La Evaluación de la seguridad de las tecnologías de la información ( Evaluación de la seguridad de las TI) es un estudio explícito para localizar las vulnerabilidades y los riesgos de la seguridad de las TI .
Fondo
En una evaluación, el evaluador debe contar con la plena cooperación de la organización que se evalúa. La organización otorga acceso a sus instalaciones, proporciona acceso a la red , describe información detallada sobre la red, etc. Todas las partes comprenden que el objetivo es estudiar la seguridad e identificar mejoras para proteger los sistemas. Una evaluación de la seguridad es potencialmente la más útil de todas las pruebas de seguridad .
Propósito de la evaluación de seguridad
El objetivo de una evaluación de seguridad (también conocida como auditoría de seguridad, revisión de seguridad o evaluación de la red [1] ) es garantizar que los controles de seguridad necesarios se integren en el diseño y la implementación de un proyecto. Una evaluación de seguridad debidamente completada debe proporcionar documentación que describa cualquier brecha de seguridad entre el diseño de un proyecto y las políticas de seguridad corporativas aprobadas. La administración puede abordar las brechas de seguridad de tres maneras: La administración puede decidir cancelar el proyecto, asignar los recursos necesarios para corregir las brechas de seguridad o aceptar el riesgo basándose en un análisis de riesgo / recompensa informado.
Metodología
El siguiente esquema de metodología se presenta como el medio eficaz para realizar una evaluación de la seguridad.
- Estudio de requisitos y análisis de situación
- Creación y actualización de políticas de seguridad
- Revisión de documento
- Análisis de riesgo
- Análisis de vulnerabilidades
- Análisis de los datos
- Informe y sesión informativa
Informe de muestra
Un informe de evaluación de seguridad debe incluir la siguiente información:
- Introducción / antecedentes
- Resumen ejecutivo y de gestión
- Alcance y objetivos de la evaluación
- Supuestos y limitaciones
- Métodos y herramientas de evaluación utilizadas
- Descripción del sistema o entorno actual con diagramas de red, si los hubiera
- Requerimientos de seguridad
- Resumen de hallazgos y recomendaciones
- El resultado de la revisión de control general
- Los resultados de la prueba de vulnerabilidad
- Resultados de la evaluación de riesgos, incluidos los activos identificados, las amenazas, las vulnerabilidades, la evaluación del impacto y la probabilidad, y el análisis de los resultados de los riesgos.
- Salvaguardias recomendadas
Críticas y carencias
Las evaluaciones de riesgos de seguridad de TI, como muchas evaluaciones de riesgos en TI, no son realmente cuantitativas y no representan un riesgo de una manera actuarialmente sólida. Medir el riesgo cuantitativamente puede tener un impacto significativo en la priorización de riesgos y la obtención de la aprobación de la inversión. [2]
El análisis de riesgo cuantitativo se aplicó a la seguridad de TI en un importante estudio del gobierno de EE. UU. En 2000. El Consejo Federal de CIO encargó un estudio de la inversión de $ 100 millones en seguridad de TI para el Departamento de Asuntos de Veteranos con resultados que se muestran cuantitativamente. [1] Departamento de Asuntos de Veteranos de los Estados Unidos
Certificaciones profesionales
Existen certificaciones profesionales independientes del proveedor para realizar evaluaciones de seguridad.
- CISSP
- CCSP
- CISM
- CISA
- ISO / IEC 27001: 2013 Auditor / Auditor principal
- CRISC
- QSA / ISA
Herramientas de evaluación de seguridad automatizadas
Existen herramientas comunes para la evaluación automática de la seguridad para uso propio o de terceros.
- Panorámicas
- Herramientas RapidFire
- Más allá de la seguridad
- Veracode
- RiskWatch
- Vientos solares
enlaces externos
Referencias
- ^ "4 señales de que necesita una evaluación de la red" . ccbtechnology.com . Consultado el 20 de febrero de 2018 .
- ^ Hubbard, Doug (1998). "Riesgo de vallas". Revista CIO .
Casas III, Victoriano. 2006. "Un modelo de evaluación de riesgos de seguridad de la información para administradores públicos y universitarios". Proyecto de Investigación Aplicada. Universidad Estatal de Texas. http://ecommons.txstate.edu/arp/109/