Proceso de seguridad

  • Artículo

Tal vez encuentre su entorno de la tecnología de la información (TI) difícil de controlar y costoso de administrar. La infraestructura Básica de TI se caracteriza por procesos manuales y localizados; un mínimo control central; y políticas y estándares de TI inexistentes o no aplicados respecto a la seguridad, el respaldo, la administración e implementación de imágenes, el cumplimiento y otras prácticas de TI comunes.

Al cambiar de una infraestructura Estandarizada de TI, su organización se puede beneficiar al contar con personal de TI capacitado sobre las mejores prácticas tales como Microsoft Operations Framework (MOF), la Biblioteca de infraestructura de TI (ITIL), la administración y configuración centrales de seguridad, la definición de imágenes estándar de escritorio, así como diversos directorios para una fácil autenticación.

El siguiente gráfico describe parar usted el entorno del cliente y qué beneficios y acciones realizar al ayudar al cliente a cambiar de un estado de madurez al siguiente incluyendo la siguiente información:

 

  • Descripción del entorno del cliente
  • Problemas/Desafíos
  • Problemas
  • Beneficios de avanzar al siguiente nivel
  • Proyectos posibles con un cliente (plan de acción)

 

Básico a Estandarizado Estandarizada a Racionalizado Racionalizado a Dinámico
Proceso de seguridad: Básico a Estandarizado

Situación del cliente

  • Ya no se brinda soporte a sistemas operativos/Productos de infraestructura.
  • No existe una persona dedicada para la estrategia y políticas de seguridad.
  • No se cuenta ni se realiza esporádicamente una evaluación de riesgos.
  • No se cuenta ni se tiene un Plan descoordinado de respuesta a incidentes.
  • Se utiliza una tecnología básica de protección de identidades.
  • Proceso básico para administrar las identidades del usuario/dispositivo/servicios.
  • Los controles antivirus y la seguridad de la red se administra de manera inconsistente.
  • Identificación inconsistente de dispositivos conectados a la red.
  • Proceso inconsistente para actualizar la seguridad en todos los activos de TI conectados a la red.
  • Cumplimiento inconsistente de las políticas de seguridad en los dispositivos conectados a la red.
  • Procesos de adquisición de software inconsistentes para evaluar los requisitos de seguridad.
  • Tecnologías básicas para proteger la confidencialidad e integridad de los datos.
  • Proceso inconsistente para clasificar los datos y la aplicación de controles apropiados de seguridad.

Proyectos recomendados para este nivel

  • Desarrolle Políticas de seguridad e implemente la tecnología reciente.
  • Actualice las versiones recientes del sistema operativo y la infraestructura.
  • Nombre a una persona dedicada para las estrategias y políticas de seguridad.
  • Establezca una Metodología de evaluación de riesgos que se pueda utilizar con los resultados que se reportan a ISO en el sitio.
  • Implemente un Plan de respuesta a incidentes para identificar las áreas afectadas y restaurarlas.
  • Establezca un proceso para administrar las identidades del usuario/dispositivo/servicios en el sitio.
  • Establezca controles antivirus y un proceso administrado de seguridad de la red en el sitio.
  • Establezca un proceso consistente para identificar problemas de seguridad y actualizar problemas de seguridad en todos los dispositivos conectados a la red en el sitio.
  • Establezca el cumplimiento consistente de políticas de seguridad en los dispositivos conectados a la red en el sitio.
  • Califique el plan de evaluación para revisar el Software adquirido en todos los requisitos de seguridad.
  • Establezca un proceso consistente para clasificar los datos y la aplicación de controles de Seguridad apropiados en el sitio.

 

 

Proceso de Seguridad: de Estandarizado a Racionalizado

Situación del cliente

  • Sin un proceso consistente para Evaluación de riesgos.
  • Se cuenta con un Plan de respuesta a incidentes, pero no está completamente documentado.
  • Sólo se utiliza una tecnología estándar para la protección de identidades.
  • Sólo hay un proceso estándar para administrar las identidades del usuario/dispositivo/servicios.
  • Sólo se cuenta en el sitio con Protección a clientes y procesos indocumentados de seguridad de la red.
  • Identificación no documentada de los dispositivos conectados a la red.
  • Proceso no documentado para actualizar la seguridad en todos los activos de TI conectados a la red.
  • Cumplimiento sin documentar de las Políticas de seguridad en los dispositivos conectados a la red.
  • Procesos no documentados de adquisición de software para evaluar los requisitos de seguridad.
  • No hay tecnologías estándar para proteger sólo la confidencialidad e integridad de los datos.
  • Proceso no documentado para clasificar los datos y utilizar los controles de seguridad apropiados.

Proyectos recomendados para este nivel

  • Desarrolle Políticas de seguridad de defensa profunda.
  • Establezca en el sitio un proceso consistente de evaluación de riesgos con personas y otros recursos para mejorar la seguridad de la información dentro de la organización.
  • Establezca en el sitio un Plan consistente y documentado para responder a incidentes.
  • Utilice la Tecnología de protección de identidades que se emplea, establezca un proceso documentado en el sitio donde las identidades afectadas del usuario/servicio/dispositivo se puedan evaluar de manera consistente.
  • Establezca protección para el cliente y el servidor y un proceso documentado para reducir los riesgos.
  • Establezca un proceso documentado en el sitio para identificar y restaurar todas las redes conectadas afectadas.
  • Establezca un proceso documentado para actualizar la seguridad en todos los activos de TI conectados a la red en el sitio.
  • Establezca el cumplimiento de políticas de seguridad en los dispositivos conectados a la red en el sitio.
  • Establezca un proceso en el sitio para administrar las pruebas de requisitos de seguridad en todo el software adquirido o desarrollado.
  • Establezca un proceso administrado en el sitio para clasificar los datos y utilizar controles de seguridad apropiados.

 

 

Proceso de seguridad: Racionalizado a Dinámico

Situación del cliente

  • Comunicación inconsistente del proceso de Evaluación de riesgos con los dueños de la empresa.
  • Se cuenta con un Plan de respuesta a incidentes, pero la capacitación de habilidades de las personas que responden es insuficiente.
  • Se utiliza una tecnología de protección de identidades y un proceso en el sitio, pero la capacitación de habilidades del personal de TI es insuficiente, así como el análisis del costo/beneficio.
  • Se cuenta con Protección al cliente y servidor, pero la capacitación es insuficiente y no hay un control de los buzones.
  • Identificación de dispositivos conectados a la red en el sitio, pero la capacitación de habilidades del personal de TI es insuficiente.
  • Proceso de actualizar la seguridad en todos los activos de TI conectados a la red en el sitio, pero la capacitación de habilidades del personal de TI es insuficiente, así como el análisis del costo/beneficio.
  • Cumplimiento con las políticas de seguridad en los dispositivos conectados a la red en el sitio, pero la capacitación de habilidades del personal de TI es insuficiente y no se envían informes a los dueños de la empresa.
  • Procesos administrados de Adquisición de software para evaluar los requisitos de seguridad en el sitio, pero la capacitación de habilidades del personal de TI es insuficiente y no se envían informes a los dueños de la empresa.
  • Proceso administrado para clasificar los datos y utilizar los controles de seguridad apropiados en el sitio, pero el análisis del costo/beneficio es insuficiente.

Proyectos que se recomiendan para este nivel

  • Se optimizó la administración de seguridad del servidor Web para una mayor eficiencia, se cuenta en el sitio con todos los Procesos y políticas de seguridad, se impartió una capacitación efectiva y rigurosa de habilidades al personal de TI, se enviaron informes a los dueños de la empresa. Se proporcionó a los dueños de la empresa un análisis del costo/beneficio.