¿Es esta política de datos suficiente para mi pequeña empresa nómada?

Navega tus respuestas
0

Este podría ser el lugar equivocado para preguntar, pero pensé que lo intentaría: no sé nada acerca de la seguridad de los datos y he tratado de educarme durante las últimas semanas y he creado una política de seguridad de los datos. / protocolo para la pequeña empresa que estoy iniciando. El principal obstáculo que tengo es que estoy iniciando esta empresa sin acceso a una red segura porque estoy trabajando de forma remota y viajando durante los próximos meses.

Solo un poco de información sobre la pequeña empresa antes de la política: es una pequeña empresa (1-3 empleados) que realiza análisis de datos, visualización y gestión y procesamiento de datos. Los datos con los que trabajaremos podrían ser muy confidenciales, pero no es necesario que cumplan con la ley HIPAA (en este momento).

Aquí está el borrador de la política ...

  

Cómo puede enviarnos sus datos de forma segura

     

Le recomendamos que nos envíe sus archivos de datos a través del archivo seguro   Servicio de traslado que empleamos. Este servicio de transferencia de archivos cumple con   múltiples regulaciones estatales y federales de privacidad, incluyendo HIPAA,   PCI-DSS y el escudo de privacidad de la UE y los Estados Unidos. El sistema utiliza cifrado de 256 bits.   en los centros de datos certificados SSAE16 y SAS70. Todos los datos son borrados de   su sistema después de un tiempo fijo y corto utilizando una eliminación de propiedad   proceso. Más información se puede encontrar en el servicio de transferencia de archivos.   sitio web del proveedor (SendThisFile.com).

     

Cómo almacenamos sus datos de forma segura

     

Después de recibir sus datos, guardamos temporalmente sus archivos en un   Carpeta cifrada en un sistema informático totalmente cifrado. Este sistema es   luego desconectado de Internet y sus datos se transfieren a una   Disco duro externo altamente seguro que está protegido por AES de 256 bits   cifrado de hardware y una característica de autodestrucción de fuerza bruta. Luego, nosotros   Borre permanentemente sus archivos de nuestros servidores usando sobrescritura   prácticas para garantizar que sean realmente irrecuperables.

     

Cómo mantenemos seguros tus datos durante el análisis

     

Cuando llega el momento de analizar sus datos, desconectamos nuestra computadora   sistema de internet antes de que nos conectemos a la encriptación externa   disco duro. Todos los archivos de datos temporales y permanentes se dirigen a la   Disco duro externo encriptado.

     

Cómo recibimos de forma segura sus datos y resultados

     

Cuando llegue el momento de enviar sus resultados o datos reformateados a   Usted, guardamos los archivos del disco duro externo cifrado en un   Carpeta cifrada en un sistema informático totalmente cifrado. El disco duro   se desconecta, nuestro servidor se vuelve a conectar a Internet y su   la información se envía a través del servicio seguro de transferencia de archivos. Tan pronto como   Sus datos son enviados, eliminamos permanentemente sus archivos de datos de nuestra   sistema informático. Una vez que se complete su proyecto, retendremos su   datos en nuestro disco duro externo encriptado por un mes, o por un   período predeterminado, antes de que eliminemos permanentemente sus archivos de   nuestro disco duro encriptado.

     

Cómo protegemos nuestras comunicaciones

     

Como seguridad adicional, todos los correos electrónicos que enviamos, incluido el correo electrónico   archivos adjuntos, están protegidos mediante encriptación de extremo a extremo a través de   Tutanota.

    
pregunta jtam 01.11.2017 - 00:19
fuente

2 respuestas

1

Lo que ha citado probablemente habría impresionado a algunos clientes. Ciertamente no me impresionaría. No profundizaré en los detalles de la implementación o si necesita una política de seguridad o una política de privacidad, porque ha perdido el elemento más importante:

No le da a los usuarios finales una forma de determinar si sus valiosos datos están seguros.

A partir de ahora, el valor agregado de su propuesta es, desde la perspectiva del usuario, solo un texto impresionante. Una vista de diez millas de altura es "tendrás que confiar en mí y solo en mí". Eso es todo.

Para mí, una política mínima es:

  

Estimados clientes,   Sus datos estarán protegidos contra el mal uso. Auditor externo comprobará   La implementación (anual / trimestral / solo una vez). El certificado de   El cumplimiento estará disponible para usted en    enlace .

Amplíe eso, agregue los detalles. Pero no elimine la auditoría, porque es de gran importancia para los usuarios. En general, el objetivo de la seguridad es disminuir la cantidad total de confianza y / o difundir la confianza entre muchas partes. Esto se debe a que "confiar en alguien" es casi un sinónimo de "ser vulnerable a alguien". Los usuarios quieren menos de eso.

Por ejemplo, tome todas sus proposiciones como "desconectamos nuestro sistema informático de Internet" y decimos que cubren todos los posibles vectores de ataque. Los clientes de Rational asumen que en realidad harás lo prometido el 60% del tiempo. Con la auditoría, esta estimación es quizás del 80%. Este factor multiplica cada punto anormal de tu propuesta. En el ámbito de este ejemplo, la falta de auditoría significa el doble del riesgo. Eso es mucho.

    
respondido por el kubanczyk 01.12.2017 - 12:02
fuente
0

Es bastante detallado, pero se enfoca solo en el manejo de los datos y no es una política de seguridad integral. Las omisiones inmediatas obvias son marcos de tiempo: ¿cuánto tiempo es "temporalmente" o "poco tiempo" que prometes a tus clientes? Para usted, temporalmente podría significar una semana mientras regresa a la oficina de unas vacaciones; para sus clientes, podría significar no más de 5 minutos. Tampoco dice nada sobre el aislamiento del cliente: ¿es posible que los datos del cliente A se procesen en el mismo sistema que los datos del cliente B? ¿Podrían mezclarse, de manera que el cliente A vea parte de la información del cliente B?

Pero lo que realmente falta es la mayoría de las otras cosas que conforman una política de seguridad. Estas son las otras consideraciones que su organización se compromete a brindar para crear una imagen de seguridad completa. Esto incluye detalles como parchear computadoras, seguridad y monitoreo de red (incluyendo sistemas de detección de intrusos y firewalls), toma de decisiones basada en riesgos, registros de auditoría, mejora continua, detección y respuesta a incidentes, copias de seguridad y recuperación de desastres, herramientas antivirus, administración de configuración segura , ciclo de vida de la clave de cifrado, roles y responsabilidades, gestión de identidad y acceso, revisiones de contratos seguros, y la lista sigue y sigue.

Cuando alguien está buscando establecer una nueva política de seguridad, recomiendo que al menos echen un vistazo a la NIST Cybersecurity Framework . Es una lista completa de cosas a considerar, incluidas en una política de seguridad.

Ciertamente, no es necesario que escriba cada gota del marco en una política al comenzar. Y no debe intentarlo, porque aún no conoce todos los sistemas y arquitecturas que deberá proteger, y aún no tiene experiencia con los riesgos que enfrentará. Pero al menos debe leer las categorías funcionales que se enumeran en el Apéndice A y seleccionar y seleccionar aquellos bits que tengan más sentido para lidiar con los riesgos que usted identificó inicialmente. Probablemente, lo más importante para incluir en su primer borrador de una política de seguridad es programar una revisión anual. Para esta fecha, el año que viene sabrá mucho más sobre su negocio y sus riesgos, y puede comenzar a agregarlo en ese momento.

    
respondido por el John Deters 01.11.2017 - 02:05
fuente

Lea otras preguntas en las etiquetas

Abrir el navegador con un usuario ya autenticado en otra aplicación ¿Previniendo CSRF con flujo implícito y JWTs?