Un socio quiere una copia de nuestra política de seguridad de TI escrita y no estoy seguro de qué hacer [cerrado]

23

Mi empresa está trabajando con otra empresa y, como parte del contrato, solicitan una copia de la Política de seguridad informática de mi empresa. No tengo una política de seguridad de TI por escrito, y no estoy exactamente seguro de lo que quiero darles. Somos una tienda de Microsoft. Tenemos cronogramas de actualización, cuentas de acceso limitado para administrar servidores, firewalls, certificados SSL y ejecutamos Microsoft Baseline Security Analyzer de vez en cuando.

Configuramos servicios y cuentas de usuario, ya que creemos que es principalmente seguro (es difícil cuando no tienes control total sobre qué software ejecutas), pero no puedo entrar en cada detalle, cada servicio y servidor es diferente. Estoy obteniendo más información sobre lo que quieren, pero siento que están en una expedición de pesca.

Mis preguntas son: ¿Es esta una práctica estándar pedir esta información? (No estoy en contra honestamente, pero nunca ha sucedido antes). Y si esto es estándar, ¿hay un formato estándar y el nivel de detalle esperado que debo presentar?

best-practices 
reconbot
fuente
1
Resulta que estamos solicitando la certificación c-tpat. Solo estamos obligados a cumplir con dos cosas. 1) Protección con contraseña 2) Responsabilidad ( cbp.gov/xp/cgov/trade/cargo_security/ctpat/security_guideline/… ) La increíble cantidad de buenas respuestas aquí me han hecho pensar, empecé un proyecto para tener un plan formal usando muchos de sus consejos, no para la certificación sino para nosotros mismos.
Reconbot
Esta pregunta está fuera de tema bajo las reglas actuales de actualidad.
HopelessN00b

Respuestas:

44

No necesitan una copia de toda su política interna de TI, pero creo que pueden estar detrás de algo similar a esto: alguien definitivamente necesita obtener suficiente información sobre el contrato para determinar cuántos detalles debe proporcionar y sobre qué. Aunque estoy de acuerdo con Joseph: si necesitan la información por razones legales / de cumplimiento, es necesario que haya información legal.

Información de antecedentes

1) ¿Alguno de sus empleados se encuentra fuera de los Estados Unidos?

2) ¿Cuenta su empresa con políticas de seguridad de la información formalizadas y documentadas?

3) ¿El manejo y clasificación de la información y los datos están cubiertos por sus políticas de seguridad de la información?

4) ¿Hay algún problema regulatorio pendiente que esté abordando actualmente en los estados donde opera? En caso afirmativo, explíquelo porfavor.

Seguridad general

1) ¿Tiene un programa de capacitación de concientización sobre seguridad de la información para empleados y contratistas?

2) ¿Cuál de los siguientes métodos para autenticar y autorizar el acceso a sus sistemas y aplicaciones utiliza actualmente:

  • Realizado por el sistema operativo
  • Realizado por producto comercial
  • Inicio de sesión único
  • Certificados digitales del lado del cliente
  • Otra autenticación de dos factores
  • De cosecha propia
  • No hay mecanismo de autenticación en su lugar

3) ¿Quién autoriza el acceso de empleados, contratistas, trabajadores temporales, proveedores y socios comerciales?

4) ¿Permite que sus empleados (incluidos contratistas, trabajadores temporales, proveedores, etc.) tengan acceso remoto a sus redes?

5) ¿Tiene un plan de respuesta a incidentes de seguridad de la información? Si no, ¿cómo se manejan los incidentes de seguridad de la información?

6) ¿Tiene una política que aborde el manejo de información interna o confidencial en mensajes de correo electrónico a fuera de su empresa?

7) ¿Revisa sus políticas y estándares de seguridad de la información al menos anualmente?

8) ¿Qué métodos y controles físicos existen para evitar el acceso no autorizado a las áreas seguras de su empresa?

  • Servidores de red en habitaciones cerradas
  • Acceso físico a servidores limitado por identificación de seguridad (tarjetas de acceso, datos biométricos, etc.)
  • Monitoreo de video
  • Registros y procedimientos de inicio de sesión
  • Insignias de seguridad o tarjetas de identificación visibles en todo momento en áreas seguras
  • Guardias de seguridad
  • Ninguna
  • Otro, proporcione detalles adicionales

9) ¿Describa su política de contraseña para todos los entornos? Es decir. Longitud, fuerza y ​​envejecimiento.

10) ¿Tiene un plan de recuperación ante desastres (DR)? En caso afirmativo, ¿con qué frecuencia lo prueba?

11) ¿Tiene un plan de continuidad comercial (BC)? En caso afirmativo, ¿con qué frecuencia lo prueba?

12) ¿Nos proporcionará una copia de los resultados de sus pruebas (BC y DR) si así lo solicita?

Revisión de arquitectura y sistema

1) ¿Se almacenarán y / o procesarán los datos y / o aplicaciones de [La Compañía] en un servidor dedicado o compartido?

2) Si se encuentra en un servidor compartido, ¿cómo se segmentarán los datos de [La Compañía] de los datos de otras compañías?

3) ¿Qué tipo (s) de conectividad de empresa a empresa se proporcionará?

  • Internet
  • Línea privada / arrendada (p. Ej., T1)
  • Marcar
  • VPN (red privada virtual)
  • Servicio terminal
  • Ninguna
  • Otro, proporcione detalles adicionales

4) ¿Se encriptará esta conectividad de red? En caso afirmativo, ¿qué método (s) de cifrado se utilizará?

5) ¿Se requiere algún código del lado del cliente (incluido el código ActiveX o Java) para utilizar la solución? En caso afirmativo, describa.

6) ¿Tiene un firewall (s) para controlar el acceso a la red externa a sus servidores web? Si no, ¿dónde se encuentran estos servidores?

7) ¿Su red incluye una DMZ para el acceso de Internet a las aplicaciones? Si no, ¿dónde están ubicadas estas aplicaciones?

8) ¿Su organización toma medidas para asegurarse contra interrupciones por denegación de servicio? Por favor describa estos pasos

9) ¿Realiza alguna de las siguientes revisiones / pruebas de seguridad de la información?

  • Sistema interno / escaneos de red
  • Autoevaluaciones gestionadas internamente y / o revisiones de diligencia debida
  • Revisiones de código interno / revisiones por pares
  • Pruebas / estudios externos de penetración de terceros
  • Otro, proporcione detalles ¿Con qué frecuencia se realizan estas pruebas?

10) ¿Cuáles de las siguientes prácticas de seguridad de la información se utilizan activamente dentro de su organización?

  • Listas de control de acceso
  • Certificados digitales - lado del servidor
  • Certificados digitales - lado del cliente
  • Firmas digitales
  • Detección / prevención de intrusiones basada en red
  • Detección / prevención de intrusiones basada en el host
  • Actualizaciones programadas para archivos de firmas de detección / prevención de intrusos
  • Intrusión de vigilancia 24x7
  • Análisis continuo de virus
  • Actualizaciones programadas de archivos de firmas de virus.
  • Estudios y / o pruebas de penetración.
  • Ninguna

11) ¿Tiene estándares para fortalecer o asegurar sus sistemas operativos?

12) ¿Tiene un cronograma para aplicar actualizaciones y correcciones urgentes a sus sistemas operativos? En caso negativo, díganos cómo determina qué y cuándo aplicar parches y actualizaciones críticas.

13) Para proporcionar protección contra una falla de energía o red, ¿mantiene sistemas totalmente redundantes para sus sistemas transaccionales clave?

Servidor web (si corresponde)

1) ¿Cuál es la URL que se utilizará para acceder a la aplicación / datos?

2) ¿Qué sistema operativo (s) son los servidores web? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o el nivel de parche).

3) ¿Qué es el software del servidor web?

Servidor de aplicaciones (si corresponde)

1) ¿Qué sistema operativo (s) son los servidores de aplicaciones? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o el nivel de parche).

2) ¿Qué es el software del servidor de aplicaciones?

3) ¿Está utilizando el control de acceso basado en roles? En caso afirmativo, ¿cómo se asignan los niveles de acceso a los roles?

4) ¿Cómo se asegura de que exista la autorización y la segregación de funciones adecuadas?

5) ¿Su aplicación emplea acceso / seguridad de usuario multinivel? En caso afirmativo, por favor indique los detalles.

6) ¿Las actividades en su aplicación son monitoreadas por un sistema o servicio de terceros? En caso afirmativo, proporciónenos el nombre de la empresa y el servicio y qué información se está monitoreando

Servidor de base de datos (si corresponde)

1) ¿Qué sistema operativo (s) son los servidores de la base de datos? (Proporcione el nombre del sistema operativo, la versión y el paquete de servicio o nivel de parche).

2) ¿Qué software de servidor de bases de datos se está utilizando?

3) ¿Se replica el DB?

4) ¿El servidor de base de datos es parte de un clúster?

5) ¿Qué se hace (si se hace algo) para aislar los datos de [La Compañía] de otras compañías?

6) ¿Se cifrarán los datos de [La Compañía], cuando se almacenen en el disco? En caso afirmativo, describa el método de cifrado

7) ¿Cómo se capturan los datos de origen?

8) ¿Cómo se manejan los errores de integridad de datos?

Auditoría y registro

1) ¿Registra el acceso del cliente en:

  • El servidor web?
  • El servidor de aplicaciones?
  • El servidor de la base de datos?

2) ¿Se revisan los registros? En caso afirmativo, explique el proceso y con qué frecuencia se revisan.

3) ¿Ofrecen sistemas y recursos para mantener y monitorear registros de auditoría y registros de transacciones? En caso afirmativo, ¿qué registros retiene y cuánto tiempo los almacena?

4) ¿Permitirá que [La Compañía] revise los registros de su sistema en lo que respecta a nuestra compañía?

Intimidad

1) ¿Cuáles son los procesos y procedimientos utilizados para desclasificar / eliminar / descartar los datos de [La Compañía] cuando ya no son necesarios?

2) ¿Ha revelado en algún momento información del cliente por error o accidentalmente?
En caso afirmativo, ¿qué medidas correctivas ha implementado desde entonces?

3) ¿Los contratistas (no empleados) tienen acceso a información confidencial o confidencial? En caso afirmativo, ¿han firmado un acuerdo de confidencialidad?

4) ¿Tiene proveedores autorizados para acceder y mantener sus redes, sistemas o aplicaciones? En caso afirmativo, ¿están estos proveedores bajo contratos escritos que brindan confidencialidad, verificación de antecedentes y seguro / indemnización por pérdida?

5) ¿Cómo se clasifican y protegen sus datos?

Operaciones

1) ¿Cuál es la frecuencia y el nivel de sus copias de seguridad?

2) ¿Cuál es el período de retención in situ de las copias de seguridad?

3) ¿En qué formato se almacenan sus copias de seguridad?

4) ¿Almacena copias de seguridad en una ubicación fuera del sitio? En caso afirmativo, ¿cuál es el período de retención?

5) ¿Cifras tus copias de seguridad de datos?

6) ¿Cómo se asegura de que solo se ejecuten programas de producción válidos?

Kara Marfia
fuente
Kara, esta es una de las respuestas más bien pensadas y detalladas que he recibido. Supongo que lo has hecho varias veces.
Reconbot
1
Estoy acostumbrado a completarlos, sí. ;) Sospecho que los organizan vastos comités en habitaciones oscuras y llenas de humo ... Me alegra que ayude, aunque. La cantera que le entregaron es una gran razón para que exista SF.
Kara Marfia
1
"¿Alguno de sus empleados se encuentra fuera de los Estados Unidos?" -- gracioso. Desde mi punto de vista, es más riesgoso tener un empleado ubicado en los Estados Unidos . El hecho es que estamos obligados por ley a no permitir que nadie acceda a los datos o servidores (sin la aprobación de un juez) y nuestros abogados dijeron que no se puede cumplir exactamente este requisito si algún empleado de los EE. UU. Tiene acceso a estos datos: )
serverhorror
4

Solo me han pedido esta información cuando trabajo con industrias reguladas (bancarias) o gubernamentales.

No conozco un "formato estándar", per se, pero siempre me ha dado una plantilla que un auditor me dio a mi Cliente como un "punto de partida" cuando tuve que hacer esto.

Probablemente comenzaría con algunas búsquedas en Google y vería qué podría encontrar en el camino de documentos de política de muestra. SANS ( http://www.sans.org ) también es otro buen lugar para comenzar a buscar.

En cuanto al nivel de detalle, diría que probablemente deba adaptarse a la audiencia y al propósito. Mantendría los detalles de alto nivel a menos que me pidieran específicamente que proporcionara detalles de bajo nivel.

Evan Anderson
fuente
Solía ​​usar siempre una plantilla NIST para crear rápidamente una política de seguridad, pero ya no tengo una copia y un google rápido ya no puede encontrar los originales (creo que NIST ahora cobra). El gobierno de California tiene algunos buenos recursos, incluidas plantillas, en oispp.ca.gov/government/Library/samples.asp. La sugerencia anterior del Instituto SANS también es un gran recurso.
hromanko
4

Hay varias razones diferentes por las que una empresa puede querer ver su política de seguridad. Un ejemplo es que la industria de tarjetas de pago (Visa, MasterCard, AmEx, etc.) requiere que las compañías que procesan tarjetas de crédito deben adherirse a la industria de tarjetas de pago - Estándar de seguridad de datos (PCI-DSS). Una sección de PCI-DSS requiere que los socios de la compañía también se adhieran a PCI-DSS (que por supuesto requiere políticas escritas).

Francamente, si le estoy otorgando acceso a su red a través de una VPN o conexión directa, entonces quiero saber que tiene un cierto nivel de seguridad, de lo contrario, me estoy abriendo a todo tipo de problemas potenciales.

Es por eso que obtener la certificación PCI o ISO 27001 puede ser una gran ayuda en este sentido, ya que puede informar a la organización externa que tiene las cosas manejadas hasta cierto nivel. Si sus políticas son muy generales, qué políticas deberían ser, entonces podría no ser un problema proporcionar una copia a su socio. Sin embargo, si quieren ver procedimientos específicos o información de seguridad, no dejaría que eso abandone mi sitio.

Kara tiene una excelente orientación sobre lo que desea cubrir en sus políticas. Aquí hay un ejemplo de una política.

Política de respaldo / recuperación del sistema IT-001

I. Introducción Esta sección habla sobre cómo las copias de seguridad son importantes, cómo planea probar y mantener copias fuera del sitio.

II Propósito A. Esta política cubrirá la frecuencia, el almacenamiento y la recuperación B. Esta política cubre datos, sistemas operativos y software de aplicaciones C. Todos los procedimientos de copia de seguridad / recuperación deben documentarse y guardarse en un lugar seguro

III. Alcance Esta sección señala que la política cubre todos los servidores y activos de datos en su empresa (y cualquier otra área específica como las oficinas satelitales).

IV. Roles y responsabilidades A. Gerente: decide lo que se respalda, determina la frecuencia, el medio y los procedimientos, también verifica que las copias de seguridad sucedan B. Administrador del sistema: ejecuta las copias de seguridad, verifica las copias de seguridad, prueba las copias de seguridad, transporta las copias de seguridad, prueba la restauración, mantiene la rotación de respaldo abuelo / padre / hijo C. Usuarios: tiene información sobre lo que se respalda, debe colocar los datos en la ubicación designada para respaldar

V. Descripción de la política Copia de seguridad: todo lo que quiere decir sobre las copias de seguridad en un sentido general Recuperación: todo lo que quiere decir sobre la recuperación en un sentido general

Las instrucciones específicas paso a paso deben estar en un documento separado de procedimientos / instrucciones de trabajo. Sin embargo, si tiene una organización muy pequeña, es posible que no separe las políticas de los procedimientos.

Espero que esto ayude y le brinde información útil.

David Yu
fuente
+1 porque estaría dispuesto a apostar al hecho de que es un contrato que PCI puede estar involucrado. (la tarjeta de crédito PCI, no el antiguo conector de bus). Si este es el caso, no quieren una especificación completa, solo las cosas que afectan su cumplimiento de PCI.
Matt
1

Tuve que escribir uno de estos recientemente y no terminó siendo demasiado difícil. Sin embargo, el punto de Even sobre la adaptación es importante, ya que algunos detalles requerirán más trabajo para describir que otros. NIST también tiene una gran biblioteca de publicaciones gratuitas en línea que describen medidas de seguridad para diversos fines, puede usarlas para ideas en las que no está seguro de qué tipo / alcance de seguridad se requiere.

Aquí hay algunas categorías generales para cubrir en términos de alto nivel:

  • Política de retención de datos
  • Procedimientos de respaldo / Acceso a respaldos
  • Restricciones de acceso interno (físico y virtual)
    • Red (inalámbrica, cableada)
    • Hardware (servidores, estaciones de trabajo, locales de oficina, fuera del sitio / teletrabajo)
    • Alojamiento / Centro de datos (importante si está almacenando los datos de los socios)
    • Sistema operativo
  • Detección de personal

Esta lista se puede ampliar o reducir en función de que ahora se necesita mucha información. Además, no hay necesidad de preocuparse si aún no tiene todo esto en su lugar. Mi consejo es que se limite a describir sus políticas 'previstas', pero esté preparado para expandirlas inmediatamente por cualquier falta. También prepárate para que te llamen por lo que estás reclamando, no importa lo improbable que sea (a los abogados no les importará más adelante).

Dana la sana
fuente
1

Para empezar, me gustaría consultar con el asesor legal de su empresa, especialmente porque es parte de un contrato.

Joseph
fuente
1

Para abordar la necesidad que tiene de enviar una copia de su documento de política de seguridad sería un poco en contra de la seguridad. He escrito nuestra política de seguridad y he eliminado la mayoría de los documentos de las plantillas de la SAN. Los demás los puede completar con búsquedas de políticas específicas en Google. La forma en que manejamos a una parte externa que quiere ver la política es dejándola sentarse en la oficina de nuestro Director de Operaciones y permitiéndole leerla. Nuestra política es que la política nunca abandone el edificio y más específicamente nuestra vista. Tenemos acuerdos que cualquier tercero debe aceptar al trabajar en capacidades específicas que requerirían acceso a nuestra información. Y son caso por caso. Es posible que esta política no se ajuste a su entorno ni todas las políticas que se encuentran en SAN '

TechGuyTJ
fuente
Me alegro de no ser el único con esta experiencia.
MathewC
Ha sido interesante, pero una gran experiencia. Puede que mis usuarios ya no me quieran mucho, pero si lo miras desde una perspectiva estadística. Leí en una semana o semana de información que en algún lugar cercano al 70% de todas las empresas que experimentan una violación de seguridad no se recuperan y dentro de los 2 años de encontrar la violación cierran sus puertas.
TechGuyTJ
1

¿Es una práctica estándar? Mi experiencia es afirmativa para ciertas industrias que están reguladas, como la banca, la alimentación, la energía, etc.

¿Existe un formato estándar: hay una serie de estándares, pero si su contrato no especifica un estándar (ISO, por ejemplo), debe aceptar contractualmente el formato que elija.

No debería ser difícil. Ya tiene un estándar de parches y contraseñas, por lo que el documento debe especificar cuál es ese estándar y cómo se asegura de que se siga. No caigas en la trampa de pasar demasiado tiempo haciéndolo bonito. Solo un simple documento será suficiente.

Si su contrato especifica el uso de un estándar específico, entonces debe buscar ayuda profesional para asegurarse de que cumple con los requisitos contractuales.

Shawn Anderson
fuente
1

Recibimos mucho esta pregunta porque somos una instalación de alojamiento. La conclusión es que no lo entregamos a menos que sepamos exactamente lo que están buscando por adelantado. Si están buscando algo en nuestra política de seguridad que no tenemos, generalmente es porque la naturaleza de nuestro negocio no lo requiere, y se lo decimos. Eso puede ser subjetivo, pero no importa: todavía tenemos que perder negocios por eso. La mayoría de las veces, preguntan porque tienen que decirle a alguien más que lo hicieron. Una respuesta 'NO' no es necesariamente algo malo o un factor decisivo.

Acabamos de pasar por la certificación SAS70 II, por lo que ahora solo damos la carta de opinión del auditor y dejamos que hablen por nuestras políticas escritas.

Scott Kantner
fuente
0

Necesitarás un NDA antes de mostrarles algo. Luego les dejaría venir y revisar la política de seguridad, pero nunca tendría una copia de ella.

MathewC
fuente
No lo habría rechazado, pero aunque no lo publicaría, compartirlo con socios comerciales no está fuera de discusión. Si bien no ha sido lo mismo en todas las empresas en las que he trabajado, mi departamento de TI existe para las necesidades comerciales por encima de cualquier otra. Me imagino que compartir nuestro plan de seguridad de TI es similar a compartir un proceso comercial o un plan comercial.
Reconbot
He pasado por el cumplimiento de SAS70 y muchos "socios" solo permitirían la revisión. Es una responsabilidad tener algo impreso que dice que usted hace algo, y luego no lo hace, o hizo algo que causó un problema. Lamento que no estés de acuerdo, pero estaba dando mi opinión por experiencia. No creo que merezca un voto negativo.
MathewC
Solo siendo claro, no te rechacé. Eso no era necesario. Tu experiencia es exactamente el tipo de cosas que me gusta escuchar. ¡Gracias!
Reconbot
Si tuviera el representante, te rechazaría. No necesitan firmar un NDA solo para ver su Política de seguridad de TI / Política de InfoSec. (Hay una distinción entre una política y un estándar / procedimiento) Hay muchas razones válidas para necesitar ver una política de InfoSec de organizaciones (cumplimiento de Sox, PCI DSS, etc.) La mayoría de las organizaciones lo hacen completamente público: obfs.uillinois.edu /manual/central_p/sec19-5.html
Josh Brower
Es una precaución. Si no quieres tomarlo para protegerte, entonces depende de ti. Di una razón válida por la que no deberías hacerlo. Y lamento que no tengas el representante para rechazarme. Me gusta reservar mis votos negativos para respuestas malas / peligrosas, no políticas con las que no estoy de acuerdo.
MathewC
Al usar nuestro sitio, usted reconoce que ha leído y comprende nuestra Política de Cookies y Política de Privacidad.
Licensed under cc by-sa 3.0 with attribution required.