En un proyecto tuve que usar FTP no protegido para conectarme al proveedor de alojamiento, no SFTP, no FTPS. El proveedor de alojamiento afirma con orgullo que tiene la certificación ISO 27001. De alguna manera, todo esto me parecía muy mal.
¿Es posible que una empresa obtenga la certificación ISO 27001 mientras sigue haciendo uso de protocolos inseguros como FTP?
Ya no estoy en este proyecto, no obtuve una respuesta correcta cuando pregunté en el pasado y definitivamente no obtendré una respuesta si le pregunto al proveedor de servicios ahora.
Estoy principalmente interesado en saber cómo funciona esto en relación con la norma ISO 27001 y, en consecuencia, en cuánto valor puedo poner en esta certificación.
¿Quien da estas certificaciones es indiferente a una organización que usa FTP? ¿O es más probable que el proveedor del servicio mantenga esta información fuera del certificador?
Personalmente no confío en ningún proveedor de servicios de Internet que aún use FTP para cualquier cosa. No digamos, proporcionarlo como la opción principal para sus clientes.
(Sé que la diferencia entre FTP, SFTP y FTPS : la diferencia entre las 2 últimas es un poco menos, pero eso está más allá de esta pregunta.)
Relacionado pero no duplicado:
ACTUALIZACIÓN: los datos no protegidos se transmitieron a través de un canal inseguro. Con un hombre en el medio del ataque, los atacantes hábiles hubieran podido acceder fácilmente a la red interna de la institución (no daré detalles aquí, pero wow ... probablemente podría haberlo hecho yo mismo, y No soy un pentest pro de ninguna manera). El proveedor de servicios debe haber tenido conocimiento de esto.