Utility SpotlightHerramienta de evaluación de seguridad de Microsoft

Lance Whitney

Descargar el código de este artículo: Microsoft Security Assessment Tool 3.0 (sólo en inglés) (10547.2KB)

La localización de problemas de seguridad en la red puede ser bastante complicada y consumir mucho tiempo. Una herramienta que le puede ayudar a identificar y resolver riesgos de seguridad es la Herramienta de evaluación de seguridad de Microsoft® (MSAT), una utilidad gratuita que presenta un cuestionario electrónico en el que describir su entorno de seguridad. MSAT está diseñada para medianas empresas que tienen entre 50 y 500 equipos y plantea 172 preguntas organizadas en categorías diferentes, después de lo cual proporciona un análisis de su situación junto con recomendaciones acerca de cómo mejorarla.

MSAT comienza con un conjunto de consultas acerca de su modelo de negocio, que se usa para crear un Perfil de riesgo empresarial (BRP) que evalúa su riesgo de seguridad en comparación con el riesgo de otros dentro de su sector. Normalmente se tarda unas dos horas en completar el cuestionario, además puede parar y continuar en cualquier punto. A continuación, le mostramos las distintas categorías con preguntas de ejemplo:

Información básica ¿Cuántos clientes y servidores hay en su organización?

Seguridad de la infraestructura ¿Trabajan sus empleados de manera remota? ¿Tienen acceso los contratistas externos a su red?

Seguridad de aplicaciones ¿Desarrolla su compañía las aplicaciones? ¿Almacena datos confidenciales procesados por sus aplicaciones?

Seguridad de operaciones ¿Se conecta su red corporativa a redes externas? ¿Recibe su organización fuentes de datos de organizaciones externas?

Seguridad de personas ¿Subcontrata su compañía el mantenimiento de equipos? ¿Permite a los empleados descargar datos confidenciales de la compañía a sus estaciones de trabajo?

Entorno ¿Cuántos empleados hay en su organización? ¿Hay una rotación alta del personal en su departamento de TI?

A continuación, la MSAT genera una evaluación que usa una medida denominada Índice de defensa exhaustivo (DiDI), que se centra en los procesos de seguridad que están en marcha. Con las mismas categorías, las preguntas típicas son: ¿Emplea su organización firewalls en cada ubicación? ¿Usa macros personalizadas en sus aplicaciones de Microsoft Office? ¿Tienen sus usuarios derechos administrativos en sus estaciones de trabajo? ¿Tiene una directiva para implementar revisiones y actualizaciones a sus equipos?

Según sus respuestas, el MSAT ofrece tres informes. El Informe de resumen muestra un gráfico de barras con los resultados. Una puntuación alta en el BRP indica más riesgo, mientras una puntuación alta en el DiDI representa más seguridad. Tal como indica la MSAT, aunque pueda parecer preferible un BRP bajo y un DiDI alto, es realmente más importante examinar áreas individuales. Así, para cada área, el Informe completo indica si cumple o no con los procedimientos recomendados, si necesita mejora o si carece de ambas (consulte la figura 1).

Figura 1 El informe completo

Figura 1** El informe completo **(Hacer clic en la imagen para ampliarla)

Finalmente, el Informe de comparación le pide que cargue sus resultados de manera anónima en un sitio web seguro de la MSAT, donde puede comparar sus resultados con aquellos de otras organizaciones.

Puede descargar la herramienta del sitio web de Microsoft Security Guidance en securityguidance.com o del sitio web de TechNet Magazine en technetmagazine.com/code07.aspx.

Lance Whitney es consultor, instructor y escritor técnico de TI. Ha pasado cientos y cientos de horas trabajando con estaciones de trabajo y servidores de Windows. Periodista en sus inicios, Lance dio un giro hacia el mundo de TI hace unos 15 años.

© 2008 Microsoft Corporation and CMP Media, LLC. Reservados todos los derechos; queda prohibida la reproducción parcial o total sin previa autorización.