Hosting z certyfikatem ISO 27001

[itomek]

Certyfikat ISO 27001 to kwestia bardzo ważna, nie tylko w firmach hostingowych. Certyfikatu nikt nie wydaje "na piękne oczy". Jego uzyskanie to bardzo złożony procese, nierzadko kilkunastomiesięczny, a kończy go drobiazgowy, trwający również dość długo audyt w siedzibie firmy. Procedury bezpieczeństwa w podmiotach IT gwarantują zachowanie najwyższych standardów ochrony informacji. To polityki zarządzania dokumentacją, rozwojem, personelem, usługami, obsługą klientów, ochroną danych osobowych, rozwojem, obsługą techniczną itd itd. Regulują wszystkie kluczowe aspekty działania firmy. Jak istotne są to elementy można zweryfikować chociażby patrząc na największe firmy sektora IT nie tylko w Polsce, ale przede wszystkim na świecie. Klient, który jest odbiorcą całego tego mechanizmu, ma więc do wyboru firmę z certyfikatem, wydanym na podstawie niezależnego audytu, oraz firmę, która sama sobie opracowała i sama sobie zatwierdziła (lub nie) procedury. Kogo wybierze - fakt, to już jego decyzja.

[theqkash]

Jako audytor nie do końca zgodziłbym się z tym co piszesz, ale to już pominę, bo widzę, że i tak odpowiadasz wybiórczo i tylko na to na co jest Ci wygodnie odpisać. Ciężko sie w taki sposób dyskutuje, więc nie rozumiem dlaczego w ogóle otwierasz takie wątki i zapraszasz do dyskusji podczas gdy chcąc uzyskać prostą informację o co proszę od kilku postów nie potrafisz odpowiedzieć w sposób konkretny, nie pozostawiający wątpliwości, a nawet zarzucasz innym niekompetencję, co jest wręcz po prostu niegrzeczne.

 

Uzyskanie certyfikatu o którym piszemy w tym wątku nie gwarantuje że do serwerów firmy się nikt nie włamie bo np. nie były aktualizowane od X czasu kluczowe pakiety albo dlatego że pojawił się 0day, albo że w panelu administracyjnym z którego korzystacie może występować backdoor na podstawie którego można uzyskać dostęp do dowolnego konta. Nie gwarantuje też, że w przypadku gdy zajdzie potrzeba skorzystania z procedur przygotowanych w ramach certyfikacji, ktoś z nich skorzysta, a nie postąpi "na pałę". Macie przygotowane procedury i dokumenty które teoretycznie mogą się przydać na wypadek incydentu i powinniście się do nich stosować, a to jak będzie incydent jak się człowiek zachowa to druga para kaloszy.

 

Zobowiązaliście się także w ramach audytu do tego, że pewne rzeczy macie zrobione, technicznie pewna część z nich nie została najpewniej nawet sprawdzona przez audytora w jakikolwiek inny sposób niż poprzez Wasze zapewnienie. Można sobie tak gadać, ale i tak napiszesz co będziesz chciał, bo niestety nie masz w zwyczaju przyznać się do tego, że trochę się zagalopowałeś, albo że zagalopowaliście się jako firma.

 

Anyway: pisanie , że korzystanie z firm które mają taki certyfikat gwarantuje bezpieczeństwo, jest raczej jedynie pewnego rodzaju gwałtem na znaczeniu słowa "bezpieczeństwo", bo od uzyskania takiego certyfikatu do pełnego bezpieczeństwa gwarantującego spokój od wszystkiego jest dość daleka droga. Jeśli jest inaczej, przedstaw jakieś konkrety albo dowody o co proszę od kilku postów, albo kończymy dyskusję, bo wygląda na to że jest bezowocna.

[sempre]

Czekam z wypiekami na twarzy aż ujrzę kolejny post zapraszający do dyskusji z backlinkiem do bloga. 

[itomek]

Lekceważące podejście do procesu certyfikacji ISO 27001 i jego wyników nie napawa mnie optymizmem. Rozumiem, że ktoś może nie być zainteresowany otrzymaniem ISO - z różnych przyczyn - ale pisanie między słowami o tym, że to działanie będące sztuką dla sztuki jest dla mnie zatrważające, szczególnie że wypowiadają się w temacie osoby związane z branżą IT. Podejrzewam, że kontestatorzy ISO 27001 nie mieli okazji uczestniczyć ani w procesie tworzenia procedur ochrony, ani nie miały okazji uczestniczyć chociażby w procesie faktycznego ich audytu. Myślę, że dla znających się na rzeczy jest w pełni zrozumiałe, czemu jako przedstawiciel jednej z firm na tym forum nie opisuję w swoich odpowiedziach wprost know how procesu i efektów certyfikacji. O takich rzeczach się po prostu nie dyskutuje. ISO 27001 albo zostaje przyznane albo nie, nie ma tutaj innej możliwości. Jeżeli ktoś nie miał dotychczas okazji dowiedzieć się, czemu tak ważne są systemy zarządzania bezpieczeństwem informacji, czemu ISO 27001 jest istotne w firmach IT, czego wymaga od nich i jakie efekty niesie sama certyfikacja, w tym celu powstał właśnie artykuł, który opublikowaliśmy na blogu, a do którego link został uznany za... kryptoreklamę. 

 

Pozostaje mi w tym miejscu życzyć powodzenia każdemu, kto nie ufa certyfikatom i audytom, a w kolejną zimę wybierze się np. w Alpy Francuskie powierzając swoje zdrowie sprzętowi do wspinaczki wysokogórskiej, który został wyprodukowany w firmie nie posiadającej wymaganych certyfikatów. 

[Tom X]

10 godzin temu, sempre napisał(a):

Czekam z wypiekami na twarzy aż ujrzę kolejny post zapraszający do dyskusji z backlinkiem do bloga. 

Wypada docenić subtelne gospodarowanie frazami kluczowymi w postach

[theqkash]

Zamykam to pośmiewisko, co by autor się dalej nie upokarzał publikując w kółko te same bzdury. Jak pojawi sie refleksja to otworzę do dyskusji. Ale tylko pod warunkiem że w końcu się dowiemy jakie to ważne aspekty są kluczowe w tym wypadku dla bezpieczeństwa klientów bo dotychczas taka informacja nie padła w tym wątku, za to padło mnóstwo wymijających wypowiedzi. Informacja o sensowności certyfikacji względem danych klientów wydaje sie kluczowa jeśli chwalimy sie nią i wynikającym z niej bezpieczeństwem.
 

Jeśli autor dyskutować nie zamierza to niech tematów nie tworzy. To nie jest folwark nazwa.pl.