¿Se debe hacer TVRA físicamente yendo al centro de datos?

Navega tus respuestas
1

Como proveedor de SaaS, nos gustaría cumplir con los requisitos de nuestros posibles clientes con sede en Singapur. Y la Autoridad Monetaria de Singapur exige una evaluación de riesgo de vulnerabilidad y vulnerabilidad (TVRA, por sus siglas en inglés) que se realizará anualmente en los centros de datos que alojan y manejan los datos de las instituciones financieras con sede en Singapur.

  • Para realizar el TVRA, ¿es necesario visitar físicamente el centro de datos o podemos enviar a nuestro centro de colocación un cuestionario sobre Los controles de seguridad física empleados en el DC y revisar sus ¿Respuestas y evidencias? ¿Cuál es la práctica general estándar de la industria?
pregunta Sree 19.07.2018 - 08:38
fuente

2 respuestas

1

Como siempre: depende .

¿De qué depende? Su nivel de confianza y su nivel de riesgo apetito . ¿Confía en que el operador del DC responda honestamente a un cuestionario y qué riesgos está dispuesto a asumir al respecto? Puede comenzar enviando el cuestionario, como ya había planeado. Algunos socios comerciales ven este tipo de preguntas como indecentes, así que maneje esto con cuidado.

Las respuestas del operador pueden llevar a un incumplimiento de contrato, por lo que las preguntas deben formularse correctamente. Póngase en contacto con su departamento legal y / o revise el contrato que tiene con el operador.

Hay varias reacciones que pueden llevarlo a generar más confianza o perder la confianza en su contratista. Aclare las expectativas internamente para diferentes escenarios y establezca objetivos, como lo haría en cualquier otro proyecto. Si todas las respuestas suenan demasiado buenas para ser verdad, reserve un vuelo. Si todo parece terrible, no reserve uno y piense en rescindir el contrato.

    
respondido por el Tom K. 19.07.2018 - 09:26
fuente
0

Cualquier tipo de TVRA o RA para el caso se debe hacer yendo al sitio. Además, creo que un estudio de las políticas, procesos o procedimientos existentes para la seguridad física, la seguridad cibernética, la recuperación de desastres, la continuidad de negocios, la respuesta de emergencia, etc. también debe ser examinado para ver qué tan bien están implementadas las medidas de control para mitigar las amenazas identificadas. / vulnerabilidades / riesgos / impactos.

Seguro que el DC puede proporcionar manuales o SOP que cubren las áreas anteriores como un precursor de la visita real al sitio para evaluar / realizar el TVRA, pero uno necesita verlos en juego en el sitio para evaluar la efectividad e incluso puedo ir hasta el punto de decir que una TVRA efectiva y completa también debe incorporar un escenario del Equipo Rojo donde se llevan a cabo amenazas o más bien escenarios de amenazas para ver si se activan las medidas de control adecuadas.

Con un estudio de las políticas, procedimientos, procesos y un ejercicio del Equipo Rojo seguidos por un TVRA en profundidad y las medidas de control necesarias establecidas, podemos decir que se realiza un TVRA efectivo que debe incluir la evaluación del sitio.

    
respondido por el Jaya Anand V 12.10.2018 - 10:48
fuente

Lea otras preguntas en las etiquetas

HSM (Módulo de seguridad de hardware) [cerrado] Omitir HSTS y la fijación de claves públicas con caracteres similares