Jestem audytorem IT, który ma doświadczenie w ocenianiu kontroli bezpieczeństwa w organizacjach usługowych, takich jak Twoja firma.
Bycie jednym z dwóch głównych „odpowiedzialnych” teraz za sieć , czy narażam się na jakiekolwiek osobiste ryzyko?
We wszystkich poświadczeniach, które zrobiłem ( SOC 1 2, 3 AUPs), klient i usługa organizacja / dostawca miała umowę, która jest zwykle podpisywana przez wyższą kadrę kierowniczą klienta i organizacji usługowej. Ustanowienie kontroli wewnętrznej w firmie jest ostatecznie obowiązkiem kierownictwa i jeśli nie jesteś członkiem wyższej kadry kierowniczej, jest mało prawdopodobne, że klient zostanie pociągnięty do odpowiedzialności, jeśli kontrole są oszukańczo fałszywie przedstawiane.
Czy jest coś, co mogę zrobić poza szybkim statkiem ?
To, co ty osobiście możesz zrobić, nie ma nic podobnego do innych odpowiedzi. Dlatego zgadzam się, że najlepszą decyzją dla Ciebie jest jak najszybsze odejście. W dłuższej perspektywie może istnieć możliwość pozytywnej zmiany, ale biorąc pod uwagę to, co powiedziałeś o zarządzaniu, wątpię, czy dojdzie do poważnej poprawy w zakresie bezpieczeństwa IT Twojej firmy, ponieważ Kierownictwo po prostu nie dba o kontrolę wewnętrzną.
Nie zdziwiłbym się, gdyby poprawa, zakładając, że będzie miała miejsce, będzie kierowana przez klienta w postaci przeglądów due diligence dostawców lub audytów SOC wymaganych przez nowych klientów, zanim rozważą współpracę z Twoja firma.
Od teraz, jeśli klient zażądałby SOC 1/2 (w zależności od tego, czy usługa wpływa na jego sprawozdawczość finansową), Twoja firma najprawdopodobniej otrzymałaby negatywną opinię. Innymi słowy , audytor doszedłby do wniosku, opierając się na braku wiarygodnych dowodów, że kontrole określone przez kierownictwo firmy jako wprowadzone nie są zaprojektowane ani nie działają skutecznie. Na przykład na podstawie tego, co napisałeś, nie ma możliwości, aby cele kontroli SOC 2 dotyczące komunikacji zostały spełnione.
Oprócz pytania, poniżej przedstawiamy tylko kilka dodatkowych sugestii.
Zapomnij o wdrażaniu znaczących kontroli bezpieczeństwa informacji, dopóki te zasady bezpieczeństwa nie zostaną odblokowane i udostępnione do wszystkich pracowników
Aby program bezpieczeństwa informacji w firmie działał, wszyscy pracownicy muszą aktywnie uczestniczyć. Nie mogą tego zrobić, jeśli nie wiedzą, czego się od nich oczekuje. Na przykład:
- Co powinien zrobić pracownik, jeśli podejrzewa incydent związany z bezpieczeństwem?
- W jaki sposób powinien zgłosić skradzione zasoby, takie jak laptopy?
- Jeśli nie ma wymogu przeprowadzania okresowych szkoleń z zakresu bezpieczeństwa, czy pracownicy mają wiedzę na temat ataków wymierzonych w ludzkie słabości, takich jak inżynieria społeczna?