Guía sencilla para la seguridad de la información (continuación)

Common Sense Security Framework

En la entrada anterior describí el  Marco de seguridas de sentido común (Common Sense Security Framework- CSSF), introduciendo las áreas de su alcance, y los fundamentos y objetivos principales.

En esta entrada voy a reflejar las 21 preguntas (3 por cada área) que componen el cuestionario, y que deberían de ser contestadas para saber el grado de necesidades de la organización.

Si contesta NO (o no sabe que contestar) a alguna de las preguntas propuestas le recomiendo que se ponga en contacto con personal cualificado (su empresa de mantenimiento informático) para que le ayude a actualizar  sus controles, con el fin de poder responder afirmativamente al mayor número de peguntas posible.


  • Proteja sus aplicaciones

    • ¿Sus desarrolladores saben cómo escribir código seguro?
    • ¿Ha documentado los requisitos de seguridad de su aplicación tanto en los documentos internos del proyecto como en los contratos de terceros? 
    • ¿Escanea y corrige vulnerabilidades técnicas en todas sus aplicaciones web y móviles? yo quitaría lo de aplicaciones web  y móviles, dejando en todas sus aplicaciones.
  
  • Proteja sus puntos finales 
    • ¿Ejecuta software antivirus / antimalware en todos sus puntos finales?
    • ¿Limita el uso de la cuenta de administrador local?
    • ¿Busca y corrige vulnerabilidades técnicas en todos los dispositivos de punto final, tanto a nivel del sistema operativo como a nivel de la aplicación?
   
  • Proteja su red
    • ¿Tiene redes separadas (segregadas) para usuarios con cable, inalámbrico, nube y remoto / VPN?
    • ¿Su red inalámbrica y externa utiliza cifrado fuerte?
    • ¿Se requiere autenticación de dos factores para el acceso remoto / VPN, así como el acceso a las aplicaciones de terceros (alojados)?
   
  • Proteja sus servidores
    • ¿Sigue los procedimientos de seguridad de sistema documentados para asegurar sus servidores?
    • ¿Almacena centralmente y supervisa activamente registros de seguridad críticos para eventos sospechosos (como actividad anormal de cuenta de administrador)?
    • ¿Busca y corrige vulnerabilidades técnicas en todos sus servidores, tanto a nivel del sistema operativo como a nivel de la aplicación?
   
  • Proteja sus datos
    • ¿Crea y prueba regularmente copias de seguridad de sus datos críticos para el negocio?
    • ¿Revisa periódicamente la seguridad de la cuenta del empleado para asegurarse de que el acceso es apropiado (es decir, privilegios mínimos, cuentas individuales, contraseñas seguras)?
    •  ¿Se cifran todos los datos confidenciales almacenados en el disco?

  • Proteja sus ubicaciones
    • ¿Restringe el acceso a ubicaciones de la oficina y espacios de trabajo sensibles?
    • ¿Están todos sus servidores y dispositivos de red en cuartos cerrados?
    • ¿Requiere que sus empleados supervisen a los visitantes autorizados y hagan frente a extraños no autorizados?
  
  • Proteja a su gente
    • ¿Enseña a su personal cómo identificar y responder a posibles incidentes de seguridad?
    • ¿Realiza comprobaciones de antecedentes sobre nuevas contrataciones y sobre los empleados actuales, tanto al contratar como de manera recurrente (según sea necesario)?
    • ¿Tiene políticas, estándares y procedimientos documentados que utiliza como base para sus actividades de capacitación?

Como se puede ver las preguntas no son de puntos específicos, sino de temas generales. Quizá alguna de las cuestiones no resulte fácil de responder, en ese caso deberá apoyarse en personal que le pueda ayudar.

Se podrían incluir muchas mas preguntas, pero añadiría complejidad. Empezando por responder SI  a todas las preguntas propuestas se asienta una base para potenciar la seguridad en su organización, y avanzar en un ámbito muy olvidado en las pequeñas y medianas empresas y otras organizaciones.

Comentarios