¿Es necesario tener documentaciones de seguridad, políticas, DRP y BCP en el lugar para ejecutar una revisión de arquitectura de red segura?

2

Uno de mis clientes tiene a su disposición ISO 27001 y han pasado por auditorías. Mientras tanto, están tomando los servicios de seguridad personalizados de nuestra empresa, donde uno de los entregables es Revisión de arquitectura de red segura . Si bien optaron por los servicios provistos, no informaron de antemano que no contaban con documentación, políticas y el marco de seguridad específicos para realizar la tarea.

Desde mi punto de vista, tenía estos requisitos para llevar a cabo el proceso de revisión de arquitectura de red de SNA o Secure Network Network:

  1. Política de seguridad de la información

  2. Política de seguridad de red

    Política de seguridad de la aplicación

    Registro de activos de información & La clasificación se adhiere a la CIA

    Estándares de contraseña

    Control de acceso

  3. Política de recuperación de desastres (DRP)

  4. Política de gestión de cambios
  5. Plan de continuidad del negocio (BCP)

Ya que estamos a punto de proporcionarles garantías de riesgo de seguridad de la información y tienen estas lagunas faltantes, mi pregunta principal se reduce a unos pocos resultados aquí:

  1. ¿Es necesario tener estos documentos, políticas, DRP, BCP, etc., creados desde cero para reforzar la seguridad y llevar la tarea en cuestión?
  2. ¿La ISO 27001 requiere que todos estos estén allí previamente? y en caso afirmativo, ¿cómo se habían auditado todavía en primer lugar, pero ninguna administración había hecho avanzar las faltas de documentación, políticas, etc.?
  3. Si vamos a proporcionar garantías serias de riesgo, ¿deberíamos proporcionarles otro servicio para crear estos documentos, políticas o debería estar cubierto junto con SNA? (Sé que este es un punto de vista ejecutivo, pero aún se necesitan opiniones generales)
pregunta Shritam Bhowmick 21.11.2015 - 03:43
fuente

1 respuesta

1

He trabajado en la profesión de Auditoría de TI / Seguridad de TI por un tiempo, y responderé desde mi experiencia profesional.

  

¿Es necesario tener estos documentos, políticas, DRP, BCP, etc.?   construido desde cero para reforzar la seguridad para llevar la tarea a   mano?

Las políticas que especificó en su lista son una necesidad básica para un programa de seguridad de TI que funcione bien. Hágase las siguientes preguntas:

  1. ¿Cómo garantiza un método consistente y confiable para administrar la tecnología de la información si no cuenta con documentación tangible?
  2. ¿Cómo espera que los empleados cooperen en la misión de Seguridad de TI si no conocen el propósito, las políticas y su función en el programa?
  3. Es casi un hecho que, en algún momento, se producirá una falla con los activos de TI de una empresa. Sin un funcionando, y bien probado , BCP / DRP, ¿cómo mitiga la amenaza de continuidad para el negocio?
  

Si vamos a proporcionar garantías serias de riesgo, ¿deberíamos proporcionarles otro servicio para crear estos documentos, políticas o debería estar cubierto junto con SNA?

Absolutamente No. Esto es un conflicto de intereses y se consideraría no ético. Si tuviera que ofrecer este servicio, su juicio profesional es Impedido y cualquier garantía posterior que proporcione a este cliente es intrínsecamente indigna de confianza. Consulte este documento de ISACA para obtener orientación adicional sobre la independencia profesional de la función de aseguramiento:

enlace

    
respondido por el Anthony 26.06.2016 - 03:22
fuente

Lea otras preguntas en las etiquetas