¿Una forma eficiente de demostrar el valor en las mejoras de seguridad de Active Directory?

4

Trabajando duro en la seguridad de Active Directory en un entorno corporativo: deshacerse del exceso de permisos, monitoreo, aplicación de parches, etc. Nada es gratis, y para mantener el presupuesto, necesito explicar de alguna manera estas mejoras al nivel C. Les gustan los gráficos y los datos cuantificables, lo que hace que esta tarea sea fácil para las ventas, pero difícil para nosotros en Seguridad de TI.

Los ejecutivos entienden la frase "disminuir la exposición a los riesgos de seguridad", pero esto obviamente no es suficiente. Y no puedo llevarlos a una habitación de forma realista y mostrar qué es un ataque de transferencia directa.

Entonces, ¿cómo demuestro el valor en las mejoras de seguridad de Active Directory?

    
pregunta David_Springfield 01.02.2016 - 17:17
fuente

2 respuestas

1

Tienes dos cosas básicas que debes abordar:

1) ¿Cumple con las mejores prácticas actuales para la seguridad de la información en su organización?

Hay varios buenos recursos, incluido el Analizador de línea de base de seguridad de Microsoft, y el uso de recursos como NIST y SANS.

  • Si su organización es lo suficientemente grande para un entorno de AD, es probable que necesiten y deberían tener seguro en caso de pérdida de datos. La mayoría de las agencias de seguros requieren un cierto punto de referencia, de lo contrario su SOL en el momento de las reclamaciones y buena suerte con los litigios.

  • Volviendo al litigio, los estándares de mala calidad también configuran a su organización para juicios por negligencia de múltiples fuentes. E.G Empleado, clientes, proveedores, etc. Si el C-Level fue informado, no hizo nada y trató de culparlo a usted oa su equipo, también tendría una demanda por despido injustificado, etc.

2) ¿Cuáles son tus riesgos?

La seguridad de la información es muy parecida a los riesgos financieros, debe comprender sus objetivos, lo que es aceptable para su organización y lo que necesita reducir. Tendemos a ver esto a través de cuantitativo y qualitative risk.

Para ser francos, a los C-Levels realmente no les importa que se evite un ataque específico, les importa que el riesgo específico se reduzca a niveles manejables. Por ejemplo, no le dice al CEO que mejoró la seguridad al requerir y solo usar certificados SSL de terceros desde verisign o donde sea. Usted les dice que ha reducido el riesgo de ataque MITM y ha implementado políticas para administrar el riesgo. Los certificados de terceros son una representación cuantitativa de ese riesgo y los servidores que lo utilizan son su exposición.

Por cierto, esto no intenta esquivar un problema o que su nivel C es demasiado denso para comprender SSL / TLS. Se está comunicando con ellos en el idioma con el que están familiarizados y cualquier buena persona de negocios se arriesga.

Para su ejemplo particular, facilitar los permisos es una función técnica para reducir el riesgo:

  • reducir los problemas de provisión que exponen un riesgo adicional?
  • ¿Exponer información privilegiada a usuarios no autorizados?
  • ¿Todo eso?

Estos son los elementos que desean conocer, los cambios que realiza son sus datos para reducir ese riesgo, además, esta es una forma extremadamente simplificada de ver esto.

    
respondido por el Shane Andrie 01.02.2016 - 19:38
fuente
0

La mejor manera de explicar el valor de una mejora de seguridad a una persona de TI es describir los ataques que la mejora evita.

La mejor manera de explicar el valor de una mejora de seguridad para un ejecutivo es mencionar los ataques que está previniendo y una estimación del costo para su organización si ocurrieran los ataques, en comparación con los estimación de los costos para realizar las mejoras.

Tenga en cuenta que alguien (quizás el CFO) inevitablemente querrá saber la probabilidad de que ocurran los ataques si no se realizan las mejoras, a fin de sopesar la relación costo-beneficio de las mejoras. (Buena suerte averiguando ese cálculo ...)

    
respondido por el TTT 01.02.2016 - 17:44
fuente

Lea otras preguntas en las etiquetas