it-swarm-es.com

¿Cuál es un estándar de auditoría apropiado para una firma de abogados?

Soy un administrador de TI en un bufete de abogados. Manejamos datos confidenciales de clientes y algunos registros médicos. Realmente me gustaría que un consultor externo evaluara nuestras prácticas de seguridad de datos, pero no estoy seguro de qué pedir.

Me doy cuenta de que la respuesta real es "Depende según el marco regulatorio en el que se encuentre, HIPAA, SOX, PCI-DSS, etc."

Pero mi pregunta es para la comunidad, ¿existe un estándar de seguridad general que sería apropiado para un entorno de oficina general?

No caemos específicamente bajo ninguno de los marcos regulatorios mencionados anteriormente, pero no hacer nada tampoco es una buena opción.

9
SLY

Querrá consultar la Ley de protección de datos (o su equivalente en su jurisdicción), ya que establece pautas para la protección de datos personales sensibles, que incluyen datos médicos. La redacción en él, y en documentos similares, es bastante confusa, usando frases como "protección adecuada", lo cual no es útil, pero básicamente tiene como objetivo empujar a las organizaciones a tener que evaluar qué deben hacer con estos datos.

Además, la familia ISO27000 es ahora un conjunto de estándares industriales bastante útil. ISO27002 es apropiado para casi todas las organizaciones, por lo que, si bien es posible que no esté en condiciones de certificar su organización como compatible con 27002, puede usarlo como un componente clave.

Consulte el ISF , y específicamente su Estándar de buenas prácticas. Para citar la ISF:

El Estándar representa parte del conjunto de productos de gestión de riesgos de la información de la ISF y se basa en una gran cantidad de material, investigación en profundidad y el amplio conocimiento y experiencia práctica de los Miembros de la ISF en todo el mundo.

La Norma se actualiza al menos cada dos años para:

responder a las necesidades de las organizaciones internacionales líderes perfeccionar las áreas de mejores prácticas para la seguridad de la información reflejar el pensamiento más actualizado en seguridad de la información permanecer alineado con otros estándares relacionados con la seguridad de la información, como ISO 27002 (17799), COBIT v4.1 y PCI/DSS • incluyen información sobre los últimos 'temas candentes'.

La otra forma de hacerlo es conseguir que los socios del bufete de abogados evalúen su riesgo/responsabilidad/daño a la reputación si los registros del cliente se dañaron, se perdieron o se publicaron. Esto puede facilitar la compra para definir sus requisitos de seguridad.

6
Rory Alsop

Ambas respuestas anteriores son excelentes, pero me gustaría agregar la siguiente advertencia. Dirijo una empresa de servicios regulatorios y obtuve la certificación ISO 27001. Lo único que le comunicaría a cualquiera que esté pensando en obtener la certificación es que recuerde que estar certificado según un estándar no es como adquirir un talismán mágico que protege de todo mal (y juicios). Debido a que estos estándares no son obligatorios y la certificación es voluntaria, su protección ante los tribunales contra la reparación legal siempre se reduce a la debida diligencia.

En otras palabras, si un magistrado cree que usted ha expuesto indebidamente información confidencial, entonces estará jodido, independientemente de si tiene ISO 27001 o no. Sin embargo, el punto de la certificación, y esto es muy importante recordarlo, es que para obtenerla debe ser totalmente metodológico y cuidadoso, enumerar todas sus responsabilidades, evaluarlas y abordarlas con acciones correctivas. Esto significa que al final del proceso de certificación, su empresa estará mucho más alerta y 'endurecida' para tomar prestado un término de administrador de sistemas.

Estoy inclinado hacia ISO 27001 en lugar de SOX, etc., porque generalmente se acepta que ISO cubre los requisitos para prácticamente todos los demás estándares. PCI tiene algunas peculiaridades, como la separación de las instalaciones de procesamiento y otros estándares pueden ser prescriptivos sobre cosas particulares, pero aún puede implementarlos dentro de un marco ISO, y probablemente hará un mejor trabajo al mismo tiempo.

Un último punto que también se ha mencionado ya tangencialmente es que un buen sistema basado en la evaluación de riesgos le permitirá ahorrar dinero. Antes de empezar a hacerlo, quería el cortafuegos más caro, el lector de tarjetas más inteligente, la conmutación por error perfecta en varios sitios y me preocupaba por las especificaciones. Pero cuando ha realizado una evaluación de riesgos adecuada, comienza a darse cuenta de que en realidad nunca eliminará por completo el riesgo, por lo que, según la ley de rendimientos decrecientes, es mejor gastar su dinero de manera inteligente que apuntar a la máxima protección. Al final del día, una de sus mayores vulnerabilidades son sus empleados. Así que ahorre dinero a su empresa y organice algunas sesiones de formación del personal.

10
Mark Lawrence

Ampliando la última pequeña frase de la respuesta de @Rory, es posible que desee reconsiderar su enfoque: en lugar de buscar una regulación adecuada que pueda usar, haga que su consultor experto realice un análisis de seguridad centrado en activos y basado en riesgos comerciales.

Es decir, no se preocupe por los estándares genéricos, concéntrese en cambio en lo que es importante para s negocio - esto podría incluir robar de información confidencial del cliente, falta de disponibilidad de registros (que podría evitar que continúen las horas facturables), daño a la reputación, etc. Luego, la revisión podría centrarse en estos problemas y, de acuerdo con su estimación de valor, examinar las formas en que son vulnerables a los daños.

(Por supuesto, la revisión de seguridad también debe identificar las regulaciones o leyes aplicables, si las hay; esto, por supuesto, puede ser el mayor riesgo para la empresa).

Esto proporcionaría el mayor beneficio (o la falta de él) para su dinero/libra de seguridad.

5
AviD

Descubrimos que algunos de nuestros clientes legales se están moviendo hacia ISO 27001. Debido a esto, creamos una hoja de ruta (o guía). Siéntase libre de descargarlo y usarlo como referencia si está considerando moverse en esa dirección.

ISO 27002 (anteriormente ISO 17799) es una "colección" de controles de seguridad (a menudo denominados mejores prácticas) que se utilizan a menudo como un "estándar de seguridad".

ISO 27001 es un Sistema de Gestión de Seguridad de la Información (SGSI): un proceso lógico y estructurado mediante el cual una empresa puede determinar qué controles de seguridad (en gran parte de la colección ISO 27002) debe implementar para mantener el riesgo de seguridad de la información a un nivel aceptable. . Este enfoque evoluciona ISO 27002 mediante la definición de un proceso formal y auditable para determinar qué controles son relevantes y el grado/rigor necesarios para esos controles.

1