¿Cómo comenzar con un programa de seguridad de la información?

24

Soy un probador de software, InfoSec es principalmente tangencial para mi trabajo y la gente solo me hace preguntas sobre InfoSec porque no tengo miedo de usar Google o Stack Exchange cuando no sé algo. (que es la mayor parte del tiempo)

Nuestro gerente de operaciones de EE. UU. desea conversar conmigo para obtener más información sobre la seguridad de la información. Recibió un correo electrónico de un prospecto en el sector financiero que incluye esta sección:

  

(a) ACME garantizará su programa de seguridad de la información (“Seguridad de la información   Programa ”) está diseñado e implementado, y durante el término de este   El acuerdo continuará siendo diseñado e implementado para: (1)   mitigar razonablemente y adecuadamente cualquier riesgo identificado por cualquiera de   las partes relacionadas con el Software y los Servicios, y la protección   de información confidencial del cliente divulgada a ACME o ACME   Personal, y (2) describir e informar sobre sus propias evaluaciones de riesgo,   Gestión de riesgos, control y capacitación del personal de ACME en cumplimiento.   con el programa de seguridad de información, supervisión de seguridad con respecto a ACME   Personal, y el proceso de certificación anual de la información.   Programa de seguridad. ACME salvaguardará contra la destrucción, pérdida,   modificación, o divulgación no autorizada o acceso al Cliente   Información confidencial en posesión del personal de ACME,   incluso mediante el uso de cifrado mientras se transmite o en   transporte, o mientras se almacena, procesa o gestiona en ACME   equipo cuando dicho cifrado requerido por la ley, es aconsejado por la industria   estándares para productos o servicios similares, o se requiere en un   Documento de transacción (colectivamente, las "Salvaguardias de datos"). ACME lo hará   asegurarse de que el programa de seguridad de información es materialmente equivalente a   Los propios estándares de seguridad de la información del cliente implementados   Tiempo aplicable a los riesgos presentados por los Productos o Servicios.   (colectivamente las "Normas IS"). Las partes podrán redefinir el término.   "Normas IS" significa cualquier norma o prueba reconocida por la industria   protocolo (por ejemplo, NIST, ISO 27001/27002 o SSAE, AT101), si está expresamente   establecido en una SOW.

Este lenguaje es tan atemorizante que primero hice un poop en mis pantalones y luego creé una cuenta de security.stackexchange.com para pedir consejo porque ni siquiera sé por dónde empezar. Somos una pequeña empresa de software (menos de 40 personas) que es lo suficientemente afortunada como para tener algún éxito comercial, y no nos importa la seguridad, pero no tenemos ningún programa formal de seguridad de la información (aún).

Algunas preguntas:

  • ¿Puede alguien traducir la cita anterior al inglés común?
  • Leí algo sobre la certificación anual, ¿estaría bien decir que nuestra empresa debería hacer uso de un auditor de seguridad externo y dejar que nos digan qué debemos hacer?
  • ¿Quién dentro de nuestra organización suele ser responsable de implementar un programa de seguridad de la información?
  • Estoy pensando en recomendar la compra de ISO27001 (me refiero al archivo PDF real que contiene el texto de esa norma, que se puede comprar para 166 francos suizos en la tienda iso.org), pero ¿quién debería leerlo? (relacionado con la pregunta anterior)

Información de fondo:

  • Recopilamos información típica de CRM para poder enviar facturas.
  • No recopilamos información confidencial, como datos sobre los usuarios / clientes de nuestros clientes.
  • Nuestro equipo de soporte puede solicitar datos de muestra para solucionar problemas y siempre solicitará datos "ficticios" o desinfectados que reproduzcan el problema en cuestión.

Esta pregunta no es un duplicado de Cómo comunicar qué tan seguro está su sistema a los clientes de su empleador . Las publicaciones tratan sobre cómo comunicarse con los clientes; ya lo sabemos porque el cliente ya nos dijo qué tipo de comunicación desean, mencionaron un Informe SOC Tipo 1. Tampoco es un duplicado de Cómo obtener la alta dirección ¿Apoyo para proyectos de seguridad? porque el soporte de administración es fácil en nuestro caso: obtener la certificación de seguridad o perder contratos importantes.

    
pregunta Amedee Van Gasse 28.08.2017 - 18:52
fuente

6 respuestas

30

Voy a darle una oportunidad.

En pocas palabras, el lenguaje es CYA, en caso de que sufran una violación o pirateo y tengan acceso a sus datos, pueden informar a sus clientes "Acme dijo que tenía un programa de seguridad y estaba protegido, por lo que es culpa suya".

En ese caso, si terminas siendo la causa de que pierdan datos, pueden culparte.

Dicho esto, es un lenguaje de contrato bastante estándar cuando las empresas se asocian o comparten datos. Principalmente es un artefacto de tipo "Due Diligence".

Con respecto a sus preguntas:

  

¿Puede alguien traducir la cita anterior al inglés común?

Básicamente necesita tener políticas / procedimientos de seguridad documentados. Dentro de esos documentos, debe indicar qué hace para mantener los sistemas y garantizar que se proporciona la seguridad adecuada. También debe tratar y abordar los procedimientos reales que tratan temas relacionados con la seguridad (control de acceso, auditoría, monitoreo, respuesta a incidentes, etc.). Es posible que ya cubra algo de esto en sus Procedimientos Operativos Estándar (SOP) normales y puede hacer referencia a esos documentos. Cuando crea un nuevo usuario o cambia grupos / roles, ¿existen procedimientos escritos para hacerlo? ¿Hay alguien que apruebe ese cambio? Ese es el tipo de cosas que deben abordarse. Cuando no están escritas, las personas no tienen referencias sobre cómo hacerlo y se toman libertades que pueden introducir vulnerabilidades de seguridad.

  

Leí algo sobre la certificación anual, ¿estaría bien decir que nuestra compañía debería hacer uso de un auditor de seguridad externo y dejar que nos digan qué debemos hacer?

Esta es la ruta que toman muchas organizaciones, pero la seguridad definitivamente no es algo que deba revisarse "anualmente". Es un proceso continuo y permanente que debe integrarse en sus operaciones diarias. Dicho esto, un grupo de terceros puede realizar una "auditoría" que sirve como su certificación anual. El resultado será un informe que puede utilizar para corregir las deficiencias y mejorar su postura de seguridad. Recomiendo altamente esto, no importa cuán maduro sea su programa de seguridad. Las primeras veces que lo revise, use diferentes proveedores para poder comparar los resultados. La calidad de este tipo de evaluaciones varía grandemente.

  

¿Quién dentro de nuestra organización suele ser responsable de implementar un programa de seguridad de la información?

Tienen muchos nombres, pero la responsabilidad última de la seguridad será del propietario del sistema. Podría ser su CEO, el gerente del programa o, en organizaciones más grandes, un ISSO o un Oficial de seguridad del sistema de información. En organizaciones más pequeñas, generalmente recae en un gerente de productos o TI. La contratación de un consultor para ayudar a iniciar este proceso puede ser una buena idea en esta etapa. Solo verá estos requisitos con más frecuencia a medida que comience a trabajar / asociarse con grandes empresas.

  

Estoy pensando en recomendar comprar ISO27001, pero ¿quién debería leerlo? (relacionado con la pregunta anterior)

¿Qué está considerando exactamente comprar ? ISO27001 es un marco de cumplimiento de seguridad que proporciona una dirección para asegurar sus activos / empresa y, por lo que sé, no debería tener que pagar nada por adelantado a menos que sea un servicio o producto. Elegir un marco de cumplimiento para basar su programa es un gran primer paso para establecer un programa de seguridad. Personalmente recomendaría ISO o NIST ya que son grandes estándares internacionales / nacionales y se superponen con otros marcos de cumplimiento (PCI, HIPAA, etc.). Dicho esto, no tengo idea de cuáles son sus objetivos, por lo que tendrá que investigar un poco y elegir qué es lo mejor para su organización.

Escribí mucha documentación y realicé muchas pruebas de control de seguridad, por lo que puedo ser considerado en este momento, pero si tiene preguntas adicionales, no dude en contactarme. Buena suerte!

    
respondido por el MutableLabs 28.08.2017 - 19:38
fuente
3

El lenguaje legal y contractual siempre es complejo y, en ocasiones, difícil de leer, por eso a veces pasamos por alto las páginas de términos y condiciones. de productos

Para su pregunta de por dónde empezar

Aquí hay algunos enlaces de recursos estándar como NIST, SANS e ISACA Cada uno de estos institutos tiene una rica historia al tratar con muchas facetas de seguridad de la información

enlace SANS: -

enlace

Enlace ISACA: -

link

Ahora, con respecto a la sección de correo que mencionó

Supuse que el nombre de su organización es ACME

Te asegurarás de lo siguiente.

  1. Usted tiene su propio Programa de Seguridad de la Información diseñado e implementado y durante el período del acuerdo lo utilizará para prevenir y reducir cualquier riesgo identificado por su equipo o el equipo del cliente para cualquier software o servicio.

  2. También protegerá los datos confidenciales del cliente que se le entregan a su empresa o a sus empleados.

Por ejemplo: - En el caso de los EE. UU., la ley prohíbe divulgar los registros de salud de una persona o su Número de Seguro Social sin su permiso.

  1. Harás un informe detallado de lo siguiente

• Evaluación de riesgos: - Identifique los riesgos potenciales para los servicios y la operación • Gestión de riesgos: - Sugiere e implementa métodos para evitar o reducir el impacto de los riesgos identificados • Establecer flujo de control: se trata de establecer y mantener la cadena de mando en caso de un evento de riesgo para continuar los servicios críticos sin interrupciones. • Capacitación: - Capacitar a todos los empleados relacionados en prácticas seguras y seguras para manejar datos y también resaltar las mejores prácticas

También establezca un mecanismo de retroalimentación adecuado para garantizar que los empleados también participen en el establecimiento de estas prácticas. A largo plazo paga mucho.

  1. Protegerá los datos contra la pérdida, destrucción y alteración y evitará la divulgación accidental de datos confidenciales.

  2. Utilizará los servicios de encriptación para lograr esto cuando los datos se almacenen en u.s.b o mientras los datos se estén utilizando, ya que esto es obligatorio por el gobierno.

  3. También se asegurará de que sus estándares de seguridad estén al mismo nivel que los de su cliente para los riesgos enumerados por cualquier estándar internacional como NIST o ISO (son organizaciones que definen cuáles son las prácticas estándar) si están escritas. abajo en tu SOW.

Ahora, respondiendo a su pregunta sobre la certificación, sugiero dos niveles de auditoría: uno sería su equipo interno. Esto le brinda a su organización la oportunidad de abordar los problemas de seguridad específicos de su empresa y siempre es recomendable un auditor externo, ya que aumenta la satisfacción del cliente. .

Y respecto a quién es responsable, normalmente sería el CISO, es decir, el Director de Seguridad de la Información. Y a nivel de proyecto, sería el gerente del proyecto y el equipo de seguridad dedicado.

También, una vez más, me gustaría repetir que los usuarios de esos datos deberían tener cuidado principalmente de cómo los manejan.

En la misma nota, me gustaría señalar que cualquier tipo de datos puede clasificarse como confidencial, es decir, hay una gran variedad de ellos, como en el caso de que usted mencione que el cliente potencial es del sector financiero, entonces el término datos sensibles podría comprender de detalles de transacciones comerciales o un valor de transacción que puede no parecer valioso desde el punto de vista de un pirata informático estándar pero sería muy crítico para los competidores de sus clientes.

Lamentablemente, tengo poco o ningún conocimiento sobre su consulta final, pero sugeriría una investigación de mercado exhaustiva antes de comprar una, ya que las normas pueden variar ligeramente, si no sustancialmente.

    
respondido por el smith 29.08.2017 - 16:56
fuente
2

Respondí a muchos de estos. Una cosa salta:

  

ACME se asegurará de que el Programa de seguridad de la información sea materialmente   equivalente a las normas de seguridad de la información propias del cliente en   lugar de vez en cuando aplicable a los riesgos presentados por la   Productos o servicios (en conjunto, los "Estándares IS").

Obtenga los estándares de seguridad de la información del cliente. Repáselo línea por línea y anote lo que no se puede aplicar a su organización.

En segundo lugar ... Es probable que tengas un programa de seguridad de la información, probablemente solo sea informal. Sus desarrolladores tienen contraseñas, usted tiene un SDLC, usa la administración de cambios, revisión de código, VPN en la oficina, verifica los antecedentes de los empleados, se asegura de que los contratistas no usen código robado o software pirateado, no tienen contraseñas compartidas, tiene AV en estaciones de trabajo, etc., etc.

Formalizar lo que tienes y ver si se alinea con lo que pide el cliente podría ser todo lo que necesitan. Por supuesto, necesita la participación de su ejecutivo y es posible que necesiten fondos si los clientes tienen preguntas específicas (prevención de intrusos, análisis de vulnerabilidades, etc.).

También recuerda que su única alternativa aquí es ir a tu competencia. Si su competencia tiene una increíble información y un precio de descuento, entonces podría tener un problema, pero es probable que se encuentren en un lugar similar, así que no se preocupe por ser perfecto, solo haga todo lo que pueda e intente mejorar. la situación.

Esto volverá a suceder, una y otra vez, cliente tras cliente. Esperemos que tengas una persona infosec para entonces.

ISO 27001 es un documento muy ligero y requiere mucha experiencia para comprender e interpretar. No creo que ayude mucho. NIST y PCI podrían ser más útiles en esta etapa, pero esa es mi opinión.

    
respondido por el mgjk 30.08.2017 - 02:36
fuente
1

Si va a comenzar un programa de seguridad, deberá definir el alcance del programa. Probablemente sea mejor comenzar con un alcance limitado, de modo que esté trabajando con algo manejable. El alcance podría ser el ciclo de desarrollo e implementación, el fortalecimiento del sistema y la gestión de la configuración, la administración de usuarios, el programa de pruebas de vulnerabilidad y seguridad, etc. Comenzar con un pequeño alcance le permite aprender y hacer que el objetivo final sea alcanzable.

Cada uno de los dominios anteriores tiene procesos y controles estándar de la industria que deben estar implementados y los encontrará en cada uno de los marcos de seguridad cibernética del NIST, controles de seguridad críticos SANS, PCI DSS, ISO, etc. Si va a Alinearse con un estándar de la industria, tendrá que elegir uno. Cada uno de los que me refiero son reconocidos internacionalmente. Sugeriría el marco de seguridad cibernética del NIST ya que está bien presentado y es digerible. También puede priorizar la implementación de acuerdo con las categorías de alto nivel y es fácil auditarlo.

Leyendo su pregunta nuevamente, sugeriría revisar el requisito 6 de las PCI DSS, específicamente 6.3, 6.5 y 6.6. Como una casa de desarrollo, estos son los estándares exactos de la industria que al menos se espera que tengan implementados, es decir, desarrollo seguro, capacitación de desarrolladores, revisión de código, conocimiento de las vulnerabilidades de OWASP y capacidad para mitigar a través de la codificación defensiva, el uso de bibliotecas apropiadas, configuración de sistemas, etc.

Desde una perspectiva de auditoría, necesita documentar lo que hace (o debería hacer) y asegurarse de que los controles y procesos estén alineados con su documentación; si no se sincronizan, hay un problema.

    
respondido por el AndyMac 29.08.2017 - 03:21
fuente
1

Configurar un programa completo de información de seguridad es una tarea enorme, y puede ser un caso de intentar morder más de lo que puede masticar. Yo sugeriría buscar la ayuda de un CISSP para que lo guíe a través de la configuración de un programa de seguridad de información efectivo.

Hay muchas facetas para tener un programa exitoso, y al menos ya sabes que no las conoces todas. Por eso creo que necesita a alguien que entienda la importancia de establecer una política de seguridad completa y cómo utilizarla para impulsar los estándares en toda su organización.

Internamente, para que funcione, necesitará a alguien responsable de organizar los esfuerzos, y alguien con suficiente autoridad para garantizar que los desarrolladores sigan la política. Dependiendo de otros requisitos contractuales (PCI DSS, por ejemplo), también se le puede pedir que realice auditorías de los procesos de desarrollo de software, proporcione evidencia de dispositivos de seguridad actualizados, mapas de sus redes y firewalls, prácticas seguras de administración de claves de cifrado, etc.

Un profesional puede al menos ayudarlo a navegar en estas aguas complejas, y tal vez proporcionar una mejor estimación de lo que realmente le costará a su empresa lograr que llegue al punto en el que cumple al menos los términos de los contratos que buscar.

    
respondido por el John Deters 29.08.2017 - 19:41
fuente
0

Una vez me encomendaron dar una estimación de la viabilidad de hacer ISO 27001 para nuestra empresa (1-10 empleados). No tengo idea de los otros certificados, pero asumo que no son muy diferentes.

Incluso para una empresa pequeña, es un lote de trabajo. En realidad, mejora cuanto más grande eres (y más homogénea es tu TI). Permíteme resumir el proceso general:

Para empezar, lo que debe hacer es compilar una lista de su inventario completo, sus empleados, sus procesos ... etcétera.

Hay numerosas herramientas gratuitas / comerciales para ayudar aquí. Una herramienta ejemplar es Verinice , solía existir algo llamado GSTOOL por BSI alemán, ahora descontinuado, pero tienen una buena lista de alternativas disponibles aquí: enlace .

Cuando se complete esta lista (en realidad más como un gráfico), debe revisar la lista de elementos y, dependiendo de qué es exactamente ese elemento, el estándar le proporcionará una lista de verificación de problemas. Una vez más, tendrá que trabajar a través de cada uno de estos puntos de control y dar una estimación:

  • ¿Existen salvaguardas?
  • ¿Podemos ignorar esto debido a cualquier razón?
  • ¿Cuál sería el alcance del daño?
  • ...

Al final, es probable que esto te deje con una serie de puntos débiles críticos que son demasiado malos para ignorarlos, luego puedes comenzar a corregirlos. Incluso si no va por la certificación completa, todo el proceso es definitivamente una revelación. Finalmente, para recibir una certificación, un auditor externo verá a través de sus estimaciones y se asegurará de que sean válidas.

Solía ser gratuito y solo descargar y jugar te da una muy buena idea de cómo "funciona" en realidad, hay mucho más que lo que podría encajar en esta respuesta.

    
respondido por el antipattern 29.08.2017 - 14:33
fuente

Lea otras preguntas en las etiquetas