Skip to main content

Microsoft Security Assessment Tool

Contenido de esta página

Microsoft Security Assessment Tool (MSAT) es una herramienta gratuita diseñada para ayudar a organizaciones como la suya a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos. MSAT permite fortalecer la seguridad de su entorno informático y de su negocio de manera fácil y efectiva. Comience tomando una instantánea del estado actual de su seguridad y utilice a continuación MSAT para monitorizar de forma constante la capacidad de su infraestructura para responder a las amenazas de seguridad.

En Microsoft, nuestra principal prioridad es la seguridad de las redes de nuestros clientes, los servidores de las empresas, los usuarios finales, los dispositivos móviles y los activos de datos. Tenemos el compromiso de proporcionarle herramientas de seguridad como MSAT para ayudarle a mejorar el estado de seguridad de su empresa.

Haga clic aquí para descargar e instalar MSAT.

 

Conocer los riesgos

MSAT está diseñado para ayudarle a identificar y abordar los riesgos de seguridad en su entorno de TI. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnología.

MSAT proporciona:

  • Un conocimiento constante, completo y fácil de utilizar del nivel de seguridad
  • Un marco de defensa en profundidad con análisis comparativos del sector
  • Informes detallados y actuales comparando su plan inicial con los progresos obtenidos
  • Recomendaciones comprobadas y actividades prioritarias para mejorar la seguridad
  • Consejos estructurados de Microsoft y de la industria

Visite el sitio de Trustworthy Computing para saber más sobre el compromiso de Microsoft con este tema.

Lea el último Informe de inteligencia de seguridad de Microsoft. Para más información, visite el Malware Protection Center.

 

El proceso de MSAT

MSAT consta de más de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prácticas comúnmente aceptadas, estándares tales como las normas ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones prescriptivas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.

La evaluación está diseñada para identificar los posibles riesgos de negocio de su organización y las medidas de seguridad implementadas para mitigarlos. Centrándose en problemas comunes, las preguntas han sido desarrolladas para proporcionar una evaluación de seguridad de alto nivel de la tecnología, procesos y usuarios que participan en el negocio.

A partir de una serie de preguntas acerca del modelo de negocio de su compañía, la herramienta crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de su empresa al hacer negocios según el modelo empresarial y de negocio definido por BRP. Una segunda serie de preguntas tiene como fin elaborar un listado con las medidas de seguridad que su empresa ha implementado a lo largo del tiempo. Juntas, estas medidas de seguridad forman capas de defensa, proporcionando una mayor protección contra los riesgos de seguridad y vulnerabilidades específicas. Cada capa contribuye a una estrategia combinada para una protección a fondo. La suma de ellas se conoce como Índice de Defensa en Profundidad (DiDI). El BRP y DiDI se comparan entonces para medir la distribución del riesgo a través de las áreas de análisis (AoAs): infraestructura, aplicaciones, operaciones y usuarios.

Además de medir la equivalencia entre riesgos de seguridad y defensas, esta herramienta también mide la madurez de su organización. La madurez de la seguridad se refiere a la evolución llevada a cabo en el fortalecimiento de la seguridad y las tareas de mantenimiento. En el extremo inferior, son pocas las medidas de seguridad empleadas y las acciones llevadas a cabo son reacciones a los acontecimientos. En el extremo superior, se establecen y se prueban unos procesos que permiten a la compañía mayor proactividad y una respuesta más eficiente y consistente cuando es necesario.

Las recomendaciones sugeridas para la gestión de riesgos tienen en cuenta la tecnología existente, la presente situación de la seguridad y las estrategias de defensa en profundidad. Las sugerencias están pensadas para ayudarle a reconocer las prácticas más recomendadas.

Esta evaluación —incluidas preguntas, medidas y recomendaciones— está diseñada para empresas de tamaño mediano que disponen de un entorno compuesto por entre 50 y 1.500 puestos. Más que proporcionar un análisis en profundidad de unas tecnologías o procesos en particular, lo que pretende es cubrir la mayor cantidad posible de áreas de riesgo de su entorno. Por lo tanto, esta herramienta no puede medir la efectividad de las medidas de seguridad empleadas. El informe que proporciona debería ser utilizado como una guía preliminar sobre la que desarrollar la línea a seguir en áreas específicas que requieren una mayor atención. Puede volver a ejecutar la herramienta tantas veces como quiera después de obtener las orientaciones facilitadas por MSAT y de implementar las medidas de seguridad necesarias para tener un conocimiento preciso de los progresos realizados tomando como punto de partida el informe MSAT.

 

Descripción general de la herramienta de evaluación

Microsoft Security Assessment Tool está diseñada para ayudarle a identificar y abordar los riesgos de seguridad de su entorno informático. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnología. Sus conclusiones incluyen orientaciones y recomendaciones para mitigar los esfuerzos además de enlaces a información adicional sobre cuestiones propias del sector si ello es necesario. Estos recursos pueden informarle sobre las herramientas y métodos específicos que mejor le pueden ayudar a modificar la situación de la seguridad en su entorno tecnológico.

La evaluación se compone de 200 preguntas distribuidas en cuatro categorías:

  • Infraestructura
  • Aplicaciones
  • Operaciones
  • Personal

Las preguntas que conforman el cuestionario de la herramienta y las respuestas asociadas se derivan de las prácticas recomendadas de seguridad más comúnmente aceptadas, tanto de manera general como específica. Las preguntas y recomendaciones que la herramienta ofrece se basan en estándares tales como las normas ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones prescriptivas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.

La siguiente tabla especifica las áreas incluidas dentro de la evaluación de riesgos de seguridad.

InfraestructuraImportancia para la seguridad

Defensa perimetral

La defensa perimetral se centra en la seguridad de los límites de la red, ahí donde la red interna conecta con el mundo exterior. Constituye la primera línea de defensa contra los intrusos.

Autenticación

Unos procesos rigurosos en la autentificación de usuarios, administradores y usuarios remotos pueden ayudar a prevenir que alguien ajeno a la red obtenga acceso no autorizado a ella a través de ataques locales o remotos.

Gestión y monitorización

La gestión, monitorización y recogida de datos adecuada son críticas para el mantenimiento y análisis de entornos tecnológicos. Estas herramientas son incluso más importantes si se ha producido un ataque y se requiere un análisis del incidente.

Estaciones de trabajo

La seguridad de las estaciones de trabajo individuales es un factor clave en la defensa de cualquier entorno, especialmente si se permite el acceso remoto. Las estaciones de trabajo deberían disponer de protección para resistir un ataque común.

 

AplicacionesImportancia para la seguridad

Implementación y uso

Cuando las aplicaciones de negocio críticas se encuentran implementadas en producción, se debe proteger la seguridad y disponibilidad de dichas aplicaciones y de los servidores que las alojan. Es esencial un mantenimiento continúo que asegure que se resuelvan los problemas de seguridad y que no se producen nuevas vulnerabilidades en el entorno.

Diseño de aplicaciones

Un diseño que no cumple adecuadamente los mecanismos de autentificación, autorización y validación de datos puede permitir que un atacante aproveche una vulnerabilidad de seguridad y obtenga acceso a información confidencial.

Las metodologías de desarrollo de aplicaciones seguras son clave para cerciorarse de que tanto las aplicaciones desarrolladas internamente como las desarrolladas por terceros cumplen los modelos de seguridad y no dejan a la empresa abierta a posibles ataques.

La integridad y la confidencialidad de los datos son dos de las grandes preocupaciones de cualquier empresa. La pérdida o robo de datos puede influir negativamente en sus beneficios y reputación. Es importante comprender cómo las aplicaciones gestionan los datos críticos y cómo esos datos son protegidos.

 

OperacionesImportancia para la seguridad

Entorno

La seguridad de una organización depende de las operaciones, procesos y directrices que se aplican en su entorno. Permiten acentuar la seguridad siempre que incluyan algo más que las propias defensas tecnológicas. Es indispensable disponer de una documentación precisa del entorno para que el equipo de operaciones sepa cómo gestionarlo y mantenerlo.

Directiva de seguridad

La política de seguridad corporativa se refiere al conjunto de políticas y directrices individuales existentes que permiten dirigir la seguridad y el uso adecuado de tecnología y procesos dentro de la organización. Este área cubre políticas de seguridad de todo tipo, como las destinadas a usuarios, sistemas o datos.

Copia de seguridad y recuperación

Las copias de seguridad y recuperación de datos son esenciales para asegurar la continuidad del negocio en caso de que ocurra un desastre o un fallo de hardware o software. No disponer de ellas puede suponer una pérdida significativa de datos y productividad. La reputación de la compañía y de la marca podría ser puesta en entredicho.

Administración de revisiones y actualizaciones

Una buena gestión de revisiones y actualizaciones es importante para la seguridad del entorno tecnológico de la organización. Es necesario llevar a cabo actualizaciones periódicas y programadas para evitar que alguien aproveche vulnerabilidades conocidas.

 

UsuariosImportancia para la seguridad

Requisitos y evaluación

Los requisitos de seguridad deberían ser entendidos por todas las personas con capacidad de decisión, ya sea en cuestiones de negocio como en cuestiones técnicas, de forma que tanto unos como otros contribuyan a mejorar la seguridad en lugar de pelearse con ella. Llevar a cabo regularmente una evaluación por parte de terceras partes puede ayudar a la compañía a revisar, evaluar e identificar las áreas que necesitan mejorar.

Políticas y procedimientos

Disponer de unos procedimientos claros y prácticos en la gestión de relaciones con proveedores o socios puede evitar que la compañía se exponga a posibles riesgos. Si se aplican también estos procedimientos en los procesos de contratación y terminación de contrato de empleados se puede proteger a la empresa de posibles empleados poco escrupulosos o descontentos.

Formación y concienciación

Los empleados deberían recibir formación y ser conscientes de las políticas de seguridad existentes y de cómo la aplicación de esas políticas puede ayudarles en sus actividades diarias. De esta forma no expondrán inadvertidamente a la compañía a posibles riesgos.

 

Microsoft está realizando una encuesta en línea para comprender su opinión del sitio web de. Si decide participar, se le presentará la encuesta en línea cuando abandone el sitio web de.

¿Desea participar?