Controles de seguridad para implementar en un entorno privado

ISO / IEC 27002 enumera 114 controles de seguridad que creen que todos deberían al menos considerar, pero no recomendaría comenzar allí; Primero debe hacer una evaluación de riesgos para saber qué debe controlar.

No empieces con una lista de controles, de lo contrario, cometerás un terrible error, al suponer que los lectores de huellas digitales significan que las personas externas no pueden acceder a tu edificio.

(¿Quién limpia la cocina? ¿Quién arregla el inodoro cuando se rompe? ¿Quién entrega los paquetes? ¿Quién revisa sus detectores de humo? Amenacé con decirle a su esposa?)

  

Soy nuevo en esta empresa pero soy el único interesado en seguridad aquí.

Si la frase en negrita es literalmente verdadera, ya estás en un gran problema y es posible que no puedas ser efectivo en la implementación de tus ideas. La seguridad de TI no es, y no debería, ser responsabilidad de una sola persona. Si la cultura de seguridad de su lugar de trabajo es laxa, como parece ser, entonces, a menos que la administración decida priorizar la seguridad, la seguridad no será una inversión importante considerada como un valor agregado para el negocio.

Como auditor de TI, mi experiencia ha sido que una política de seguridad de TI corporativa adoptada y modelada por la alta gerencia es esencial. Recomendaría que primero considere trabajar con la administración para adoptar primero una política de seguridad de TI, en lugar de implementar controles al azar.

Una buena política de seguridad de TI debe establecer ampliamente las expectativas de la administración en áreas como

• La expectativa del empleado de comprometerse a proteger los activos y datos de la compañía.
• Cómo se aplicará la política
• ¿Qué consecuencias se pueden esperar de la violación de la política?
• Cómo deben clasificarse los activos de la empresa según su "valor" para la empresa

Solo después de saber qué activos serán más valiosos y cómo la administración considera su misión de protegerlos, los controles de seguridad serán efectivos. Después de conocer la postura de la administración sobre la seguridad de TI tal como se describe en un documento de políticas, el siguiente paso debería ser una evaluación de riesgos . Básicamente, en esta etapa desea responder las siguientes preguntas:

• ¿Qué fuentes de amenazas / ataques pueden amenazar los activos valiosos identificados?
• ¿Qué tan probable es que ocurran tales ataques?
• Si un ataque tuvo éxito, ¿qué tan grave puede ser el daño resultante? (impacto)
• ¿Qué factores atenuantes, si los hay, ya existen para reducir el impacto? (controles de compensación)

Solo después de completar una evaluación de riesgos, los controles de seguridad pueden recomendarse de manera significativa a la administración que se implementará. Habiendo dicho lo anterior que falta la "cultura de seguridad de TI" en su empresa, veo algunos controles que pueden ser valiosos según la información limitada que proporcionó.

  

Se puede acceder a uno de nuestros sitios desde el exterior, pero no administramos dicha redirección, otra compañía tiene la tarea de administrar la red

Dado que la administración de la red está subcontratada a un tercero, usted quiere verificar que se implementen los siguientes controles:

• Términos contractuales: el monitoreo de SLA y el derecho de auditoría son esenciales
• Acceso de proveedores a su red: ¿cómo se rigen el aprovisionamiento y la desaprovisionamiento de acceso?
• Autenticación del usuario: ¿Cómo autentica el proveedor las identidades de los usuarios que provienen de Internet no confiable a la aplicación web pública de su empresa?