viernes, 23 de diciembre de 2016

Doce Principios de Seguridad de Información de Éxito

Suena Seguridad de la Información como una tarea complicada, pero realmente no lo es. Sabiendo lo que es necesario proteger y cómo protegerlo son las claves del éxito de la seguridad.

Doce Principios de Seguridad de Información de Éxito


  1. No hay tal cosa como la seguridad absoluta. Dado el tiempo suficiente, herramientas, habilidades, y la inclinación, un hacker puede romper a través de cualquier medida de seguridad.
  2. Los tres objetivos de seguridad son: La confidencialidad, integridad y disponibilidad de confidencialidad significa para evitar el acceso no autorizado. Integridad significa para mantener los datos puros y sin cambios. Disponibilidad significa para mantener los datos disponibles para su uso autorizado.
  3. Defensa en profundidad como estrategia. Medidas de seguridad en capas. Si uno falla, entonces las otras medidas estarán disponibles. Hay tres elementos para asegurar el acceso: la prevención, la detección y la respuesta.
  4. Cuando se deja por su cuenta, la gente tiende a hacer que las peores decisiones de seguridad. Los ejemplos incluyen caer en las estafas, y tomando el camino más fácil.
  5. La seguridad informática depende de dos tipos de requisitos: Funcionales y de garantía de los requisitos funcionales describen lo que un sistema debe hacer. Requisitos de garantía describen cómo se debe implementar un requisito funcional y probado.
  6. Seguridad por oscuridad no es una respuesta. Seguridad a través de la oscuridad significa que esconde los detalles del mecanismo de seguridad es suficiente para asegurar el sistema. El único problema es que si ese secreto nunca se sale, todo el sistema se ve comprometida. La mejor forma de evitar esto es asegurarse de que nadie mecanismo es responsable de la seguridad.
  7. Seguridad = Gestión de Riesgos. El trabajo La seguridad es un cuidadoso equilibrio entre el nivel de riesgo y la recompensa esperada de gastar una cantidad determinada de recursos. La evaluación de los riesgos y presupuestar los recursos en consecuencia le ayudará a mantenerse al tanto de la amenaza de seguridad.
  8. Tres tipo de controles de seguridad: Preventiva, el detective, y Responsive Básicamente este principio dice que los controles de seguridad deben contar con mecanismos para evitar un compromiso, un compromiso de detectar y responder a un compromiso, ya sea en tiempo real o después.
  9. La complejidad es el enemigo. Haciendo una red o sistema demasiado complejo hará que la seguridad más difícil de implementar.
  10. El miedo, la incertidumbre y la duda no funcionan. Tratando de gestión “asustar” a gastar dinero en la seguridad no es una buena manera de obtener los recursos necesarios. Explicar lo que se necesita y por qué es la mejor manera de obtener los recursos necesarios.
  11. Las personas, procesos y tecnología son todos necesarios para asegurar un sistema o instalación. Las personas se necesitan para utilizar los procesos y la tecnología para asegurar un sistema. Por ejemplo, se necesita una persona para instalar y configurar (procesos) de un cortafuegos (tecnología).
  12. La divulgación de vulnerabilidades es bueno. Que la gente sepa sobre los parches y correcciones. No informar a los usuarios acerca de los problemas es malo para el negocio.Estos son de ninguna manera una solución, todo para la seguridad. El usuario debe saber lo que están haciendo en contra y lo que se necesita para asegurar su sistema o red.

No hay comentarios:

Publicar un comentario