EL SANS Institute ha publicado una nueva versión de los 20 controles críticos de seguridad.
En el siguiente enlace podréis encontrar una descripción bastante detallada de cada uno de ellos y, en especial, de cómo los hackers pueden explotar la ausencia de los mismos y de como implementarlos, automatizarlos y medir su efectividad.
En este otro enlace podréis ver un poster con soluciones de mercado basadas en los fabricantes que han esponsorizado el estudio asociado.
Si bien es una publicación realmente muy interesante, dejadme que insista en que el objetivo de implementar y operar dichos controles es el de administrar los riesgos de seguridad de la información de las organizaciones en el marco de sus riesgos empresariales generales.
No olvidemos, por tanto que los controles a implementar se deben basar en los resultados y conclusiones de una evaluación de riesgos previa, en los requisitos legales o reglamentarios, en las obligaciones contractuales y en las necesidades empresariales de la organización en materia de seguridad de la información.
Entre otras cosas, lo anterior conlleva el establecimiento de una serie de criterios de aceptación del riegos que deben ser aprobador por la Dirección de la organización.
Para mi, la gran ventaja de esta aproximación para los departamentos de TI, es que aborda la seguridad desde el punto de vista del negocio y no desde un punto de vista puramente técnico con las ventajas que ello conlleva. dejadme que me cite a mi mismo y reproduzca un párrafo de la entrada anterior:
"...parece claro que la única manera de huir de la comoditización, y de ser vistos única y exclusivamente como un centro de coste, es creando y demostrando valor. Y la mejor manera de hacerlo es conociendo qué es importante para el negocio en general y para las diferentes áreas y sus responsables en particular.."
No hay comentarios:
Publicar un comentario