In qualità di revisore dei conti IT, una parte delle mie mansioni include la valutazione del rischio del venditore / la conduzione della due diligence sulla sicurezza.
In base alla documentazione ottenuta dal fornitore, (rapporto SOC 2, Sondaggio SIG ), io e diversi membri del team, (sono il capo del team) abbiamo preoccupazioni che rappresentano le vulnerabilità della sicurezza potenziale . Preoccupazioni specifiche:
-
Utilizza la crittografia SSL - Non ha menzionato se si riferisce al protocollo SSL non sicuro o alla più ampia suite di tecnologia nota come SSL che include TLS. Il protocollo SSL viene utilizzato per l'accesso remoto da parte dei dipendenti del fornitore e del portale Web del cliente. Nel report SOC 2, è stato descritto dalla direzione del fornitore.
-
L'accesso logico viene rimosso tempestivamente dopo la notifica di terminazione . - Non definire mai cosa è lo SLA per tempo. Una dichiarazione specifica come l'accesso logico viene rimossa entro 24 ore o 3 giorni di risoluzione sarebbe stata l'ideale. Questo fornitore ha accesso a dati aziendali sensibili, quindi non esiste uno SLA concreto.
Il nostro team è responsabile della consulenza del management su se continuare a collaborare con questo fornitore e la nostra raccomandazione verrà presa in seria considerazione. La definizione di vulnerabilità che sto usando è da NIST come
"Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source."
Se coinvolgere il venditore non è stato proficuo, come dovrebbero essere considerate le vulnerabilità potenziali , o le carenze nei controlli di sicurezza? Da un lato, non voglio trarre in inganno riferendo che il venditore è più sicuro di quanto suggerisca la prova, ma d'altra parte, non voglio cancellare inutilmente un venditore semplicemente a causa di una sfortunata scelta di parole da parte del venditore. vendor.