Valor

Por último, las organizaciones con experiencia no sólo registran los indicadores que podrían ser indicios de riesgos de la seguridad, sino que también las estrategias adoptadas para administrar dichos riesgos de la seguridad y sus tasas de éxito. Con este tipo de base de conocimientos, los pasos de identificación y el planeamiento de seguridad del proceso de riesgos de la seguridad pueden basarse en la experiencia compartida de diversos equipos, y su organización puede comenzar a optimizar los costes de la administración de los riesgos de seguridad.

Al analizar cómo implementar una base de conocimientos sobre la seguridad para su organización, la experiencia ha demostrado que:

• El valor de la base de conocimientos sobre la seguridad aumenta a medida que más tareas se tornan reiteradas (como por ejemplo, centrarse en otros proyectos que afectan a la seguridad o a procesos operativos en curso).

• Cuando la compañía ejecute una revisión de seguridad similar, una base de conocimientos menos compleja es más fácil de mantener.

• La administración de los riesgos de seguridad no debe transformarse en un proceso automático que pase por alto la necesidad del equipo de pensar acerca de los riesgos de la seguridad. Incluso en situaciones reiteradas, el entorno comercial, las aptitudes de los atacantes y la tecnología están en constante cambio. El equipo de seguridad debe evaluar las estrategias de administración de riesgos de seguridad para dicho entorno en función de las personas, los procesos y la tecnología del lugar.

Principio de la página

Resumen

En este módulo se han explicado las prácticas comprobadas, derivadas de los métodos y procesos de análisis de seguridad delineados en MSF y MOF. Se han detallado los procesos utilizados en la DARS para determinar el coste de proteger los activos de su organización. Por último, se han recomendado pasos para formar un equipo de seguridad destinado a elaborar y ejecutar planes de acciones de seguridad con la finalidad de evitar y reaccionar ante ataques contra el entorno de su organización.

Principio de la página

Información adicional

Para obtener información sobre MSF, consulte: http://www.microsoft.com/technet/itsolutions/techguide/msf/default.mspx.

Para obtener información sobre MOF, consulte: http://www.microsoft.com/technet/itsolutions/techguide/mof/default.mspx.

Para obtener información sobre delitos informáticos, consulte: http://www.gocsi.com/press/20020407.html.

Para obtener información sobre evaluaciones de amenazas, consulte: "Threat Assessment of Malicious Code and Human Threats", de Lawrence

...