¿En qué preguntas consistirá la prueba de Joel para los profesionales de Infosec?

18

Consulte Falla del servidor y prueba original . En otras palabras, ¿cuáles son algunas de las buenas preguntas que un profesional de seguridad de la información debe plantear a un posible empleador? Estas preguntas también podrían prestarse para ayudar a mejorar un entorno de trabajo existente y permitir que un empleador atraiga lo mejor y más brillante en seguridad de la información.

    
pregunta sdanelson 04.12.2010 - 03:51
fuente

5 respuestas

8

Uno que parece afectar significativamente a los equipos de seguridad sería:

  • ¿Tienes un CISO o equivalente? Patrocinando la seguridad a nivel de junta. y desarrollo de habilidades de seguridad. y experiencia

Sin eso, los equipos se desilusionan rápidamente por su falta de influencia y se moverán a organizaciones con una perspectiva más madura de la seguridad.

También, para atraer a las personas que buscan asegurar su carrera a largo plazo

respondido por el Rory Alsop 05.12.2010 - 01:49
fuente
7
  • ¿Tiene un equipo de seguridad de aplicaciones separado? (a diferencia de la red en la que se ejecuta el programa)
  • Es el CISO / jefe de seguridad / como se llame, tanto lo suficientemente técnico para entender las amenazas como lo suficientemente inteligente como para traducirlo en riesgo
  • ¿Existe un SDL holístico en su lugar, con capacidad de compra de ejecutivos, directivos y desarrolladores?
  • ¿Todos los empleados deben tener una capacitación de seguridad relevante, relevante para su área de trabajo?
  • ¿Algún producto / sistema / aplicación / etc tiene que obtener el cierre de seguridad antes de la implementación, y puede detenerlo con seguridad?
  • Si / cuando la seguridad impide que un sistema entre en funcionamiento debido a graves vulnerabilidades, ¿el negocio los agradece o los maldice?
  • ¿Están los directores de la Junta vinculados por la política de seguridad corporativa ? :)
  • ¿Se considera al departamento de seguridad como un obstáculo técnico o como una ayuda ejecutiva para gestionar el riesgo empresarial?
respondido por el AviD 05.12.2010 - 09:59
fuente
6

Algunos para agregar:

  • ¿Utiliza herramientas automatizadas de administración y análisis de registros?
  • ¿Segmentas tu red?
  • ¿El personal de seguridad de TI mantiene algún sistema de producción? (¿Hay segregación de funciones)
  • ¿Los usuarios normales tienen derechos de administrador?
respondido por el sdanelson 04.12.2010 - 17:00
fuente
6
  • ¿Realiza copias de seguridad regulares para más de una ubicación física?
  • ¿Prueba regularmente la restauración desde la copia de seguridad?
  • ¿Tienes una gestión de riesgos? estrategia para problemas de seguridad?
  • ¿Educas regularmente a tu empleados sobre temas de seguridad que ¿Pertenecen a ellos?
  • ¿Tiene un presupuesto de seguridad?
  • ¿Hay controles, tanto técnicos y gerencial, en lugar de datos sensibles?
  • ¿Te mantienes al tanto de los problemas de seguridad?
  • ¿Almacena las contraseñas en texto plano?
  • ¿Qué software utiliza para proteger sus computadoras, servidores y datos?
  • ¿Actualiza regularmente el software crítico a las versiones más recientes?
  • ¿Son obligatorios los cambios de contraseña para todos los empleados?
respondido por el VirtuosiMedia 04.12.2010 - 04:19
fuente
0

Además de los de VirtuosiMedia:

  • ¿Por qué es responsable el equipo de seguridad y cuántas personas están en él?
  • ¿Cuándo se actualizaron por última vez sus políticas de seguridad?
  • ¿A quién se reporta el equipo de seguridad?
  • ¿Cuál es la aplicación más antigua que se ejecuta en su entorno?
  • ¿El equipo de seguridad es parte del programa de cumplimiento? Si es así, ¿qué tipo de auditorías se realizan anualmente?
respondido por el Wayne 04.12.2010 - 04:37
fuente

Lea otras preguntas en las etiquetas