Alcance de la evaluación de riesgos y activos críticos

2

Hemos comenzado a implementar SGSI en nuestra organización. El ámbito de aplicación es el departamento de TI y todos los usuarios de la empresa que están conectados a nuestra WAN. pero nuestro alcance de evaluación de riesgos es solo el centro de datos y la infraestructura de red y se nos dice que consideremos solo los activos críticos de este alcance para la primera implementación.

Ahora quiero saber:

  1. ¿Es aceptable considerar solo los activos críticos, no todos?

  2. ¿Con qué parámetros seleccionamos los activos críticos?

  3. ¿Los procesos centrales en este ámbito son uno de nuestros activos críticos o solo la información que se utiliza y genera en estos procesos debe considerarse como activos?

  4. ¿Es esta una vista correcta de lo que expliqué? Para el alcance de evaluación de riesgos definido que se define bajo nuestro alcance de SGSI, consideramos nuestros conmutadores y enrutadores centrales y distribuidos, las conexiones de red críticas entre ellos, nuestros servidores que son máquinas virtuales y su hardware (SAN, almacenamientos, blades) y ¿qué más?

pregunta sarv 11.02.2015 - 19:03
fuente

3 respuestas

2

Hmmm. Creo que estoy un poco preocupado por la forma en que su empresa piensa acerca de qué lado de la línea crítica frente a la no menos crítica aquí. Porque (por la forma en que lo pones) parece que se está aplicando un enfoque supuestamente "tradicionalista", centrado en el equipo tangible, centrado en la ubicación para determinar qué es y qué no es crítico en términos de potencial de riesgo. mi opinión, (sí, un ligero toque de opinión se está filtrando aquí, tal vez) es una tendencia que desea corregir desde el principio.

En realidad, hay dos tipos de cosas * que debe proteger en la categoría crítica: información crítica y sistemas críticos . Para decirlo brevemente pero con torpeza, lo importante de la información crítica es que la información no solo existe o se mueve a "donde se supone que debe estar". No hay manera de que pueda decir simplemente: "¡Toda la información crítica en cualquier lugar de nuestras redes, ingrese a nuestro centro de datos, ahora!" y haz que funcione. Debe salir y encontrar información / datos vitales que son sumamente importantes y que su empresa debe proteger absolutamente. Tiene que ir a donde se crea dentro de su empresa o donde entra en su empresa y ver dónde está. Necesitas ver a quién fluye y hacia dónde. Y luego vea dónde termina finalmente y se almacena (probablemente ese centro de datos, finalmente). Y luego, una vez que determine qué es la información crítica y dónde está y dónde fluye , entonces puede comenzar para hacer evaluación de riesgos y toda la diversión burocrática planificación y tal.

Pero primero necesitas salir al campo y averiguar dónde está realmente la información crítica. No solo diga primero las cosas en la Ubicación X porque Bueno, se supone que las cosas importantes están teóricamente ahí, y por lo tanto, todo está ahí. (Y eso no es particularmente un gran enfoque para tomar en esta era de el uso ubicuo de teléfonos inteligentes y el uso cada vez mayor de la nube, a veces con la aprobación previa de la administración centralizada y otras veces sin.)

En cuanto a los sistemas críticos, creo que gran parte del mismo análisis es válido. Cuidar los riesgos relacionados con los costosos servidores y equipos de red en su centro de datos es sin duda una buena opción. cosa necesaria para hacer, pero una persona razonable podría llegar a la conclusión de que analizar los riesgos relevantes para los teléfonos inteligentes de R & Los ejecutivos de D que se llevan a diario son aún más merecedores de ser etiquetados como "críticos".

De todos modos, mis dos centavos. Aclamaciones.

    
respondido por el mostlyinformed 10.11.2015 - 06:18
fuente
1
  1. Para el inicio de este proceso, comenzar con los activos críticos tiene sentido. Para comer un dinosaurio, tienes que cortarlo en trozos. Facilita cocinar y tragar. Eventualmente, querrá tener todo bajo el paraguas de ISMS, o al menos intentar lo mejor para obtener todo.

  2. Eso depende de ti. ¿Con qué sistemas no puede vivir su negocio? ¿Qué contiene información personal que podría ser dañina en las manos equivocadas? ¿Cuáles son los sistemas que forman la columna vertebral de su negocio?

  3. Un activo es algo que es valioso y útil. Los procesos pueden ser más valiosos que los datos, o viceversa, dependiendo de su infraestructura. ¿Qué significan para tu negocio?

  4. No estoy muy seguro de lo que estás preguntando allí. Es un buen comienzo y tiene sentido con lo que dijo anteriormente.

respondido por el Ohnana 11.02.2015 - 20:03
fuente
0

Mi primera reserva sería que tiene un alcance para su SGSI y un alcance más pequeño para su evaluación de riesgos. En ese caso, su SGSI solo cubre el alcance más pequeño. Si usted (el negocio) está de acuerdo con el alcance menor, solo diga que eso es todo lo que cubrirá en el SGSI.

¿Es aceptable considerar solo los activos críticos? El problema es que puede encontrar que algunos activos que usted considera que no son críticos son de hecho críticos. Podría ser mejor intentar inicialmente identificar todos los activos.

¿Cómo decides lo que es crítico? Usted determina sus propios criterios de valoración de activos, por lo general, cómo afectará al negocio el impacto de una pérdida de confidencialidad, integridad o disponibilidad. Luego realice una valoración de cada activo, según sus criterios.

¿Los procesos centrales son un activo? Sí lo son. ISO 27005 los denomina activos primarios, y las cosas que normalmente se consideran activos se denominan activos de respaldo. Sin embargo, siempre me parece un poco extraño, porque normalmente evaluará el riesgo en términos de activos secundarios. Sin embargo, si piensa en la no disponibilidad de un proceso central, es casi seguro que será crítico para el negocio.

Para la lista de elementos que tiene en su ejemplo, esperaría que todos esos activos estén en su evaluación de riesgos. En última instancia, sabrá mejor que yo qué hay en su negocio, pero las cosas que no veo son: software; conectividad a Internet; fuente de alimentación; edificio; gente.

    
respondido por el hmallett 13.02.2015 - 00:06
fuente

Lea otras preguntas en las etiquetas