La Herramienta de Evaluación de Seguridad de Microsoft (MSAT) es una herramienta gratuita diseñada para ayudar a las organizaciones de menos de 1.000 empleados a evaluar los puntos débiles de su entorno de seguridad de TI. Presenta un listado de cuestiones ordenadas por prioridad así como orientación específica para minimizar esos riesgos.
MSAT permite fortalecer la seguridad de su entorno informático y de su negocio de manera fácil y efectiva. Comience tomando una instantánea del estado actual de su seguridad y utilice a continuación MSAT para monitorizar de forma constante la capacidad de su infraestructura para responder a las amenazas de seguridad.
Conocer los riesgos
MSAT está diseñado para ayudarle a identificar y abordar los riesgos de seguridad en su entorno de TI. La herramienta utiliza un enfoque integral para medir el nivel de seguridad y cubre aspectos tales como usuarios, procesos y tecnología.
MSAT proporciona:
- Un conocimiento constante, completo y fácil de utilizar del nivel de seguridad,
- Un marco de defensa en profundidad con análisis comparativos del sector.
- Informes detallados y actuales comparando su plan inicial con los progresos obtenidos.
- Recomendaciones comprobadas y actividades prioritarias para mejorar la seguridad.
El proceso de MSAT
MSAT consta de más de 200 preguntas que abarcan infraestructura, aplicaciones, operaciones y usuarios. Las preguntas, respuestas asociadas y recomendaciones se obtienen a partir de las mejores prácticas comúnmente aceptadas, estándares tales como las normas ISO 17799 y NIST-800.x, así como las recomendaciones y orientaciones normativas del Grupo Trustworthy Computing de Microsoft y otras fuentes externas de seguridad.
La evaluación está diseñada para identificar los posibles riesgos de negocio de su organización y las medidas de seguridad implementadas para mitigarlos. Centrándose en problemas comunes, las preguntas han sido desarrolladas para proporcionar una evaluación de seguridad de alto nivel de la tecnología, procesos y usuarios que participan en el negocio.
A partir de una serie de preguntas acerca del modelo de negocio de su compañía, la herramienta crea un Perfil de Riesgos de Negocio (BRP), calculando el riesgo de su empresa al hacer negocios según el modelo empresarial y de negocio definido por BRP. Una segunda serie de preguntas tienen como fin elaborar un listado con las medidas de seguridad que su empresa ha implementado a lo largo del tiempo. Juntas, estas medidas de seguridad forman capas de defensa, proporcionando una mayor protección contra los riesgos de seguridad y vulnerabilidades específicas. Cada capa contribuye a una estrategia combinada para una protección a fondo. La suma de ellas se conoce como Defense-in-Depth Index (DiDI). El BRP y DiDI se comparan entonces para medir la distribución del riesgo a través de las áreas de análisis (AoAs): infraestructura, aplicaciones, operaciones y usuarios.
Además de medir la equivalencia entre riesgos de seguridad y defensas, esta herramienta también mide la madurez de su organización. La madurez de la seguridad se refiere a la evolución llevada a cabo en el fortalecimiento de la seguridad y las tareas de mantenimiento. En el extremo inferior, son pocas las medidas de seguridad empleadas y las acciones llevadas a cabo son reacciones a los acontecimientos. En el extremo superior, se establecen y se prueban unos procesos que permiten a la compañía mayor proactividad y una respuesta más eficiente y consistente cuando es necesario.
Las recomendaciones sugeridas para la gestión de riesgos tienen en cuenta la tecnología existente, la presente situación de la seguridad y las estrategias de defensa en profundidad. Las sugerencias están pensadas para ayudarle a reconocer las prácticas más recomendadas.
No hay comentarios:
Publicar un comentario