenari di minacce per vedere se vengono attivate le adeguate misure di controllo.

Con uno studio delle politiche, delle procedure, dei processi esistenti e di un esercizio della squadra rossa seguito da un approfondimento TVRA e dalle necessarie misure di controllo istituite, possiamo dire che viene condotta un'efficace TVRA che deve coinvolgere la valutazione del sito.

    
risposta data 12.10.2018 - 10:48
fonte

Leggi altre domande sui tag