Est-ce que ISO 27001 permet à une entreprise d'utiliser FTP?
Sur un projet, je devais utiliser non sécurisé FTP pour vous connecter au fournisseur d'hébergement - pas SFTP, pas FTPS. Le fournisseur d'hébergement affirme fièrement sa certification ISO 27001. D'une manière ou d'une autre, cela me semblait tout à fait tort.
Est-il possible qu'une entreprise reçoit une certification ISO 27001 tout en utilisant fortement des protocoles d'insécurité tels que FTP?
Je ne suis plus sur ce projet, je n'ai pas eu de réponse appropriée lorsque j'ai demandé dans le passé et je ne serai certainement pas répondre si je demande au fournisseur de services à ce sujet maintenant.
Je suis principalement intéressé à savoir comment cela fonctionne en relation avec l'ISO 27001 - et par conséquent à la quantité de valeur que je peux placer dans cette certification.
Celui qui donne ces certifications indifférent à une organisation utilisant FTP? Ou est-il plus probable que le fournisseur de services ait conservé cette information du certificateur?
Personnellement, je ne fais confiance à aucun fournisseur de services Internet qui utilise toujours FTP pour n'importe quoi. Insuffisez-le à l'option principale de leurs clients.
(Je connais la différence entre FTP, SFTP et FTPS - Eh bien la différence entre le ce dernier 2 un peu moins mais qui dépasse cette question.)
Connexe mais pas en double:
Mise à jour: Les données non sécurisées ont été transmises sur un canal non sécurisé. Avec un homme dans les attaquants qualifiés d'attaque moyens, il aurait facilement pu accéder au réseau interne de l'institution (je ne fournirai pas de détails ici, mais wow ... j'aurais pu le faire moi-même - et je m pas un Pentest Pro par aucun moyen). Le fournisseur de services doit en avoir été au courant.
ISO 27001 ne spécifie pas quels protocoles doivent être utilisés et comment ils doivent être utilisés, cela spécifie la manière dont une organisation doit structurer son appareil de sécurité de l'information. Une organisation certifiée ISO 27001 doit avoir des politiques en place et des procédures pour s'assurer que les politiques sont respectées.
ISO 27001 a également une portée qui est définie par l'organisation qui peut faire une énorme différence sur l'impact de la certification. Une certification qui couvre la machine à café compatible réseau est un peu différente de celle qui couvre toute la entreprise. La certification ISO 27001 dans le cas de votre question peut ne pas avoir le serveur FTP dans la portée.
FTP est parfaitement acceptable à utiliser dans des cas où les données transférées sont publiques ou d'autres contrôles en place pour protéger les données. Si les données sont cryptées avant le transit et que vous disposez d'un bon système de vérification pour vous assurer que les données ne sont pas altérées, alors l'envoyer sur un canal non crypté est correct. D'une perspective ISO 27001 si l'organisation a effectué une évaluation des risques et a suivi un processus pour atténuer le risque, il est fait ce qu'il est censé faire.