Soy un probador de software, InfoSec es principalmente tangencial para mi trabajo y la gente solo me hace preguntas sobre InfoSec porque no tengo miedo de usar Google o Stack Exchange cuando no sé algo. (que es la mayor parte del tiempo)
Nuestro gerente de operaciones de EE. UU. desea conversar conmigo para obtener más información sobre la seguridad de la información. Recibió un correo electrónico de un prospecto en el sector financiero que incluye esta sección:
(a) ACME garantizará su programa de seguridad de la información (“Seguridad de la información Programa ”) está diseñado e implementado, y durante el término de este El acuerdo continuará siendo diseñado e implementado para: (1) mitigar razonablemente y adecuadamente cualquier riesgo identificado por cualquiera de las partes relacionadas con el Software y los Servicios, y la protección de información confidencial del cliente divulgada a ACME o ACME Personal, y (2) describir e informar sobre sus propias evaluaciones de riesgo, Gestión de riesgos, control y capacitación del personal de ACME en cumplimiento. con el programa de seguridad de información, supervisión de seguridad con respecto a ACME Personal, y el proceso de certificación anual de la información. Programa de seguridad. ACME salvaguardará contra la destrucción, pérdida, modificación, o divulgación no autorizada o acceso al Cliente Información confidencial en posesión del personal de ACME, incluso mediante el uso de cifrado mientras se transmite o en transporte, o mientras se almacena, procesa o gestiona en ACME equipo cuando dicho cifrado requerido por la ley, es aconsejado por la industria estándares para productos o servicios similares, o se requiere en un Documento de transacción (colectivamente, las "Salvaguardias de datos"). ACME lo hará asegurarse de que el programa de seguridad de información es materialmente equivalente a Los propios estándares de seguridad de la información del cliente implementados Tiempo aplicable a los riesgos presentados por los Productos o Servicios. (colectivamente las "Normas IS"). Las partes podrán redefinir el término. "Normas IS" significa cualquier norma o prueba reconocida por la industria protocolo (por ejemplo, NIST, ISO 27001/27002 o SSAE, AT101), si está expresamente establecido en una SOW.
Este lenguaje es tan atemorizante que primero hice un poop en mis pantalones y luego creé una cuenta de security.stackexchange.com para pedir consejo porque ni siquiera sé por dónde empezar. Somos una pequeña empresa de software (menos de 40 personas) que es lo suficientemente afortunada como para tener algún éxito comercial, y no nos importa la seguridad, pero no tenemos ningún programa formal de seguridad de la información (aún).
Algunas preguntas:
- ¿Puede alguien traducir la cita anterior al inglés común?
- Leí algo sobre la certificación anual, ¿estaría bien decir que nuestra empresa debería hacer uso de un auditor de seguridad externo y dejar que nos digan qué debemos hacer?
- ¿Quién dentro de nuestra organización suele ser responsable de implementar un programa de seguridad de la información?
- Estoy pensando en recomendar la compra de ISO27001 (me refiero al archivo PDF real que contiene el texto de esa norma, que se puede comprar para 166 francos suizos en la tienda iso.org), pero ¿quién debería leerlo? (relacionado con la pregunta anterior)
Información de fondo:
- Recopilamos información típica de CRM para poder enviar facturas.
- No recopilamos información confidencial, como datos sobre los usuarios / clientes de nuestros clientes.
- Nuestro equipo de soporte puede solicitar datos de muestra para solucionar problemas y siempre solicitará datos "ficticios" o desinfectados que reproduzcan el problema en cuestión.
Esta pregunta no es un duplicado de Cómo comunicar qué tan seguro está su sistema a los clientes de su empleador . Las publicaciones tratan sobre cómo comunicarse con los clientes; ya lo sabemos porque el cliente ya nos dijo qué tipo de comunicación desean, mencionaron un Informe SOC Tipo 1. Tampoco es un duplicado de Cómo obtener la alta dirección ¿Apoyo para proyectos de seguridad? porque el soporte de administración es fácil en nuestro caso: obtener la certificación de seguridad o perder contratos importantes.