Bien, parece que está pidiendo una política, un plan y prácticas para la administración segura del sistema de un centro de datos. Tengo algunas sugerencias para usted:
Comience con una política. Comience por pensar en su política de seguridad. Desarrolle una política de seguridad por escrito y obtenga la aprobación de la administración.
Eche un vistazo a recursos de SANS sobre políticas de seguridad . Te darán algunas ideas de cosas que podrían tener sentido para ti.
Plan de seguridad. Desarrolle un plan de seguridad. Le sugiero que comience por crear un inventario de los datos y sistemas que almacena, con una idea de lo importante que es para la misión de su empresa. Esto te ayudará, ya que debes planear dedicar la mayor cantidad de energía para asegurar tus activos más críticos.
A continuación, puede reflexionar un poco sobre cuáles son los tipos de ataques o amenazas más importantes que deberían recibir la más alta prioridad (ya sea la más probable, dada su situación, o las que serían más graves). Puede hacer una lluvia de ideas sobre las amenazas con las que es más probable que se enfrente (por ejemplo, ¿quién tendrá un incentivo para atacarlo?) Y usar esto para ayudarlo a desarrollar un plan para asegurar su organización.
Una vez que haya inventariado sus activos y priorizado los principales problemas de seguridad que probablemente enfrentará, desarrolle un plan para mitigar los riesgos y proteger a su organización de estos ataques. Consulte la lista SANS de los 20 controles de seguridad más importantes ; pueden formar algunos elementos de su plan, o pueden darle ideas sobre cómo puede proteger sus activos de estas amenazas.
Ejecutar. A continuación, implementa tu plan. No necesitas hacer todo de una vez; está bien elegir una parte de su plan, ejecutarla y aumentar gradualmente su nivel de madurez de seguridad.
Capacitación en seguridad. Podría ser útil tener alguna capacitación sobre buenas prácticas de seguridad para los administradores de sistemas. No soy la persona adecuada para preguntar, pero otros pueden tener algunas sugerencias. Creo que SANS tiene una buena reputación para la formación profesional en esta área.
Recursos para obtener información adicional. Eche un vistazo a Política de seguridad para administradores de sistemas en este sitio.
Es posible que desee consultar las preguntas etiquetadas security
en ServerFault . ServerFault es un sitio hermano donde muchos administradores de sistemas profesionales se reúnen y tienen algunos buenos recursos sobre temas relacionados con la seguridad orientados a los administradores de sistemas.
Debe conocer las organizaciones profesionales en esta área y considerar unirse a ellas y hacer uso de sus recursos. Consulte SANS . Tienen muchos recursos disponibles en su página web.
También, busque en LISA , una asociación profesional de Usenix para administradores de sistemas. Tienen excelentes conferencias, buenas oportunidades para establecer contactos y oportunidades para mantenerse al día con la última tecnología. Además, tienen una serie de folletos con información para administradores de sistemas; vea, por ejemplo, Seguridad del sistema: una perspectiva de gestión .
¿Qué pasa con Microsoft SDL? El SDL de Microsoft es fantástico, pero está realmente orientado al desarrollo de software. No creo que sea tan útil para los administradores de sistemas, por lo que puede que no sea el recurso adecuado para usted.