¿ISO 27001 permite que una empresa utilice FTP?

12

En un proyecto tuve que usar FTP no protegido para conectarme al proveedor de alojamiento, no SFTP, no FTPS. El proveedor de alojamiento afirma con orgullo que tiene la certificación ISO 27001. De alguna manera, todo esto me parecía muy mal.

  

¿Es posible que una empresa obtenga la certificación ISO 27001 mientras sigue haciendo uso de protocolos inseguros como FTP?

Ya no estoy en este proyecto, no obtuve una respuesta correcta cuando pregunté en el pasado y definitivamente no obtendré una respuesta si le pregunto al proveedor de servicios ahora.

Estoy principalmente interesado en saber cómo funciona esto en relación con la norma ISO 27001 y, en consecuencia, en cuánto valor puedo poner en esta certificación.

¿Quien da estas certificaciones es indiferente a una organización que usa FTP? ¿O es más probable que el proveedor del servicio mantenga esta información fuera del certificador?

Personalmente no confío en ningún proveedor de servicios de Internet que aún use FTP para cualquier cosa. No digamos, proporcionarlo como la opción principal para sus clientes.

(Sé que la diferencia entre FTP, SFTP y FTPS : la diferencia entre las 2 últimas es un poco menos, pero eso está más allá de esta pregunta.)

Relacionado pero no duplicado:

ACTUALIZACIÓN: los datos no protegidos se transmitieron a través de un canal inseguro. Con un hombre en el medio del ataque, los atacantes hábiles hubieran podido acceder fácilmente a la red interna de la institución (no daré detalles aquí, pero wow ... probablemente podría haberlo hecho yo mismo, y No soy un pentest pro de ninguna manera). El proveedor de servicios debe haber tenido conocimiento de esto.

    
pregunta guaka 29.10.2015 - 12:35
fuente

1 respuesta

20

ISO 27001 no especifica qué protocolos deben usarse y cómo deben usarse, especifica cómo una organización debe estructurar su aparato de seguridad de la información. Una organización certificada ISO 27001 debe tener políticas establecidas y procedimientos para asegurarse de que se cumplan las políticas.

ISO 27001 también tiene un alcance definido por la organización que puede hacer una enorme diferencia en el impacto de la certificación. Una certificación que cubre la máquina de café habilitada para la red es un poco diferente de la que cubre todo el negocio. La certificación ISO 27001 en el caso de su pregunta puede no tener el alcance del servidor FTP.

El uso de FTP es perfectamente aceptable en los casos en que los datos transferidos son públicos, o existen otros controles para proteger los datos. Si los datos se cifran antes del tránsito y hay un buen sistema de verificación para garantizar que los datos no se manipulen, es correcto enviarlos a través de un canal no cifrado. Desde la perspectiva de la norma ISO 27001, si la organización ha realizado una evaluación de riesgos y ha pasado por un proceso para mitigar el riesgo, se hace lo que se supone que debe hacer.

    
respondido por el GdD 29.10.2015 - 14:09
fuente

Lea otras preguntas en las etiquetas