Esiste un sistema di gestione della sicurezza delle informazioni (ISMS) esistente per PMI / PMI, se non perché?
Le cosiddette suite GRC sono principalmente rivolte alle aziende di Fortune 100 (possono essere fino a 1000), considerando l'alto costo, la manutenzione, la quota di TCO. Saranno gli unici a disporre di budget e ruoli di sicurezza sufficienti come CISO per permettersi e gestire efficacemente tali programmi (soluzioni).
La gestione della sicurezza delle informazioni richiede cervello come prima risorsa: ci deve essere qualcuno, nell'organizzazione, che "gonfi la sicurezza", capisce cosa sta succedendo e pensa ai problemi. Questo sarà il CISO, infatti se non nel titolo.
ISMS sono strumenti pre-digeriti che aiuteranno un CISO a far fronte alle enormi dimensioni dell'ambito di sicurezza delle informazioni in grande organizzazione. La loro esistenza è giustificata solo in quel caso; loro sono artiglieria pesante. Un'analogia: per difendere adeguatamente un paese , hai bisogno di un esercito. Un esercito implica molta logistica, armi, alloggio, alimentazione e gestione delle truppe; questo implicherà molto personale amministrativo, edifici, mobili e budget. Per difendere la tua casa dai ladri, non hai bisogno di un esercito; e, in effetti, non esiste alcun pacchetto "esercito per la tua casa" prontamente in vendita (a meno che non estenda il termine "esercito" per coprire il concetto di "cane", ma è un tratto).
In una piccola organizzazione, la situazione della sicurezza delle informazioni dovrebbe essere di complessità sufficientemente bassa che un proto-CISO può gestirlo senza usare strumenti pesanti, e tali strumenti lo rallenterebbero solo senza aiutarlo veramente.
In ogni caso, l'ISMS non sostituisce sostituisce la parte intelligente della sicurezza delle informazioni, ma lo complemento di fronte a una situazione troppo complessa da gestire in un unico mente umana.
Ci sono molti prodotti che fanno ciò che hai chiesto, ma solitamente con il termine: SIEM (informazioni sulla sicurezza e gestione degli eventi).
Le raccomandazioni sui prodotti sono scoraggiate qui, ma vedrai rapidamente che qualità, prezzo e funzionalità differiscono notevolmente tra le offerte e ciascuna organizzazione deve decidere quali tipi di informazioni di cui ha bisogno.
Google cerca "SIEM" invece di "ISMS" produrrà risultati più ricchi.
Leggi altre domande sui tag audit monitoring corporate-policy security-theater