Come dovrebbero essere segnalate le potenziali vulnerabilità di sicurezza (non verificate)?

0

In qualità di revisore dei conti IT, una parte delle mie mansioni include la valutazione del rischio del venditore / la conduzione della due diligence sulla sicurezza.

In base alla documentazione ottenuta dal fornitore, (rapporto SOC 2, Sondaggio SIG ), io e diversi membri del team, (sono il capo del team) abbiamo preoccupazioni che rappresentano le vulnerabilità della sicurezza potenziale . Preoccupazioni specifiche:

  • Utilizza la crittografia SSL - Non ha menzionato se si riferisce al protocollo SSL non sicuro o alla più ampia suite di tecnologia nota come SSL che include TLS. Il protocollo SSL viene utilizzato per l'accesso remoto da parte dei dipendenti del fornitore e del portale Web del cliente. Nel report SOC 2, è stato descritto dalla direzione del fornitore.

  • L'accesso logico viene rimosso tempestivamente dopo la notifica di terminazione . - Non definire mai cosa è lo SLA per tempo. Una dichiarazione specifica come l'accesso logico viene rimossa entro 24 ore o 3 giorni di risoluzione sarebbe stata l'ideale. Questo fornitore ha accesso a dati aziendali sensibili, quindi non esiste uno SLA concreto.

Il nostro team è responsabile della consulenza del management su se continuare a collaborare con questo fornitore e la nostra raccomandazione verrà presa in seria considerazione. La definizione di vulnerabilità che sto usando è da NIST come

"Weakness in an information system, system security procedures, internal controls, or implementation that could be exploited or triggered by a threat source."

Se coinvolgere il venditore non è stato proficuo, come dovrebbero essere considerate le vulnerabilità potenziali , o le carenze nei controlli di sicurezza? Da un lato, non voglio trarre in inganno riferendo che il venditore è più sicuro di quanto suggerisca la prova, ma d'altra parte, non voglio cancellare inutilmente un venditore semplicemente a causa di una sfortunata scelta di parole da parte del venditore. vendor.

    
posta Anthony 05.07.2017 - 05:35
fonte

1 risposta

0

È difficile rispondere alla tua domanda, perché non hai fornito abbastanza contesto dal rapporto.

Per quanto riguarda la terminazione degli accessi, è opportuno che i termini siano conformi alla politica di sicurezza interna (risoluzione della procedura per i dipendenti) in cui viene definito un periodo durante il quale l'accesso per gli ex dipendenti è stato revocato. Non ci può essere uno SLA per questo.

Come per la crittografia SSL, da quale parte di repot proviene? Esiste un elenco di sistemi / servizi con crittografia SSL abilitata?

Mi sembra che tu stia esaminando il riepilogo del rapporto, che include solo i risultati chiave. È necessario contattare il fornitore della sicurezza per chiarire questi problemi, se non li capisci o chiedi una versione completa del rapporto.

    
risposta data 05.07.2017 - 11:05
fonte

Leggi altre domande sui tag