Microsoft Security Assessment Tool
|
En esta página
 | Comprendiendo los Riesgos |
| El Proceso de la MSAT |
| Información General acerca de la Herramienta de Evaluación |
La Herramienta de Evaluación de la Seguridad de Microsoft (por su sigla en inglés MSAT, Microsoft Security Assessment Tool) es una herramienta gratis, que ha sido diseñada para ayudar a organizaciones como la suya a evaluar las debilidades de su entorno de TI actual, relevar una lista de temas prioritarios y brindarle una guía que lo ayudará especialmente a minimizar los riesgos. La MSAT constituye una forma fácil y rentable de fortalecer la seguridad de su entorno informático y de su negocio. Comience el proceso con una reseña del estado actual de su seguridad y luego utilice la MSAT para controlar en forma continua la capacidad de su infraestructura para responder a las amenazas a su seguridad.
En Microsoft, la seguridad de las redes de nuestros clientes, los servidores de negocios, las computadoras de usuarios finales, los dispositivos móviles y el acceso a los datos constituyen la prioridad principal. Estamos comprometidos con brindar herramientas de seguridad como la MSAT para ayudarlo a mejorar el estado de seguridad de su negocio.
Haga clic aquí para descargar e instalar la MSAT.
Comprendiendo los Riesgos
La MSAT ha sido diseñada para ayudarla a identificar y abordar los riesgos a la seguridad de su entorno TI. La herramienta emplea un enfoque holístico para medir la postura de su seguridad y cubrir temas que incluyen a la gente, los procesos y la tecnología.
La MSAT brinda:
| • | Una toma de conciencia continua, integral y de fácil uso. |
| • | Un marco de defensa en profundidad con un análisis comparativo de la industria. |
| • | Un informe detallado, continuo comparando el punto de referencia con su progreso. |
| • | Recomendaciones comprobadas y actividades prioritarias para mejorar su seguridad. |
| • | Microsoft estructurado y orientación de la industria. |
Visite el sitio web de Informática de Confianza (Trustworthy Computing) para descubrir más acerca del compromiso Microsoft de Informática de Confianza.
Lea los Informes de Inteligencia en la Seguridad de Microsoft (Microsoft Security Intelligence Report) actualizados. Para mayor información, visite el Centro de Protección de Malware (Malware Protection Center).
El Proceso de la MSAT
La MSAT contiene más de 200 preguntas acerca de la infraestructura, las aplicaciones, las operaciones y la gente. Las preguntas, sus respuestas asociadas, y las recomendaciones en cuestión están basadas en las mejores prácticas aceptadas, normas tales como las ISO 17799 y NIST-800.x, las recomendaciones y la orientación prescriptiva del Grupo de Informática de Confianza de Microsoft (Microsoft Trustworthy Computing Group) y otras fuentes externas de seguridad.
La evaluación se ha diseñada para identificar el riesgo comercial a su organización y las medidas de seguridad desplegadas para mitigar dicho peligro. Centrándose en temas comunes, las preguntas han sido desarrolladas para brindar una evaluación de los riesgos de alto grado en la seguridad a la tecnología, procesos y la gente que dan soporte a su negocios.
Comenzando con una serie de preguntas acerca del modelo del negocio de su empresa, la herramienta crea un Perfil de Riesgo Comercial (Business Risk Profile - BRP), midiendo los riesgos de su compañía en base al modelo de la industria y el negocio definido para el BRP. Una segunda serie de preguntas han sido preparadas para compilar una lista de medidas de seguridad que su compañía ha desarrollado a lo largo del tiempo. En forma conjunta, estas medidas de seguridad forman capas de defensa, brindando una mayor protección contra los riesgos de seguridad y otras vulnerabilidades específicas. Cada capa contribuye una estrategia combinada para una defensa en profundidad. La suma de las mismas constituye el Índice de Defensa en Profundidad (Defense-in-Depth Index - DiDI). El BRP y el DiDI son entonces comparados para medir la distribución del riesgo entre las áreas de análisis (AoAs)—la infraestructura, las aplicaciones, las operaciones y la gente.
Además de medir la alineación de los riesgos y defensas de seguridad, esta herramienta también mide la madurez de la seguridad de su organización. La madurez de la seguridad se refiere a la evolución de las prácticas de seguridad y mantenimiento. Básicamente, se utilizan pocas defensas de seguridad y las acciones son más del tipo reactivo. De forma más compleja, los procesos establecidos y probados permiten a la compañía actuar más proactivamente y responder más eficazmente y consistentemente cuando sea necesario.
En consecuencia, se brindan recomendaciones con respecto al manejo de los riesgos para su entorno, tomando en cuenta el despliegue de la tecnología existente, la postura de seguridad actual, y las estrategias de defensa en profundidad. Las sugerencias están diseñadas para ser desplegadas a lo largo de un camino hacia las mejores prácticas reconocidas.
Esta evaluación—incluidas las preguntas, las medidas y las recomendaciones —ha sido diseñada para las organizaciones de mediano tamaño que cuentan entre 50 y 1.500 ordenadores en sus entornos. De esta manera, cubren las áreas de riesgo potencial a través de su entorno, y no tan sólo brindan un análisis en profundidad de tecnologías o procesos particulares. Como resultado, la herramienta puede medir la efectividad de las medidas de seguridad empleadas. Este informe debe ser utilizado como una guía preliminar para ayudarlo a desarrollar un punto de referencia para centrar la atención en áreas específicas que requieran de una atención más rigurosa. A través de la orientación brindada por la MSAT y las actividades de seguridad implementadas, usted puede ejecutar la herramienta tan a menudo como guste para obtener un mayor conocimiento de su progreso contra un informe MSAT de un punto de referencia establecido.
Información General acerca de la Herramienta de Evaluación
Esta Herramienta de Evaluación de la Seguridad de Microsoft (Microsoft Security Assessment Tool) ha sido diseñada para brindarle asistencia en la identificación y gestión de los riesgos a la seguridad de su entorno informático. La herramienta emplea un enfoque holístico para medir la postura de seguridad cubriendo temas como la gente, los procesos y la tecnología. Los hallazgos se complementan con una orientación prescriptiva y los esfuerzos recomendados de mitigación, incluyendo enlaces para obtener mayor información a modo de orientación de la industria adicional según el caso. Estos recursos pueden asistirlo en el aprendizaje de las herramientas y los métodos específicos para cambiar la postura de seguridad de su entorno TI.
La evaluación consiste en más de 200 preguntas, que se dividen en cuatro categorías:
| • | La Infraestructura |
| • | Las Aplicaciones |
| • | Las Operaciones |
| • | La Gente |
Las preguntas que constituyen la sección de la encuesta de la herramienta y las respuesta asociadas provienen de las mejores prácticas comúnmente aceptadas, tanto de corte general como específico, en lo que concierne a la seguridad. Las preguntas y las recomendaciones que la herramienta ofrece están basadas en normas tales como las ISO 17799 y las NIST-800.x, así como las recomendaciones y la orientación prescriptiva del Grupo de Informática de Confianza de Microsoft (Microsoft Trustworthy Computing Group), pero también de otras fuentes de seguridad externas.
La siguiente tabla ofrece una lista de las áreas que son incluidas en la evaluación de los riesgos a la seguridad.
| Infraestructura | Su Importancia para la Seguridad |
Defensa del Perímetro | La defensa del perímetro trata de la defensa de los límites de la red, allí donde su red interna se conecta al mundo exterior. Esta constituye su primera línea de defensa contra los intrusos. |
Autentificación | Los procedimientos de autentificación rigurosos para los usuarios, administradores, y usuarios remotos ayudan a prevenir a que extraños ganen acceso autorizado a la red por medio de ataques locales o remotos. |
Gestión y Control | La gestión, control y registros adecuados resultan críticos para el mantenimiento y el análisis de los entornos TI. Estas herramientas son más importantes luego de que el ataque haya ocurrido y un análisis de incidentes sea solicitado. |
Terminales | La seguridad de las terminales individuales son un factor crítico en la defensa de cualquier entorno, especialmente cuando el acceso remoto es permitido. Las terminales tienen protecciones para resistir ataques comunes. |
| Aplicaciones | Su Importancia para la Seguridad |
Implementación y uso | Cuando las aplicaciones críticas comerciales son desplegadas, la producción, la seguridad y la disponibilidad de dichas aplicaciones y los servidores alojados deben ser protegidos. El mantenimiento continuo es esencial para ayudar a asegurar el bloqueo a virus y que las nuevas vulnerabilidades no sean introducidas al entorno. |
Diseño de la Aplicación | El diseño que no cuente con los mecanismos adecuados de seguridad como la autentificación, la autorización y la validación de los datos puede permitir a los atacantes explotar las vulnerabilidades de la seguridad y, por lo tanto, ganar acceso a información delicada. |
| Operaciones | Su Importancia para la Seguridad |
Entorno | La seguridad de una organización depende de los procedimientos, los procesos y las orientaciones operativas que son aplicadas al entorno. Contribuyen a la seguridad de una organización al incluir mucho más que meras defensas tecnológicas. La documentación precisa del entorno y la orientación resulta crítica para la habilidad del equipo en cuestión para gobernar, brindar soporte y mantener la seguridad del entorno. |
Política de Seguridad | La política de seguridad corporativa se refiere al conjunto de políticas y orientaciones individuales que existen para administrar la seguridad y hacer un uso apropiado de la tecnología y los procesos dentro de la organización. Esta área cubre políticas que abordan todos los tipos de seguridad: en relación al usuario, el sistema y los datos. |
Soporte y Recuperación | El soporte y recuperación de datos es esencial para el mantenimiento de la continuidad del negocio frente a un problema o falla del hardware o software. La falta de soporte apropiado y de procedimientos de recuperación puede llevar a una falta de datos y productividad de importancia. La reputación de la compañía y la marca pueden estar en peligro. |
Gestión de Ajustes, Parches y Actualizaciones | Una buena gestión de ajustes y actualizaciones resulta importante para ayudar a la seguridad del entorno TI de su organización. La aplicación a tiempo de los ajustes y la actualización del mismo resultan necesarias para ayudar a protegerlo contra vulnerabilidades conocidas y explotables. |
| La Gente | Su Importancia para la Seguridad |
Requisitos y Evaluaciones | Los requisitos de seguridad deben ser entendidos por todos aquellos que toman decisiones para que sus decisiones técnicas y comerciales realcen la seguridad más que entren en conflicto con el. La evaluación regular por parte de un tercero puede ayudar a que la compañía revise, evalué, e identifique las áreas plausibles de mejora. |
Políticas y Procedimientos | Los procedimientos claros y prácticos para la administración de las relaciones con los proveedores y socios pueden ayudar a proteger la compañía de la exposición a riesgos. Los procedimientos que cubren la contracción y desvinculación de los empleados pueden ayudar a proteger la compañía contra los empleados inescrupulosos o que se han visto contrariados. |
Entrenamiento y Concientización | Los empleados deben ser entrenados y concientizados en lo que concierne a las políticas de seguridad y como la seguridad se aplica a las actividades laborales de a diario para no exponer a la compañía a riesgos mayores e inadvertidos. |