Mi empresa tiene una certificación ISO 27001 . Me proporcionaron una nueva computadora portátil con sistema operativo Windows 8. Pregunté si puedo tener instalado un sistema operativo Linux / Ubuntu, dijeron que no es posible debido a la ISO 27001 estándares.
¿Es cierto o los técnicos de la empresa no saben cómo instalar Linux / Ubuntu?
Uno de los requisitos de la norma ISO 27001 es la gestión del control de acceso a los recursos de TI de la empresa.
Si solo instala Ubuntu en su computadora portátil, todo el control de acceso será administrado por usted directamente, en lugar de su compañía. Entonces, cuando, por ejemplo, su administrador querrá despedirlo, su departamento de TI no podrá bloquear su cuenta de computadora portátil local en un momento conveniente.
Por supuesto, Linux puede conectarse a sistemas de autenticación central (AD, IPA, CAS, etc.), pero primero su departamento de TI necesita desarrollar las competencias requeridas (un solo empleado que sepa cómo hacerlo no es suficiente, ya que todas las normas ISO requieren Procesos escritos, repetibles y verificables).
Por otra parte, el conocimiento sobre cómo conectar Windows a AD e implementar una autenticación central es más o menos común en TI, por lo que probablemente su empresa ya tenga procesos ISO para ello. Por lo tanto, te permiten usar solo Windows.
La ISO 27001 trata * de documentar lo que haces, cómo lo haces y qué controles tienes para auditar que las cosas son como se supone que deben ser. Eso significa que la instalación típica de una computadora portátil está muy, muy estandarizada con plantillas conocidas (cómo hacerlo). Es probable que las PC se instalen en un Active Directory con GPO y monitoreo en su lugar (AV, firewall, etc.) para fines de auditoría.
Todo lo anterior significa que no instalarán su distribución favorita ni el software en su computadora portátil, incluso si saben cómo hacerlo.
* esto es en el contexto de las instalaciones de software y en muy pocas palabras, hay un libro completo dedicado al tema.
Esto depende completamente de las políticas y normas de su empresa. ISO 27001 es un sistema para administrar la seguridad, pero tiene pocos requisitos para lo que realmente dicen las políticas y los estándares.
Trabajo para una empresa ISO 27001 que permite que el personal técnico realice autoinstalaciones de un sistema operativo alternativo. Hay ciertos requisitos técnicos (hardware de la empresa, cifrado de disco, etc.) pero una vez cumplidos, la autoinstalación se trata como una instalación corporativa. Espero que este arreglo sea un caso bastante raro. Algunas compañías permiten BYOD (traiga su propio dispositivo), aunque, por lo general, los dispositivos BYO tienen acceso restringido.