¿Cómo debe un enfoque de inicio mediano seguridad y cumplimiento de la información?

6

La situación: Un inicio de SaaS establecido con < 100 empleados, un gran equipo de desarrollo y varios ingenieros de redes autodidactas. Nuestro negocio implica el manejo tanto de la PII como de los datos de pago.

A medida que crecimos y dado el enfoque creciente en infosec, hemos estado recibiendo más demandas de los clientes de conformidad con ISO y NIST, informes SOC 2 y la amenaza inminente de PCI.

En este punto, nuestra infraestructura es razonablemente segura, pero las políticas y los procedimientos son muy ecológicos y la mayoría de ellos se ponen en práctica para satisfacer la demanda de un cliente.

Mi pregunta es: ¿Cómo debería una compañía enfocar el desarrollo de un programa de cumplimiento de seguridad más maduro y qué costos son razonables para que una empresa de este tamaño gaste?

La mayoría de los consultores recomiendan comenzar con una evaluación de riesgos de seguridad, luego realizar un análisis de brechas y luego consultar según sea necesario para desarrollar una política hasta que sea compatible.

Los abogados recomiendan trabajar directamente con una empresa para todo. En este tamaño, ¿debería una empresa comenzar a pensar en contratar a un especialista en cumplimiento de seguridad dedicado en más de $ 120,000 por año? ¿O es simplemente una cuestión de decirle a los ingenieros de la red que abandonen sus proyectos y comiencen a deshacerse de ISO y NIST durante los próximos meses?

TLDR: ¿Cuál es un enfoque sensato para comenzar a crear un programa de cumplimiento de seguridad maduro para una empresa pequeña o mediana? ¿Son los consultores una necesidad o solo se necesita grasa para el codo? ¿Dónde debe gastarse el dinero , dónde es una buena idea gastar y qué es un desperdicio?

    
pregunta InfoSec Newb 22.01.2018 - 02:18
fuente

2 respuestas

3

Primero, si no es compatible con PCI-DSS y está procesando información de pago, elimine todo y resuelva esto primero . Si aborda esto de manera sólida, puede aprovechar las actividades de cumplimiento para crear una infraestructura de seguridad de la información más amplia para su organización. ¡Esta es tu primera brecha!

He estado donde estás.

Aunque normalmente es una evaluación de riesgos donde las organizaciones deben comenzar (¡y usted debe hacer una!), mi conjetura es que solo será una distracción para usted en su etapa de desarrollo. Tienes una tarea más inmediata a mano.

No debería ver el PCI-DSS como una amenaza, sino como una oportunidad para abrazar. Debe adoptar PCI-DSS y (SOC 2) como una herramienta para definir lo que debe hacer y la infraestructura que necesita para cumplir. No "escatime" en este paso, tómelo como un requisito reglamentario para cumplir de frente y para satisfacer plenamente.

Esta actividad existe aparte del riesgo como algo que "solo debe hacerse". Centrarse en esto al principio elimina los debates y las tensiones políticas. Tanto PCI-DSS como SOC 2 requieren auditores externos y guía de expertos. Gasta tu tiempo y dinero en estas cosas, para empezar.

Sería incluso mejor (para procesos seguros y riesgos) si utilizara los marcos ISO 27001 y / o NIST para diseñar un enfoque para el cual el PCI-DSS y el SOC 2 puedan tener una lugar, pero esto simplemente no es eficiente para las pequeñas empresas, y no donde se puede encontrar el valor inmediato. Si puede hacer bien los primeros pasos y obtener éxito y valor, le será más fácil hacer las cosas más grandes.

Soy un fanático de la seguridad "Agile": haga un mapeo de todas sus necesidades como las entiende ahora, pero aborde las áreas críticas primero (a la luz de las necesidades futuras). Para usted, tiene problemas técnicos de seguridad que deben abordarse primero (PCI-DSS). Diseñe los enfoques para abordar esas necesidades a la luz de un marco más amplio, ¡pero aborde esas necesidades primero! Luego construye iterativamente desde allí.

    
respondido por el schroeder 22.01.2018 - 12:09
fuente
2

La evaluación de riesgos es una necesidad. La decisión sobre cuánto desea gastar en el proceso se basará en parte en el resultado del análisis de riesgos, por lo que es una línea de base que deberá hacer.

El hecho de que trabaje con consultores externos depende principalmente de si sus clientes y reguladores le exigen que realice una auditoría formal con un certificado de cumplimiento de un asesor calificado o si pueden aceptar una auditoría informal que se basa libremente en esos estándares de auditoría . Si sus clientes / reguladores exigen un certificado formal, entonces no tiene más remedio que trabajar con un consultor externo.

Aparte de eso, es solo una cuestión de si usted tiene algún empleado que esté dispuesto a estudiar los documentos de auditoría relevantes y si tiene prisa por realizar la auditoría. Recuerde que debe asignar tiempo adicional para que el empleado estudie los estándares de auditoría, mientras que un asesor calificado ya estaría familiarizado con él. Este tiempo de capacitación debe incluirse en sus cálculos de costos al decidir si ir con un consultor.

Una auditoría, incluso con un consultor calificado, puede tardar meses en completarse. Debe asegurarse de que a quien le asigne la auditoría puede dejar de desempeñar su función principal durante ese período de tiempo.

    
respondido por el Lie Ryan 22.01.2018 - 04:01
fuente

Lea otras preguntas en las etiquetas