|
|
 |
 |
| |
Proceso de seguridad
Tal vez encuentre su entorno de la tecnología de la información
(TI) difícil de controlar y costoso de administrar. La
infraestructura Básica de TI se caracteriza por procesos manuales
y localizados; un mínimo control central; y políticas
y estándares de TI inexistentes o no aplicados respecto a la
seguridad, el respaldo, la administración e implementación
de imágenes, el cumplimiento y otras prácticas de TI
comunes. |
|
| |
| |
Al cambiar de una infraestructura Estandarizada de TI, su organización
se puede beneficiar al contar con personal de TI capacitado sobre
las mejores prácticas tales como Microsoft Operations Framework
(MOF), la Biblioteca de infraestructura de TI (ITIL), la administración
y configuración centrales de seguridad, la definición
de imágenes estándar de escritorio, así como
diversos directorios para una fácil autenticación.
El siguiente gráfico describe parar usted el entorno del
cliente y qué beneficios y acciones realizar al ayudar al
cliente a cambiar de un estado de madurez al siguiente incluyendo
la siguiente información:
|
|
| |
• Descripción del entorno del cliente |
| |
• Beneficios de pasar al siguiente nivel |
| |
• Proyectos posibles con un cliente (plan de acción) |
| |
| |
Proceso de seguridad: Básico a Estandarizado
Situación del cliente
• Ya no se brinda soporte a sistemas operativos/Productos
de infraestructura.
• No existe una persona dedicada para la estrategia
y políticas de seguridad.
• No se cuenta ni se realiza esporádicamente
una evaluación de riesgos.
• No se cuenta ni se tiene un Plan descoordinado
de respuesta a incidentes.
• Se utiliza una tecnología básica
de protección de identidades.
• Proceso básico para administrar las
identidades del usuario/dispositivo/servicios.
• Los controles antivirus y la seguridad de la
red se administra de manera inconsistente.
• Identificación inconsistente de dispositivos
conectados a la red.
• Proceso inconsistente para actualizar la seguridad
en todos los activos de TI conectados a la red.
• Cumplimiento inconsistente de las políticas
de seguridad en los dispositivos conectados a la red.
• Procesos de adquisición de software
inconsistentes para evaluar los requisitos de seguridad.
• Tecnologías básicas para proteger
la confidencialidad e integridad de los datos.
• Proceso inconsistente para clasificar los datos
y la aplicación de controles apropiados de
seguridad.
Proyectos recomendados para este nivel
• Desarrolle Políticas de seguridad e
implemente la tecnología reciente.
• Actualice las versiones recientes del sistema
operativo y la infraestructura.
• Nombre a una persona dedicada para las estrategias
y políticas de seguridad.
• Establezca una Metodología de evaluación
de riesgos que se pueda utilizar con los resultados
que se reportan a ISO en el sitio.
• Implemente un Plan de respuesta a incidentes
para identificar las áreas afectadas y restaurarlas.
• Establezca un proceso para administrar las
identidades del usuario/dispositivo/servicios en el
sitio.
• Establezca controles antivirus y un proceso
administrado de seguridad de la red en el sitio.
• Establezca un proceso consistente para identificar
problemas de seguridad y actualizar problemas de seguridad
en todos los dispositivos conectados a la red en el
sitio.
• Establezca el cumplimiento consistente de políticas
de seguridad en los dispositivos conectados a la red
en el sitio.
• Califique el plan de evaluación para
revisar el Software adquirido en todos los requisitos
de seguridad.
• Establezca un proceso consistente para clasificar
los datos y la aplicación de controles de Seguridad
apropiados en el sitio.
Capacitación online disponible (programa
Microsoft TechNet Reality IT)
• 13/11/2006: Implementación
de políticas de Seguridad Informática.
• 23/01/2007: Cómo
introducir proceso utilizando Microsoft Operations
Framework.
• 25/01/2007: Configurando
procesos para identificar amenazas de seguridad en
la infraestructura de red y en los dispositivos conectados
a ella.
Los eventos realizados en fechas pasadas, tendrán
disponible la grabación del mismo, aproximadamente
una semana después de haberse llevado a cabo.
Los eventos a realizarse en fechas venideras, tienen
disponible el link para registrarse al mismo.
Los eventos que aún no cuentan con link para
registrarse, lo tendrán disponibles aproximadamente
una semana antes de la fecha de transmisión.
Más información en www.capa8.com
|
Proceso de Seguridad:
de Estandarizado a Racionalizado
Situación del cliente
• Sin un proceso consistente para Evaluación
de riesgos.
• Se cuenta con un Plan de respuesta a incidentes,
pero no está completamente documentado.
• Sólo se utiliza una tecnología
estándar para la protección de identidades.
• Sólo hay un proceso estándar
para administrar las identidades del usuario/dispositivo/servicios.
• Sólo se cuenta en el sitio con Protección
a clientes y procesos indocumentados de seguridad
de la red.
• Identificación no documentada de los
dispositivos conectados a la red.
• Proceso no documentado para actualizar la seguridad
en todos los activos de TI conectados a la red.
• Cumplimiento sin documentar de las Políticas
de seguridad en los dispositivos conectados a la red.
• Procesos no documentados de adquisición
de software para evaluar los requisitos de seguridad.
• No hay tecnologías estándar para
proteger sólo la confidencialidad e integridad
de los datos.
• Proceso no documentado para clasificar los
datos y utilizar los controles de seguridad apropiados.
Proyectos recomendados para este nivel
• Desarrolle Políticas de seguridad de
defensa profunda.
• Establezca en el sitio un proceso consistente
de evaluación de riesgos con personas y otros
recursos para mejorar la seguridad de la información
dentro de la organización.
• Establezca en el sitio un Plan consistente
y documentado para responder a incidentes.
• Utilice la Tecnología de protección
de identidades que se emplea, establezca un proceso
documentado en el sitio donde las identidades afectadas
del usuario/servicio/dispositivo se puedan evaluar
de manera consistente.
• Establezca protección para el cliente
y el servidor y un proceso documentado para reducir
los riesgos.
• Establezca un proceso documentado en el sitio
para identificar y restaurar todas las redes conectadas
afectadas.
• Establezca un proceso documentado para actualizar
la seguridad en todos los activos de TI conectados
a la red en el sitio.
• Establezca el cumplimiento de políticas
de seguridad en los dispositivos conectados a la red
en el sitio.
• Establezca un proceso en el sitio para administrar
las pruebas de requisitos de seguridad en todo el
software adquirido o desarrollado.
• Establezca un proceso administrado en el sitio
para clasificar los datos y utilizar controles de
seguridad apropiados.
Capacitación online disponible (programa
Microsoft TechNet Reality IT)
• 27/03/2007: Documentado las políticas
de seguridad.
Los eventos realizados en fechas pasadas, tendrán
disponible la grabación del mismo, aproximadamente
una semana después de haberse llevado a cabo.
Los eventos a realizarse en fechas venideras, tienen
disponible el link para registrarse al mismo.
Los eventos que aún no cuentan con link para
registrarse, lo tendrán disponibles aproximadamente
una semana antes de la fecha de transmisión.
Más información en www.capa8.com
|
Proceso de seguridad: Racionalizado a Dinámico
Situación del cliente
• Comunicación inconsistente del proceso
de Evaluación de riesgos con los dueños
de la empresa.
• Se cuenta con un Plan de respuesta a incidentes,
pero la capacitación de habilidades de las
personas que responden es insuficiente.
• Se utiliza una tecnología de protección
de identidades y un proceso en el sitio, pero la capacitación
de habilidades del personal de TI es insuficiente,
así como el análisis del costo/beneficio.
• Se cuenta con Protección al cliente
y servidor, pero la capacitación es insuficiente
y no hay un control de los buzones.
• Identificación de dispositivos conectados
a la red en el sitio, pero la capacitación
de habilidades del personal de TI es insuficiente.
• Proceso de actualizar la seguridad en todos
los activos de TI conectados a la red en el sitio,
pero la capacitación de habilidades del personal
de TI es insuficiente, así como el análisis
del costo/beneficio.
• Cumplimiento con las políticas de seguridad
en los dispositivos conectados a la red en el sitio,
pero la capacitación de habilidades del personal
de TI es insuficiente y no se envían informes
a los dueños de la empresa.
• Procesos administrados de Adquisición
de software para evaluar los requisitos de seguridad
en el sitio, pero la capacitación de habilidades
del personal de TI es insuficiente y no se envían
informes a los dueños de la empresa.
• Proceso administrado para clasificar los datos
y utilizar los controles de seguridad apropiados en
el sitio, pero el análisis del costo/beneficio
es insuficiente.
Proyectos que se recomiendan para este nivel
• Se optimizó la administración
de seguridad del servidor Web para una mayor eficiencia,
se cuenta en el sitio con todos los Procesos y políticas
de seguridad, se impartió una capacitación
efectiva y rigurosa de habilidades al personal de
TI, se enviaron informes a los dueños de la
empresa. Se proporcionó a los dueños
de la empresa un análisis del costo/beneficio.
|
|
|
|
|
|
|
