Skip to main content

Preguntas más frecuentes sobre Microsoft Security Assessment

 

P: ¿Qué es Microsoft Security Assessment?

Microsoft Security Assessment es una sesión interactiva que utiliza Microsoft Security Assessment Tool (MSAT) e incluye un cuestionario. Microsoft Security Assessment se puede realizar en una sesión de una o dos horas y está diseñada para ayudarle a conocer posibles agujeros de seguridad y los riesgos asociados.

La evaluación permite obtener un perfil de la situación de la seguridad de su entorno tecnológico y proporciona un mapa bien definido sobre las actuaciones prioritarias, soluciones y recomendaciones prescriptivas a seguir.

Una vez terminada la evaluación, MSAT ofrece un informe complementario que recoge recomendaciones específicas sobre cuestiones de negocio identificadas durante la evaluación. La finalidad de este informe es ayudarle a entender la situación inicial de la seguridad y priorizar los pasos a seguir para mitigar los riesgos identificados.

P: ¿Cuáles son los objetivos de Microsoft Security Assessment?

MSAT está orientado a facilitar un marco de trabajo común que ayude a obtener un conocimiento completo de los agujeros y riesgos de seguridad existentes y a desarrollar un plan de acción para incrementar la seguridad de los datos de forma inmediata y que aplicar como una rutina de negocio.

P: ¿Quién ha desarrollado esta herramienta?

MSAT ha sido desarrollado por un equipo con amplia experiencia compuesto por profesionales de la seguridad de Microsoft y socios del sector de la seguridad.

P: ¿Es MSAT sólo un intento más para vender productos Microsoft?

No. La finalidad de MSAT es ayudar a los clientes a comprender los riesgos de negocio asociados a su infraestructura informática y proporcionar unas pautas a seguir, ya probadas, que pueden ayudarles a minimizar los riesgos definidos.

P: ¿Qué tipo de orientaciones proporciona MSAT?

Los informes elaborados por MSAT proporcionan una guía prescriptiva basada en estándares del sector y la seguridad. Los recursos de seguridad sugeridos incluyen a Microsoft, CERT, Cisco y compañías similares.

P: ¿Analiza MSAT mi sistema?

No. MSAT es un cuestionario interactivo que ofrece informes y orientaciones basados únicamente en las respuestas del usuario. Además de evaluar la tecnología, MSAT está diseñado para evaluar procesos y usuarios, lo que requiere la intervención humana. MSAT no puede recopilar información ni de sus sistemas locales ni de sus redes.

P: ¿Qué información recopila la herramienta?

MSAT únicamente recopila información genérica, como el tamaño de la compañía o el sector, además de los resultados obtenidos en el Perfil de Riesgos de Negocio (BRP) y en el Índice de Defensa en Profundidad(DiDI). Estos datos se utilizan para comparar a los clientes con todos los demás participantes o con los participantes de su mismo sector. Los usuarios pueden emplear los informes MSAT como punto de referencia y comparar los resultados pasado un tiempo. Estos datos, sin embargo, no se recopilan si no se contestan las preguntas del cuestionario. Se puede utilizar también la herramienta como modelo para probar el impacto que ciertas mejoras tendrían sobre los datos obtenidos o la actual situación de la seguridad.

P: ¿Por qué debería fiarme de esta herramienta?

MSAT no pretende reemplazar a ningún consultor con conocimientos del negocio. Pretende ser una guía que ayude a las empresas a tomar conciencia de la importancia de la seguridad. Las preguntas que componen el cuestionario y las respuestas asociadas han sido obtenidas a partir de las mejores prácticas de seguridad más comúnmente aceptadas, tanto a nivel genérico como específico. Las preguntas y recomendaciones que la herramienta ofrece se basan en estándares tales como el ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones prescriptivas de fuentes internas y externas de Microsoft.

P: ¿Qué significa tener un alto Perfil de Riesgo de Negocio (BRP)?

En el desarrollo normal de los negocios, los clientes tomarán regularmente decisiones técnicas y de negocio que pueden incrementar los riesgos de seguridad siendo necesario poner en marcha una minimización de los mismos. BRP ayuda a identificar esos riesgos y ofrece unos valores de referencia sobre los que comparar los resultados obtenidos por el Defense-in-Depth Index (DiDI).

El BRP mide el riesgo asociado a la forma en que el cliente está llevando a cabo sus negocios o interactuando con otras empresas o clientes. Se centra principalmente en riesgos técnicos u operativos. Si el resultado obtenido en el BRP es alto, indica que el cliente está realizando operaciones en un entorno de alto riesgo, tiene una competencia muy fuerte o bien sus sistemas, herramientas o procesos están siendo amenazados directa e indirectamente.

P: Mi cliente dispone de muchas defensas. ¿Por qué sigue teniendo un BRP alto?

El nivel de BRP no se ve afectado por las técnicas de minimización de riesgos que se estén aplicando. Debe tomarse como una medición de los riesgos a los que la organización tendría que enfrentarse si no dispusiese de ninguna protección. Debe ser utilizado para identificar las áreas clave de mayor riesgo para los datos según el tipo de empresa en el que se basa.

P: ¿Qué va a hacer Microsoft con la información de la evaluación si se envían los datos?

Una vez completada la evaluación, podrá visualizar un gráfico con la distribución de los riesgos y las defensas que compara los resultados BRP y el índice DiDi obtenidos. Si desea ver un informe completo es necesario que envíe los datos al servidor seguro de MSAT. Los datos se envían de manera completamente anónima. Además de poder ver un informe completo, tendrá acceso también a la función de Comparación.

La función de Comparación le permite comparar dos de sus evaluaciones, con lo que podrá seguir sus progresos a lo largo del tiempo. También podrá comparar sus resultados, de forma anónima, con otros participantes del programa.

P: ¿Es necesario que algún socio de Microsoft me asista mientras utilizo MSAT?

No. No es necesario que le asista ningún socio de Microsoft para utilizar MSAT. Es una herramienta a la que puede acceder libremente cualquiera que desee utilizarla. Aunque puede ser aconsejable que un socio de seguridad le ayude a completar la evaluación o a revisar los resultados obtenidos.

Los socios del programa de evaluación de seguridad de Microsoft han recibido formación específica en el uso de esta herramienta y entienden las estrategias de defensa e ideas que rodean la minimización de riesgos. Estos socios tienen además acceso a otros programas y a información directa de Microsoft que pueden resultar de gran ayuda en sus esfuerzos por fortalecer la seguridad de su compañía.

 

Microsoft está realizando una encuesta en línea para comprender su opinión del sitio web de. Si decide participar, se le presentará la encuesta en línea cuando abandone el sitio web de.

¿Desea participar?