Como auditor de TI, parte de mis tareas de trabajo incluye la evaluación de riesgos del proveedor / la realización de la diligencia debida de seguridad.
Basado en la documentación obtenida del proveedor, (informe SOC 2, Encuesta SIG ), yo y varios miembros del equipo, (soy el líder del equipo) tenemos inquietudes que representan posibles vulnerabilidades de seguridad. Preocupaciones específicas:
Utiliza cifrado SSL : no mencionó si se refiere al protocolo SSL inseguro en sí mismo, o al conjunto más amplio de tecnología conocido como SSL que incluye TLS. El SSL se utiliza para el acceso remoto por parte de los empleados del proveedor y para el portal web orientado al cliente. En el informe SOC 2, fue descrito por la gerencia del proveedor.
El acceso lógico se elimina oportunamente cuando se notifica la cancelación . - Nunca definido lo que es el SLA para oportuno. Una declaración específica, como el acceso lógico, se elimina dentro de las 24 horas o 3 días de la finalización hubiera sido ideal. Este proveedor tiene acceso a datos confidenciales de la compañía, por lo que ningún acuerdo de nivel de servicio concreto es preocupante.
Nuestro equipo es responsable de asesorar a la gerencia sobre si debe continuar colaborando con este proveedor, y nuestra recomendación se tomará muy en cuenta. La definición de vulnerabilidad que estoy utilizando es de NIST como
"Debilidad en un sistema de información, procedimientos de seguridad del sistema, controles internos, o implementación que podría ser explotada o desencadenado por una fuente de amenaza ".
Si comprometer al proveedor no ha sido fructífero, ¿cómo deberían informarse mejor las vulnerabilidades potenciales , o las debilidades en los controles de seguridad? Por un lado, no quiero engañar al informar que el proveedor es más seguro de lo que sugiere la evidencia, pero por otro lado, no debo descartar innecesariamente a un proveedor simplemente debido a una desafortunada elección de palabras por parte de vendedor.