Compilación de conocimientos clave DAMA-DMBOK2 CDGA/CDGP - Capítulo 7 Seguridad de datos

Enterprise 2023-09-19 07:47:23 views: null

Tabla de contenido

1. Distribución de puntuación

2. Resumen de conocimientos clave

1. Introducción

1.1 Impulsores empresariales 

1.2 Objetivos y principios

1.3 Conceptos básicos

2. Actividades

2.1 Identificar las necesidades de seguridad de los datos

2.2 Desarrollar un sistema de seguridad de datos

2.3 Definir reglas de seguridad de datos

2.4 Evaluar los riesgos de seguridad actuales

2.5 Implementar controles y procedimientos

3. Herramientas

4. Método

5. Guía de implementación

5.1 Evaluación de preparación/Evaluación de riesgos

5.2 Cambio organizacional y cultural

5.3 Seguridad de los datos en el mundo del outsourcing

6. Gestión de la seguridad de los datos

6.1 Seguridad de los datos y arquitectura empresarial

6.2 Métricas

1. Distribución de puntuación

        CDGA: 8 puntos (8 opciones únicas)

        CDGP: 10 puntos (pregunta de desarrollo)

                Puntos de prueba:

                        Impulsores, objetivos y principios

                        Conceptos básicos y actividades.

                        Indicadores de evaluación de la seguridad de los datos

                        Gobernanza de la seguridad de los datos

2. Resumen de conocimientos clave

1. Introducción

Diagrama contextual:

Los requisitos de seguridad de los datos provienen de :

  1. Partes interesadas.
  2. Regulaciones gubernamentales.
  3. Preocupaciones comerciales específicas.
  4. Requisitos legítimos de acceso.
  5. Obligaciones contractuales. 

1.1 Impulsores empresariales 

Impulsores comerciales : la reducción de riesgos y el crecimiento empresarial son impulsores clave de las actividades de seguridad de datos.

  • reducir el riesgo
    • Pasos para clasificar y clasificar datos organizacionales:
      • 1) Identificar y clasificar activos de datos sensibles.
      • 2) Encuentre datos confidenciales en la empresa.
      • 3) Determinar formas de proteger cada activo.
      • 4) Identificar cómo interactúa la información con los procesos de negocio.
  • El crecimiento del negocio
  • La seguridad como activo: los metadatos son una forma de gestionar datos confidenciales. La clasificación de la información y la sensibilidad del cumplimiento se pueden marcar en los niveles de elemento de datos y recopilación.

1.2 Objetivos y principios

Objetivo :

  1. Habilite el acceso adecuado a los activos de datos empresariales y evite el acceso inadecuado.
  2. Comprender y cumplir con todas las regulaciones y políticas en materia de privacidad, protección y confidencialidad.
  3. Garantizar que se cumplan y auditen las necesidades de privacidad y confidencialidad de todas las partes interesadas.

Principios :

  1. Colaboración . La seguridad de los datos es un esfuerzo de colaboración que involucra a administradores de seguridad de TI, administradores/gobernanza de datos, equipos de auditoría interna y externa y el departamento legal.
  2. Coordinación empresarial . Se debe garantizar la coherencia organizacional al aplicar estándares y políticas de seguridad de datos.
  3. Gestión activa . El éxito en la gestión de la seguridad de los datos depende de ser proactivo y dinámico, prestar atención a todas las partes interesadas, gestionar el cambio y superar los obstáculos organizacionales o culturales, como la separación tradicional de funciones entre la seguridad de la información, la tecnología de la información, la gestión de datos y las partes interesadas del negocio.
  4. Aclarar responsabilidades . Las funciones y responsabilidades deben definirse claramente, incluida una “cadena de custodia” de datos entre organizaciones y funciones.
  5. Impulsado por metadatos . La clasificación y clasificación de seguridad de los datos son una parte importante de la definición de datos.
  6. Reducir la exposición para reducir el riesgo . Minimizar la proliferación de datos sensibles/confidenciales, especialmente en entornos que no son de producción.

1.3 Conceptos básicos

Terminología de seguridad de la información :

  • Vulnerabilidad: una debilidad o falla en un sistema que es susceptible a un ataque, una exposición.
  • Amenazas: Posibles acciones ofensivas que se pueden tomar contra una organización. Puede ser interno o externo. No siempre tiene que ser malicioso.
  • Riesgo: La posibilidad de pérdida, algo o una condición que constituye una pérdida potencial.
    • Calcule el riesgo a partir de:
      • 1) La probabilidad de que ocurra la amenaza y su posible frecuencia.
      • 2) El tipo y escala de daño que cada incidente de amenaza puede causar, incluido el daño reputacional.
      • 3) Impacto del daño en los ingresos o las operaciones comerciales
      • 4) Costos de reparación después de que se produzca el daño.
      • 5) El costo de prevenir amenazas, incluidos los métodos de remediación de vulnerabilidades.
      • 6) Las posibles intenciones del atacante
  • Clasificación de riesgo:
    • 1) Datos de riesgo medio
    • 2) Datos de eliminación de vientos fuertes.
    • 3) Datos clave de riesgo.

Proceso de seguridad :

  • Requisitos y procesos de seguridad de datos:
    • 4A:
      • Acceso : Permitir que las personas autorizadas accedan al sistema de manera oportuna. Como verbo, significa conectarse activamente al sistema de información y utilizar los datos; como sustantivo, significa que la persona tiene una autorización válida para los datos.
      • Auditoría : revise las operaciones de seguridad y las actividades de los usuarios para garantizar el cumplimiento de las regulaciones y el cumplimiento de las políticas y estándares de la empresa. Los profesionales de seguridad de la información revisan periódicamente registros y documentos para verificar el cumplimiento de las regulaciones, políticas y estándares de seguridad. Los resultados de estas revisiones se publican periódicamente.
      • Autenticación : Verifique los derechos de acceso del usuario. Cuando un usuario intenta iniciar sesión en el sistema, el sistema debe verificar que la persona sea auténtica. Además de las contraseñas, los métodos de autenticación más estrictos incluyen tokens de seguridad, responder preguntas o enviar huellas digitales. Durante el proceso de autenticación, todas las transmisiones se cifran para evitar el robo de información de autenticación.
      • Autorización : otorgar a las personas acceso a vistas específicas de datos apropiadas para su función. Una vez obtenida la autorización, el sistema de control de acceso verifica la validez del token de autorización cada vez que el usuario inicia sesión.
    • 1E:
      • Derecho : la suma de todos los elementos de datos expuestos al usuario mediante una única decisión de autorización de acceso.
  • monitor:
    • Monitoreo activo : el monitoreo activo es un mecanismo de detección.
    • Monitoreo pasivo : el sistema captura periódicamente instantáneas del sistema y compara tendencias con líneas de base u otros estándares para rastrear los cambios que ocurren en cualquier momento. El sistema envía un informe al responsable de la gestión de datos o al responsable de seguridad. El seguimiento pasivo es un mecanismo de evaluación.

Integridad de los datos : En términos de seguridad, la integridad de los datos (Data Integrity) es un requisito general del estado para evitar verse afectado por adiciones/eliminaciones inadecuadas . Por ejemplo, la Ley Sarbanes-Oxley de Estados Unidos implica principalmente identificar reglas sobre cómo crear y editar información financiera para proteger la integridad de la información financiera.

Cifrado : proceso de convertir texto sin formato en códigos complejos para ocultar información privilegiada, verificar la integridad de una transmisión o verificar la identidad del remitente.

  • tipo:
    • 1) hachís
      • MD5
      • sha
    • 2) Cifrado simétrico
      • DESDE
      • 3DES
      • AES
      • DEA
    • 3) Cifrado asimétrico
      • RSA
      • PGP

Ofuscación o desensibilización : la ofuscación o desensibilización se utilizan para reducir la disponibilidad de los datos y al mismo tiempo evitar perder el significado de los datos o la relación de los datos con otros conjuntos de datos.

  • Ofuscar : volverse vago o poco claro.
  • Desensibilización : eliminar, codificar o cambiar la apariencia de datos, etc.
    • Tipo de desensibilización:
      • Desensibilización estática: datos actualizados de forma permanente e irreversible
        • Desensibilización no destructiva: no quedarán archivos intermedios ni bases de datos con datos no desensibilizados, muy seguro
        • Desensibilización sobre el terreno: se utiliza cuando la fuente y el destino de los datos son los mismos. Lea datos desenmascarados de la fuente de datos o tenga otra copia de los datos en un lugar seguro y realice la desensibilización antes de trasladarse a un lugar inseguro. arriesgado.
      • Enmascaramiento dinámico: cambiar la apariencia de los datos para el usuario final o el sistema sin cambiar los datos subyacentes.
  • Método de desensibilización:
    • 1) Sustitución. Reemplaza un carácter o valor entero con un carácter o valor entero en una búsqueda o patrón estándar.
    • 2) Mezclar. Intercambiar elementos de datos del mismo tipo dentro de un registro o intercambiar elementos de datos del mismo atributo entre diferentes filas.
    • 3) Variación Temporal. Mueva la fecha hacia adelante o hacia atrás una cantidad de días (lo suficientemente pequeña como para preservar la tendencia), lo suficiente como para hacerla irreconocible.
    • 4) Variación del valor. Aplique un factor aleatorio (más o menos un porcentaje, lo suficientemente pequeño como para mantener la tendencia), lo suficientemente significativo como para volverlo irreconocible.
    • 5) Anulación o Supresión. Elimine los datos que no deberían estar presentes en el sistema de prueba.
    • 6) Aleatorización. Reemplace algunos o todos los elementos de datos con caracteres aleatorios o una secuencia de caracteres individuales.
    • 7) Tecnología de cifrado. Convierta una secuencia de caracteres reconocibles y significativos en una secuencia de caracteres irreconocibles mediante un código cifrado.
    • 8) Enmascaramiento de expresión. Cambia todos los valores al resultado de una expresión. Por ejemplo, utilice una expresión simple para forzar que todos los valores de un campo grande de base de datos de formato libre (que puede contener datos confidenciales) se codifiquen como "Este es un campo de comentario".
    • 9) Enmascaramiento de claves. Los resultados del algoritmo/proceso de enmascaramiento especificado deben ser únicos y repetibles para enmascarar campos clave de la base de datos (o campos similares).

Terminología de ciberseguridad :

  1. Puerta trasera: una entrada oculta a un sistema o aplicación informática.
  2. Bot o zombie: una estación de trabajo que ha sido tomada por actores maliciosos que utilizan caballos de Troya, virus, phishing o descargan archivos infectados.
  3. Cookie: pequeño archivo de datos que un sitio web coloca en el disco duro de su computadora para identificar a los usuarios habituales y analizar sus preferencias.
  4. Firewall: es software y/o hardware que filtra el tráfico de la red para proteger una sola computadora o una red completa del acceso no autorizado e intentos de ataques a un sistema.
  5. Perímetro: se refiere al límite entre el entorno organizacional y los sistemas externos. Los cortafuegos normalmente se implementan entre todos los entornos internos y externos.
  6. DMZ: se refiere al borde o zona periférica del tejido.
  7. cuenta de superusuario
  8. registrador de teclas
  9. Pruebas de penetración
  10. red privada virtual

Tipo de seguridad de datos :

  • Seguridad de las instalaciones: la seguridad de las instalaciones es la primera línea de defensa contra actores maliciosos
  • Seguridad del dispositivo: Los dispositivos móviles, incluidos portátiles, tabletas y teléfonos inteligentes, son intrínsecamente inseguros debido a la posibilidad de pérdida, robo y ataque físico/electrónico por parte de piratas informáticos criminales.
    • estándar:
      • 1) Acceder a políticas mediante conexiones de dispositivos móviles.
      • 2) Almacenar datos en dispositivos portátiles como computadoras portátiles, DVD, CD o unidades USB
      • 3) Borrado y eliminación de datos del dispositivo de conformidad con las políticas de gestión de registros.
      • 4) Instalación de software antimalware y cifrado
      • 5) Conciencia de las vulnerabilidades de seguridad.
  • Seguridad de credenciales:
    • Sistemas de gestión de identidades: el inicio de sesión único es óptimo desde la perspectiva del usuario
    • Estándar de identificación de usuario para sistemas de correo electrónico.
    • Estándares de contraseñas: las contraseñas son la primera línea de defensa para proteger el acceso a los datos
    • Identificación multifactorial.
  • Seguridad de las comunicaciones electrónicas.

Restricciones de seguridad de los datos :

  • Nivel de confidencialidad.
    • Clasificación de Datos Confidenciales:
      • 1) Para Audiencias Generales.
      • 2) Sólo para uso interno. Información que está restringida únicamente a empleados o miembros, pero el riesgo de compartir la información es mínimo. Esta información es sólo para uso interno y puede mostrarse o discutirse fuera de la organización, pero no puede reproducirse.
      • 3) Confidencial. No debe compartirse fuera de la organización sin un acuerdo de confidencialidad adecuado o similar. La información confidencial del cliente no puede compartirse con otros clientes.
      • 4) Confidencial Restringido. La confidencialidad restringida requiere que las personas obtengan autorización y está limitada a personas con una “necesidad de saber” específica .
      • 5) Confidencial Registrada. La confidencialidad de la información es tan alta que cualquier visitante de la información debe firmar un acuerdo legal para acceder a los datos y asumir obligaciones de confidencialidad.
  • los requisitos reglamentarios. 
    • Categoría de regulación
      • 1) Ejemplos de series regulatorias
        • información de identificación personal
        • Información financieramente sensible
        • Datos médicos sensibles/información de salud personal
      • 2) Regulaciones industriales o regulaciones basadas en contratos
        • Estándar de seguridad de datos de la industria de tarjetas de pago
        • Ventaja competitiva o secreto comercial
        • Restricciones contractuales

La principal diferencia entre confidencialidad y supervisión es que provienen de diferentes fuentes: los requisitos de confidencialidad provienen de fuentes internas, mientras que los requisitos de supervisión provienen de fuentes externas.

Riesgos de seguridad del sistema : el primer paso para identificar los riesgos es determinar dónde se almacenan los datos confidenciales y qué protección requieren estos datos.

  • categoría:
    • (1) Abuso de privilegios: para los derechos de acceso a los datos, se debe adoptar el principio de privilegio mínimo y solo se debe permitir a los usuarios, procesos o programas acceder a la información permitida para sus fines legítimos. La solución al exceso de permisos es el control de acceso a nivel de consulta. La granularidad del control debe ir desde el acceso a nivel de tabla a filas y columnas específicas.
    • (2) Abuso de privilegios legítimos: abuso intencional y no intencional. Parte de la solución al abuso de privilegios legítimos es el control de acceso a la base de datos.
    • (3) Escalada de privilegios no autorizada.
    • (4) Abuso de cuentas de servicio o cuentas compartidas.
      • cuenta de servicio
      • Cuenta compartida.
    • (5) Ataque de intrusión a la plataforma.
    • (6) Vulnerabilidades de inyección.
    • (7) Contraseña predeterminada.
    • (8) Abuso de datos de respaldo.

Amenazas de phishing/ingeniería social :

  • La ingeniería social se refiere a los métodos mediante los cuales los piratas informáticos malintencionados intentan engañar a las personas para que proporcionen información o accedan a ella. Los piratas informáticos utilizaron la diversa información obtenida para convencer a los empleados afectados de que tenían una solicitud legítima. A veces, un hacker se pone en contacto con varias personas en secuencia, recopilando información en cada paso que puede utilizarse para ganarse la confianza del siguiente empleado de nivel superior.
  • El phishing es la práctica de engañar al destinatario para que proporcione información valiosa o privacidad personal sin su conocimiento mediante llamadas telefónicas, mensajes instantáneos o correos electrónicos. A menudo, estas llamadas o mensajes parecen provenir de fuentes legítimas.

Programa malicioso :

  • tipo:
    • Programa publicitario.
    • Software espía.
    • Caballo de Troya.
    • Virus.
    • gusano.
  • fuente:
    • Mensajería instantánea
    • red social
    • correo basura

2. Actividades

La supervisión de la seguridad se centra en los resultados de seguridad más que en los medios para lograr la seguridad. Las organizaciones deben diseñar sus propios controles de seguridad y demostrar que cumplen o superan los estrictos requisitos de las leyes y regulaciones.

2.1 Identificar las necesidades de seguridad de los datos

  • Necesidades comerciales: las necesidades comerciales, la misión, la estrategia y el tamaño de una organización, así como su industria, determinan el nivel de rigor requerido para la seguridad de los datos. La matriz de proceso de datos y la matriz de relaciones entre datos y funciones son herramientas muy eficaces.
  • los requisitos reglamentarios. Cree una lista de regulaciones y describa claramente las áreas afectadas por los datos, las políticas de seguridad relacionadas y las medidas de control.

2.2 Desarrollar un sistema de seguridad de datos

Las organizaciones deben basar sus políticas de seguridad de datos en sus propios requisitos regulatorios y comerciales . Un sistema es una declaración de un curso de acción elegido y una descripción de alto nivel del comportamiento que se espera para lograr una meta . Una política de seguridad de datos describe las acciones que se consideran mejores para una organización para proteger sus datos. Para que estos sistemas tengan un impacto mensurable, deben ser auditables y auditables .

  • Diferentes niveles de sistemas:
    • 1) Sistema de seguridad empresarial.
    • 2) Sistema de seguridad informática.
    • 3) Sistema de seguridad de datos.

El Comité de Gobernanza de Datos es la parte de revisión y aprobación de los sistemas de seguridad de datos. El especialista en gestión de datos es la persona responsable y mantenedor del sistema.

2.3 Definir reglas de seguridad de datos

  • 1 Defina el nivel de confidencialidad de los datos. La clasificación de la privacidad es una característica importante de los metadatos que guía a los usuarios sobre cómo obtener acceso.
  • 2 Definir categorías de gobernanza de datos.
  • 3 Defina los roles de seguridad. Los grupos de roles reducen la carga de trabajo.
    • Hay dos formas de definir y organizar roles:
      • Red (comenzando con datos)
      • Jerarquía (comenzando con los usuarios)
    • Dos herramientas:
      • Matriz de asignación de roles.
      • Jerarquía de asignación de roles.

2.4 Evaluar los riesgos de seguridad actuales

  • 1) Sensibilidad de los datos almacenados o transmitidos.
  • 2) Requisitos de protección de datos.
  • 3) Medidas de protección de seguridad existentes.

2.5 Implementar controles y procedimientos

La responsabilidad principal es el Administrador de Seguridad , que trabaja con el Especialista en Gestión de Datos y el Equipo Técnico.

Controles y Procedimientos :

  • ¿Qué está cubierto?
    • 1) Cómo los usuarios obtienen y cancelan el acceso a los sistemas y/o aplicaciones.
    • 2) Cómo asignar roles a usuarios y eliminarlos de roles.
    • 3) Cómo monitorear los niveles de permisos.
    • 4) Cómo manejar y monitorear las solicitudes de cambio de acceso.
    • 5) Cómo clasificar los datos según confidencialidad y normativa aplicable.
    • 6) Cómo lidiar con la fuga de datos después de la detección. 
  • Controles y Procedimientos:
    • (1) Asignar niveles de confidencialidad.
    • (2) Asignar categorías regulatorias.
    • (3) Gestionar y mantener la seguridad de los datos.
      • 1) Controlar la disponibilidad de datos/seguridad centrada en los datos.
      • 2) Supervisar la autenticación del usuario y el comportamiento de acceso.
    • (4) Gestionar el cumplimiento del sistema de seguridad.
      • 1) Gestionar el cumplimiento normativo.
      • 2) Auditar las actividades de cumplimiento y seguridad de los datos.
  • La falta de seguimiento automatizado presenta graves riesgos:
    • 1) Riesgos regulatorios.
    • 2) Detectar y recuperar riesgos.
    • 3) Riesgos de gestión y responsabilidad de auditoría.
    • 4) Riesgo de depender de herramientas de auditoría locales inadecuadas.
  • Los equipos de auditoría basados ​​en red tienen ventajas:
    • 1) Alto rendimiento.
    • 2) Separación de funciones.
    • 3) Seguimiento fino de transacciones.
  • La gestión del cumplimiento normativo incluye:
    • 1) Gestionar el cumplimiento normativo:
      • ①Medir el cumplimiento de las normas y procedimientos de autorización.
      • ② Asegúrese de que todos los requisitos de datos sean mensurables y, por lo tanto, auditables.
      • ③ Utilice herramientas y procesos estándar para proteger los datos regulados en almacenamiento y operación.
      • ④ Utilizar procedimientos de presentación de informes y mecanismos de notificación cuando se descubran posibles problemas de incumplimiento y violaciones de cumplimiento normativo.
    • 2) Auditar la seguridad de los datos y las actividades de cumplimiento: Las descripciones del sistema de seguridad de los datos, los documentos estándar, las pautas de implementación, las solicitudes de cambio, los registros de monitoreo de acceso, los resultados de los informes y otros registros (electrónicos o impresos) constituyen la fuente de entrada para la auditoría. y realizar pruebas y controles
      • Ejemplos de pruebas de auditoría y contenidos de inspección:
        • ① Evaluar los sistemas y reglas para garantizar que los controles de cumplimiento estén claramente definidos y se cumplan los requisitos reglamentarios.
        • ②Analizar los procedimientos de implementación y las prácticas de autorización de usuarios para garantizar el cumplimiento de los objetivos regulatorios, sistemas, reglas y resultados esperados.
        • ③Evaluar si las normas y procedimientos de autorización son suficientes y cumplen con los requisitos técnicos.
        • ④Cuando se descubra una infracción o posible infracción, evaluar los procedimientos de denuncia y los mecanismos de notificación a implementar.
        • ⑤ Revisar los contratos de subcontratación y proveedores externos, los acuerdos de intercambio de datos y las obligaciones de cumplimiento para garantizar que los socios comerciales cumplan con sus obligaciones y que la organización cumpla con sus obligaciones legales para proteger los datos regulados.
        • ⑥Evaluar la madurez de las prácticas de seguridad dentro de la organización e informar el "estado de cumplimiento normativo" a la alta dirección y otras partes interesadas.
        • ⑦Cambios recomendados en el sistema de cumplimiento y mejoras de cumplimiento operativo.

3. Herramientas

4. Método

Consulte el diagrama de contexto para obtener más detalles.

5. Guía de implementación

5.1 Evaluación de preparación/Evaluación de riesgos

Las organizaciones pueden mejorar el cumplimiento mediante :

  • 1) Formación. Dicha capacitación y pruebas deberían ser obligatorias y un requisito previo para las evaluaciones del desempeño de los empleados.
  • 2) Consistencia institucional. Desarrollar sistemas de seguridad de datos y sistemas de cumplimiento normativo para grupos de trabajo y departamentos, con el objetivo de mejorar los sistemas corporativos.
  • 3) Medir los beneficios de la seguridad. Las organizaciones deben incluir indicadores objetivos de las actividades de seguridad de datos en las métricas del cuadro de mando integral y en las evaluaciones de programas.
  • 4) Establecer requisitos de seguridad para los proveedores. Incluir requisitos de seguridad de datos en los acuerdos de nivel de servicio (SLA) y las obligaciones contractuales de subcontratación. El acuerdo SLA debe incluir todas las operaciones de protección de datos.
  • 5) Potenciar el sentido de urgencia. Enfatizar los requisitos legales, contractuales y regulatorios para aumentar el sentido de urgencia en la gestión de la seguridad de los datos.
  • 6) Comunicación continua.

5.2 Cambio organizacional y cultural

Para facilitar el cumplimiento, se deben desarrollar medidas de seguridad de datos con la perspectiva de quienes utilizarán los datos y los sistemas. Unas medidas de seguridad técnicas integrales y cuidadosamente planificadas deberían facilitar que las partes interesadas obtengan un acceso seguro.

5.3 Seguridad de los datos en el mundo del outsourcing

  • Todo se puede subcontratar, excepto la responsabilidad.
  • Cualquier forma de subcontratación aumenta los riesgos organizacionales, incluida la pérdida de control sobre el entorno tecnológico y quienes utilizan los datos de la organización. Los procesos de implementación de seguridad de datos deben considerar los riesgos de los proveedores subcontratados como riesgos tanto externos como internos. La arquitectura y la propiedad de TI, incluida la arquitectura de seguridad de los datos, deberían ser una responsabilidad interna. En otras palabras, la organización interna posee y gestiona la arquitectura empresarial y de seguridad. Un socio subcontratado puede ser responsable de implementar la arquitectura.

6. Gestión de la seguridad de los datos

6.1 Seguridad de los datos y arquitectura empresarial

La arquitectura de seguridad implica :

  • 1) Herramientas para la gestión de la seguridad de los datos.
  • 2) Estándares y mecanismos de cifrado de datos.
  • 3) Pautas de acceso a datos para proveedores y contratistas externos.
  • 4) Protocolo de transferencia de datos a través de Internet.
  • 5) Requisitos de documentación.
  • 6) Estándares de acceso remoto.
  • 7) Procedimientos de notificación de incidentes de violaciones de seguridad.

La arquitectura de seguridad es particularmente importante para la integración de :

  • 1) Sistemas internos y departamentos comerciales.
  • 2) La organización y sus socios comerciales externos.
  • 3) Organismos y agencias reguladoras.

6.2 Métricas

Métrica:

  • Indicadores de implementación de seguridad.
    • 1) El porcentaje de computadoras corporativas que tienen instalados los últimos parches de seguridad.
    • 2) Porcentaje de computadoras con el último software antimalware instalado y en ejecución.
    • 3) Porcentaje de nuevos empleados que pasan con éxito las verificaciones de antecedentes.
    • 4) Porcentaje de empleados con puntaje superior al 80% en la prueba anual de prácticas de seguridad.
    • 5) Porcentaje de unidades de negocio que han completado un análisis formal de evaluación de riesgos.
    • 6) El porcentaje de procesos de negocio que pasan con éxito las pruebas de recuperación ante desastres en caso de incendio, terremoto, tormenta, inundación, explosión u otro desastre.
    • 7) Porcentaje de problemas identificados por la auditoría que se han resuelto con éxito
  • Indicadores de concienciación en materia de seguridad.
    • 1) Resultados de la evaluación de riesgos.
    • 2) Eventos y perfiles de riesgo.
    • 3) Encuestas y entrevistas formales de retroalimentación.
    • 4) Revisión de accidentes, lecciones aprendidas y entrevistas a víctimas.
    • 5) Auditoría de efectividad del parche.
  • Indicadores de protección de datos.
    • 1) Clasificación de criticidad para tipos de datos y sistemas de información específicos. No hacerlo tendrá un profundo impacto en el negocio.
    • 2) Expectativas de pérdida anual por accidentes, ataques de piratas informáticos, robo o desastres relacionados con la pérdida, compromiso o daño de datos.
    • 3) El riesgo de pérdida de datos específicos está asociado con ciertas categorías de información regulada y la priorización de la remediación.
    • 4) Mapeo de riesgos de datos para procesos comerciales específicos; los riesgos asociados con los equipos de punto de venta se incluirán en el perfil de riesgo de los sistemas de pago financieros.
    • 5) Realizar una evaluación de amenazas sobre la posibilidad de ataques a ciertos recursos de datos valiosos y sus medios de transmisión.
    • 6) Realizar una evaluación de vulnerabilidad de partes específicas del proceso comercial que puedan revelar accidental o intencionalmente información confidencial.
  • Indicadores de incidentes de seguridad.
    • 1) Detectar y bloquear el número de intentos de intrusión.
    • 2) Retorno de la inversión en costos de seguridad ahorrados al prevenir intrusiones.
  • Proliferación de datos confidenciales.
    • Se debe medir el número de copias de datos confidenciales para reducir la proliferación. Cuantos más lugares se almacenen datos confidenciales, mayor será el riesgo de fuga.

Supongo que te gusta

Origin blog.csdn.net/DreamEhome/article/details/132968842
Recomendado
Clasificación
Diario
Más
2024-06-13(0)
2024-06-12(0)
2024-06-11(0)
2024-06-10(0)
2024-06-09(0)
2024-06-08(0)
2024-06-07(0)
2024-06-06(0)
2024-06-05(0)
2024-06-04(0)

Code World

© 2018 codetd.com