Cómo comunicar qué tan seguro está su sistema a los clientes de su empleador

Navega tus respuestas
4

Las empresas deben recopilar información sobre sus clientes, y los clientes a menudo desean tener la seguridad de que su información está segura. ¿Cuál es la forma aceptada de comunicar de manera concisa y clara la seguridad de los sistemas que transmiten y almacenan los datos del cliente? Por lo que puedo decir, parece que el cumplimiento de un estándar de seguridad (como ISO27001) es el camino a seguir cuando se habla con un profesional de la seguridad (¿es correcto?), Pero ¿alguien tiene experiencia en explicar con éxito "qué tan seguro está?" "¿Su sistema es para una persona" laica "con poca o ninguna comprensión de la seguridad de la información? ¿Simplemente "nuestro negocio cumple o excede los estándares de seguridad aceptados para nuestra industria"? ¿Es eso suficiente información? Según su experiencia, ¿cuántos detalles quiere la mayoría de las personas?

Información de fondo: nuestro negocio recopila datos confidenciales sobre nuestros clientes como parte de un proceso de acreditación para los servicios que desean calificar con un tercero. La mayoría de estos clientes son propietarios de pequeñas empresas, por ejemplo, fontaneros, dentistas, dueños de restaurantes, etc.

Esta pregunta puede ser subjetiva, pero cae en el ámbito de " buen subjetivo . "

Editar

Esto no es un duplicado de Cómo ¿Obtener el apoyo de la gerencia superior para proyectos de seguridad? Esa publicación trata sobre la comunicación con otras personas dentro de su organización, mientras que esta pregunta trata sobre la comunicación con personas fuera de su organización, que es mucho más sensible. Puede explicarle a un superior por qué su sistema no es "100% seguro", pero tiene que ser más diplomático con un cliente, aunque sea conciso.

    
pregunta browly 05.08.2015 - 19:43
fuente

1 respuesta

9

La respuesta a su pregunta depende de varios factores, entre ellos,

  • "Quiénes son sus clientes": las diferentes compañías querrán diferentes niveles de seguridad, por ejemplo, un banco que envía datos financieros (con suerte) querrá tener más seguridad que los menús que comparten una cafetería.
  • "¿Qué datos está procesando para sus clientes"? De nuevo, esto afectará la respuesta. Si existen regulaciones en juego, es posible que tenga que proporcionar formas específicas de certificación de seguridad.

Dicho esto, hay una serie de estrategias que puedes usar, ninguna de ellas (en mi opinión) perfecta.

  • ISO27001. Este es uno común, ya que es reconocido internacionalmente. A medida que lo haya hecho, es probable que haya descubierto que el demonio está en los detalles, cosas como el alcance de qué partes de su negocio certifica que afectarán en gran medida lo fácil que es lograrlo. También tenga en cuenta que ISO27001 es quizás más sobre documentar lo que hace bien en lugar de hacer necesariamente todas las cosas correctas, y ese punto es bastante conocido, diría.
  • Garantía de terceros. Puede obtener una tercera parte para hacer revisiones de seguridad y proporcionar resúmenes de estos que puede entregar a los clientes. esto se ve comúnmente en el mundo de la seguridad técnica (por ejemplo, Informes de prueba de la pluma) y también en otros lugares (por ejemplo, SAS-70). Lo convincente de esto puede depender de las pruebas que realmente haya realizado y del nivel de comprensión de sus clientes (es decir, ¿pueden diferenciar entre una prueba detallada y una prueba superficial rápida)?
  • Deja que tus clientes te auditen. Puede ser apropiado (o incluso obligatorio) para clientes grandes. tiene la ventaja de que pueden probar exactamente lo que les importa, y la desventaja de tener grupos de auditores que se desplazan haciendo preguntas incómodas con regularidad.

Sin embargo, en última instancia, ninguno de estos realmente funciona con clientes que no son expertos. Hay un " mercado de limones " masivo en seguridad donde los consumidores no pueden distinguir la diferencia entre dos compañías, generalmente porque todos reclame seguridad perfecta (vea un sitio que diga "hey seguridad no es tan importante para nosotros, pero déjenos sus datos de todos modos") y no existe un estándar imparcial efectivo obligatorio.

Con un cliente inteligente, le recomendaría que les pregunte qué es importante para ellos sobre la seguridad y cómo les gustaría verlo probado.

    
respondido por el Rоry McCune 05.08.2015 - 21:09
fuente

Lea otras preguntas en las etiquetas

¿Cuál es el propósito de Server Key Exchange cuando se usa Ephemeral Diffie-Hellman? ¿Los números de serie para certificados X.509 deben ser estrictamente secuenciales o pueden ser marcas de tiempo?