Cómo vender la seguridad informática a la alta gerencia



Documentos relacionados
Security Health Check

Requerimientos Técnicos para mantenimiento anual de certificación del Área Perimetral

Los diez trabajos mejor pagados en seguridad TI (Ten Top-Paying Tech Security Jobs)

La mejor opción para reparar su equipo de trabajo

Más Clientes Más Rápido: Marketing Online bien enfocado

Cómo trabaja el Atacante? El atacante trabaja en 5 pasos, los cuales son: Ethical-Hacker.net. Reconocimiento. Borrado de Huellas.

Unidad 1: Componentes del sistema

INSTRODUCCION. Toda organización puede mejorar su manera de trabajar, lo cual significa un

Bechtle Solutions Servicios Profesionales

e-commerce, es hacer comercio utilizando la red. Es el acto de comprar y vender en y por medio de la red.

Diseño, Desarrollo e Implementación de una Aplicación Web para el manejo Centralizado de la Información Corporativa en AGA Consultores

INTRODUCCIÓN QUIÉNES SOMOS NUESTRO OBJETIVO

I INTRODUCCIÓN. 1.1 Objetivos

Servicio de Marketing

CRM. (Customer Relationship Management o

PROGRAMA E-COMMERCE. Promoviendo el uso de Internet y el comercio electrónico en el sector exportador

EL CRECIMIENTO DE LOS NEGOCIOS ES HUMANAMENTE POSIBLE. Manpower Professional una empresa de talento diferente

Sistema de Gestión de la Seguridad de la Información, UNE-ISO/IEC 27001

BUSINESS PARTNER EMC SERVICES PARTNER PROGRAM OPCIONES. FLEXIBILIDAD. OPORTUNIDADES.

Informe de Amenazas CCN-CERT IA-02/14. Riesgos de uso de Windows XP tras el fin de soporte

Proceso: AI2 Adquirir y mantener software aplicativo

Capítulo IV SEGURIDAD DE LA INFORMACIÓN ROLES Y ESTRUCTURA ORGANIZACIONAL

Soporte Técnico de Software HP

UFS. MetPoint / MetHome

Autorización de compras

ServiNET CRM 3.0 Enriquece Todos los Módulos del Sistema de control y operación, Además de Agregar Nuevas Características.

BENEFICIOS Herramienta de bajo coste Adaptable Reducción del PMC (Periodo Medio de Cobro) Gestión de disputas comerciales

Gestión de Oportunidades

Definición del Sistema de Gestión de Seguridad de la Información (SGSI) ALCALDÍA DE SANTA ROSA DE OSOS

FINANCIAMIENTO COMERCIAL PARA SU NEGOCIO

TENDENZA. Le gustaría optimizar los costes de su negocio? Transforme su negocio con la solución de Calzado, Moda y Deportes

CREACIÓN DE UN DEPARTAMENTO DE RELACIONES PÚBLICAS PARA LOS ALMACENES EL CHOCHO Y EL CAMPEÓN

UNIVERSIDAD DE ORIENTE FACULTAD DE CIENCIAS ECONOMICAS

PRU. Fundamento Institucional. Objetivos. Alcance

Traslado de Data Center

CONCEPTOS BÁSICOS DE LAS TARJETAS DE CRÉDITO

Guía del sitio Evaluación de teamseoblasteo 1

Uso de la red telefónica

ST. ELIZABETH MEDICAL CENTER. Educación sobre cumplimiento corporativo

POLÍTICA DE TECNOLOGÍA DE INFORMACIÓN

Unidad 1. Fundamentos en Gestión de Riesgos

Qué preguntar durante una demostración de BPMS

Pasos para elaborar un presupuesto. Un presupuesto nos permite: Algunos consejos:

Garantía de cumplimiento de los sistemas de información con la normativa actual

TIPS PARA ASEGURAR APRENDIZAJES CON UN PROYECTO COLABORATIVO

determinar la competencia necesaria de las personas que realizan, bajo su control, un trabajo que afecta a su desempeño ambiental;

TECNOLOGIAS DE INFORMACION GUBERNAMENTAL OFICINA DE GERENCIA Y PRESUPUESTO

ing Solution La forma más efectiva de llegar a sus clientes.

Capítulo IV. Manejo de Problemas

Guía para comenzar con Personal Trainer

Gestión de Seguridad Informática

Microsoft Dynamics Sure Step Fundamentos

CAPÍTULO VI CONCLUSIONES Y RECOMENDACIONES

EL ÁREA DE SEGURIDAD INFORMÁTICA. Lic. Julio C. Ardita (*)

Conoce el más novedoso sistema para el control y administración de clientes dirigido a cualquier empresa comercializadora o productora, en general

Gestión de Configuración del Software

PRIMAVERA RISK ANALYSIS

Lo que usted necesita saber sobre routers y switches. Conceptos generales.

Un vistazo a la calle revela que hay una gran cantidad de vehículos con arañazos o

Comunicación interna: Intranets

Sistema de Administración del Riesgos Empresariales

PROCESO DE VENTA CONSULTIVA MÓDULO DE GESTIÓN DE OPORTUNIDADES DE NEGOCIO

cómo puedo mejorar el desempeño de los acuerdos de niveles de servicio de clientes y reducir costos?

SistemA Regional de Información y Evaluación del SIDA (ARIES)

5 razones por las que NO DEBERÍAS ABRIR UNA TIENDA ONLINE

Guía de los cursos. Equipo docente:

El BYOD del Mañana: BYOD 2.0

Mesa de Ayuda Interna


CONECTE. Programa de Referencias de Clientes de Microsoft Dynamics. Soluciones del mundo real, resultados reales

Titulo del Elemento. Soluciones Innovadoras para el Éxito de su Negocio

ED E U D C U AC A IÓ I N N FIN I A N N A C N IE I R E A R CREDIFAMILIA COMPAÑÍA DE FINANCIAMIENTO CREDIFAMILIA S.A. Confidencial

Gestión de la Configuración

Cómo las herramientas en línea están revolucionando la implementación de ITIL e ISO 20000

Ahorra para tu futuro.

MANUAL DE USUARIOS DEL SISTEMA MESA DE SOPORTE PARA SOLICITAR SERVICIOS A GERENCIA DE INFORMATICA

Portafolio de servicios

Sistema de auto-evaluación para la sostenibilidad

Test de intrusión (Penetration Test) Introducción

Administración por Procesos contra Funciones

Microsoft es una marca comercial registrada o una marca comercial de Microsoft Corporation en Estados Unidos y otros países.

Enkarga.com LLC. Política de privacidad

SOLUCIONES DE CONTINUIDAD DE NEGOCIO

AUDITORÍA ADMINISTRATIVA INFORME. 1. Brindar a la organización los elementos necesarios para mejorar su funcionamiento.

VENTAJAS Y RIESGOS DE LA TECNOLOGÍA INFORMÁTICA Y COMUNICACIONES (TIC), EN EL EJERCICIO DE LA REVISORÍA FISCAL.

PARTICIPACIÓN DE LOS PADRES/TUTORES 91300

Cuadros de mando interactivos para los responsables de la toma de decisiones

Empresas a las que está dirigido.

INFORMACIÓN RELACIONADA


CÓMO PRESENTAR UN RECLAMO DE SEGURO MÉDICO A NOMBRE DE UN JUGADOR/PARTICIPANTE

CATÁLOGO DE CURSOS. Centro de Prácticas y Capacitación Profesional

Herramientas para el Comprador de una Casa. 10 Pasos Para Elegir y Comprar su Casa

CRM. Intenta dejar registrado todos los momentos de contacto que tiene el cliente con la empresa y busca aprovecharlos de la mejor manera posible.

1. La falsa sensación de seguridad 2. La falsa creencia de que la seguridad de la información es meramente tecnológico.

Sesión No. 8. Contextualización. Nombre: Agencias de viajes y tours. Segunda parte. TURISMO DE AVENTURA

Principios de Privacidad y Confidencialidad de la Información

CMMI (Capability Maturity Model Integrated)

Transcripción:

Un libro interactivo para estructurar su caso y conseguir el presupuesto Infosec

Necesita el apoyo de todo su equipo para mantener su empresa en funcionamiento. Pero a veces los gerentes de TI pueden sentirse bastante solos en la zona de defensa. Piense en la seguridad de red. Su empresa no puede permitirse el tipo de ataque que golpeó a las tiendas Target y Home Depot. Estableció la mejor defensa posible, pero ahora necesita más dinero, más herramientas y más soporte. Este libro interactivo sirve precisamente para eso. Le mostraremos los pasos necesarios para analizar su situación, preparar un caso empresarial y presentarlo debidamente ante la alta gerencia. Y como no siempre se llega en primer lugar, también le daremos un plan secundario. Comencemos. Mi GRAN plan de seguridad 2

Paso 1. Informe preliminar Antes de salir del vestuario, necesita saber a qué se enfrenta. Un análisis del impacto empresarial le ayuda a entender qué es importante para mantener su empresa en funcionamiento, así sabrá lo que está en riesgo. Lista de comprobación a Hable con los gerentes de departamento. Qué recursos de red necesitan para alcanzar sus metas? a Cuál sería el impacto si las unidades empresariales perdieran los recursos de red? a Cuáles son los costos directos (costos reales y lucro cesante) por un acceso ilegal a los sistemas críticos? a También deben calcularse los costos indirectos (golpes a la reputación, a la marca y a la satisfacción del cliente). a Aproveche esta oportunidad para evangelizar sus planes de seguridad y para que sus compañeros se suban a bordo. 3

Paso 2. Día de entrenamiento Ya dejó en claro el riesgo en caso de que la empresa pierda el acceso a los sistemas críticos debido a un incidente de seguridad. Este es el momento de auditar las vulnerabilidades de seguridad. Puede hacer esto usted mismo o pedir ayuda de expertos. Lista de comprobación a a a a a a Busque agencias externas y aplicaciones en línea para realizar una auditoría de seguridad. Genere una política de seguridad informática: incluya todo, desde la frecuencia con la que deben cambiarse las contraseñas, hasta la forma en que los empleados tienen acceso remoto a los recursos de la compañía. Logre un consenso sobre la política con otros departamentos de modo que ellos puedan ayudar a asegurar los activos de forma proactiva. Revise y actualice las políticas cada año, incluya en este proceso la seguridad informática, los acuerdos de confidencialidad, las políticas de uso aceptable, etc. Mantenga su empresa en marcha. Pida aprobación antes de abordar algún asunto. Planifique la manera en que convertirá los resultados de la auditoría en información factible y comprensible. 4

Lectura obligatoria para el equipo Manténgase actualizado sobre los riesgos y las soluciones. Suscríbase a foros e informes de seguridad, y consúltelos periódicamente. Cómo encontrar recursos de auditoría: a Converse con el auditor externo sobre su preparación para la seguridad cibernética. a Consiga referencias de la comunidad de seguridad y de socios de tecnología actuales. a Pregunte en boletines técnicos por correo electrónico y en sitios de redes sociales, como LinkedIn. a Busque en línea servicios de evaluación de vulnerabilidades, servicios de evaluación de seguridad, servicios de pruebas de penetración, servicios de detección y respuesta ante incidentes o administración de exposición a amenazas. InformationWeek s DarkReading http://www.darkreading.com Internet Storm Center https://isc.sans.edu KrebsonSecurity krebsonsecurity.com Naked Security https://nakedsecurity.sophos.com Reading Room http://www.sans.org/reading-room Schneier on Security https://www.schneier.com WatchGuard Security Center http://watchguardsecuritycenter.com 5

Paso 3. Haga el recorrido Aquí es cuando pone a prueba exhaustiva su programa de seguridad mediante análisis de seguridad. Hasta los mejores programas de seguridad tienen problemas, así que si no encuentra nada, es muy probable que haya un error en su metodología. Lista de comprobación a Haga la investigación. Lea y hable con expertos para saber qué tipos de herramientas de análisis necesita. a Solicite aprobación antes de ejecutar cualquier análisis. a Asegúrese de comprender bien las herramientas y el efecto que puedan tener en su empresa. a Analice el tamaño de la red y la intensidad de análisis para estimar el tiempo necesario (de unas cuantas horas a semanas). a Ejecute los análisis y programe el tiempo de mantenimiento en caso necesario. 6

Soluciones de muestra Existen herramientas de análisis de seguridad de código abierto y de alta calidad disponibles en línea y sin costo. Comience con una herramienta de uso general y avance hacia los análisis especializados cuando sea necesario. Herramientas generales NMAP es un software de topología de red y toma de huellas digitales http://nmap.org OpenVAS es un analizador de vulnerabilidades http://www.openvas.org Herramientas especializadas Zed Attack Proxy (ZAP) es una herramienta para encontrar vulnerabilidades en aplicaciones web https://www.owasp.org/index.php/owasp_zed_attack_proxy_project Sqlmap es una herramienta de pruebas de penetración que automatiza el proceso de detección y explotación de fallas de inyección SQL http://sqlmap.org 7

Paso 4. Marque el campo Ahora que descubrió dónde se encuentran los problemas, es el momento de solucionarlos. Las decisiones sobre qué reparar (o no) deben basarse en la gravedad de la vulnerabilidad, la oportunidad de explotarla y la exposición que podría causar. Lista de comprobación a Revise la auditoría y los informes de análisis. Clasifique los problemas por orden de prioridad según la importancia del activo y la probabilidad de explotar el vector de ataque. a Use el análisis de impacto empresarial para clasificar los riesgos de forma adecuada. Una vulnerabilidad de alto nivel en un sitio de pruebas podría ser menos importante que un riesgo moderado en un sistema crítico. a Identifique qué elementos requieren poco esfuerzo o recursos para mitigarlos. a Desarrolle un plan de reparación junto a las partes interesadas a partir del análisis de impacto empresarial. 8

Paso 5. Póngase su cara de reto Es hora de poner su entrenamiento a prueba. Presentar su caso ante la alta gerencia puede ser como ir a las grandes ligas, pero este es su campo de juego. Si los altos ejecutivos no comprenden los riesgos, es su tarea educarlos. Lista de comprobación a Haga suyas las inquietudes de seguridad que denuncia. a Presente los riesgos en términos que los ejecutivos comprendan y que sean específicos para la empresa. a No use estadísticas engañosas como táctica para asustar. a Sea transparente con respecto a lo que ya hizo. Lo que tenemos, no funciona. Debemos corregirlo AHORA. Tengo un plan. a Explique cómo agotó los recursos actuales y lo que necesita para lograr resultados. a Identifique a las partes interesadas y promotores a partir de las reuniones con los gerentes de las unidades de negocios. a Sea insistente en sus argumentos hasta conseguir el apoyo que necesita. 9

Informes y estadísticas Actualice y distribuya periódicamente los informes que incluyan resúmenes ejecutivos concisos y con enfoque empresarial. Sugerencias para el éxito a No envíe informes sin procesar. Aplique el contexto para ayudar a los gerentes a comprender las decisiones. a Encuadre la conversación con requisitos de seguridad relacionados con su sector (SOC para empresas con cotización en bolsa, HIPAA para atención de salud, PCI DSS para minoristas, etc.). a Piense en crear informes personalizados para cada unidad de negocios. Documente el proceso Explique cada riesgo Metodología de análisis /auditoría Si el riesgo es aceptable o no Cuándo se realizó Cómo mitigarlo Participación de los interesados Qué pasa si no lo hacen Pasos de reparación Costos y esfuerzos estimados 10

Paso 6. La temporada no se acaba hasta que se acaba Lista de comprobación a Mantenga sus informes actualizados para estar siempre listo cuando lo llamen. a Ejecute las herramientas gratuitas y repare todos los problemas que pueda. a Agregue acciones de reparación a los informes que distribuya periódicamente. a Prepárese para mostrar el avance que logró desde la última presentación. a Si no puede solucionar un problema, brinde opciones: aceptar el riesgo, asignar recursos o quitar la conexión a los activos en riesgo. La seguridad es importante, pero la alta gerencia tiene que equilibrar iniciativas empresariales, retos y gastos que compiten entre sí. Es posible que no consiga todo lo que solicite de inmediato, pero siempre estará a un incidente de seguridad de conseguir los recursos. Esté preparado. AMBOS GANAMOS 11

Paso 7. Ofrezca su equipo A y no menos Una vez que esté preparado para implementar los servicios de seguridad, asegúrese que su equipo tenga las herramientas necesarias para afrontar el reto. WatchGuard puede ayudar con un conjunto de aplicaciones de productos de seguridad y de alto rendimiento para cumplir con las necesidades de empresas de todos los tamaños. XTM 2520 Grandes empresas y centros de datos corporativos* XTM series 800 y 1500 Grandes empresas distribuidas Firebox M400 y M500 Medianas empresas y empresas distribuidas Firebox M440 Opción de varios puertos XTM serie 5 Medianas empresas y empresas distribuidas XTM series 2 y 3 Oficinas pequeñas, sucursales y puntos de acceso inalámbrico Firebox T10 Oficina pequeña/oficina en casa y entornos minoristas pequeños *XTM 2520: El firewall UTM de 1 unidad en rack más rápido y más ecológico del mundo 12

Acerca de WatchGuard 505 Fifth Avenue South Suite 500 Seattle, WA 98104 www.watchguard.com Ventas en América del Norte +1 800 734 9905 Ventas internacionales +1 206 613 0895 WatchGuard Technologies, Inc. es un líder mundial en el sector de las soluciones integradas de seguridad empresarial multifunción, que combinan hábilmente el hardware estándar del sector, las mejores funciones de seguridad y herramientas de administración basadas en políticas. WatchGuard proporciona protección sencilla, pero de alta calidad, a cientos de miles de empresas de todo el mundo. Los productos de WatchGuard están respaldados por el servicio WatchGuard LiveSecurity, un innovador programa de soporte técnico. WatchGuard tiene su sede central en Seattle, Washington, con oficinas distribuidas por América del Norte, Europa, Asia-Pacífico y América Latina. Para obtener más información, visite WatchGuard.com. En el presente documento no se proporciona ninguna garantía explícita o implícita. Todas las especificaciones están sujetas a cambios y todos los productos, las características o las funcionalidades previstos para el futuro se proporcionarán según las bases disponibles, si las hay y cuando las haya. 2015 WatchGuard Technologies, Inc. Todos los derechos reservados. WatchGuard, el logotipo de WatchGuard y Firebox son marcas comerciales registradas de WatchGuard Technologies, Inc. en Estados Unidos y/o en otros países. Todos los demás nombres comerciales y marcas comerciales pertenecen a sus respectivos propietarios. 13

2024 © DocPlayer.es Política de privacidad | Condiciones del servicio | Feedback