Y seguimos con las 20 vulnerabilidades criticas ahora la 9.0
Habilidades de Evaluación de la Seguridad y la capacitación adecuada para llenar los vacíos
¿Cómo atacantes aprovechan de la ausencia de este control?
Las siguientes son las habilidades de los cinco grupos de personas que se están probando constantemente por los atacantes:
1. Los usuarios finales se deje engañar por estafas de ingeniería social en el que se engaña a proporcionar contraseñas, abrir archivos adjuntos, cargar el software desde sitios no confiables, o visitar sitios web maliciosos.
2. Los administradores del sistema también se engañado en la misma manera que los usuarios normales pero también se prueban cuando atacantes intentan engañar al administrador en la configuración de cuentas no autorizados.
3. Los operadores de seguridad y analistas se ponen a prueba con los ataques de nuevos e innovadores introducidos en una base continua.
4. Los programadores de aplicaciones han sido probados por los delincuentes que encontrar y explotar las vulnerabilidades en el código que escriben.
5. En menor medida, los dueños del sistema se prueba cuando se les pide que inviertan en la ciberseguridad pero no son conscientes de los efectos devastadores de un compromiso y exfiltración o alteración de datos tendría en su misión.
Cualquier organización que espera estar listo para buscar y responder a los ataques con eficacia deben encontrar las lagunas de su conocimiento y proponer ejercicios y entrenamiento para llenar esos vacíos. Un valor sólido programa de evaluación de habilidades pueden proporcionar información procesable para los tomadores de decisiones acerca de dónde concienciación sobre la seguridad necesita ser mejorado, y también puede ayudar a determinar la asignación adecuada de los recursos limitados para mejorar las prácticas de seguridad.
Capacitación también está estrechamente vinculada a la política y la toma de conciencia. Políticas de decirle a la gente lo que deben hacer, la formación les proporciona las habilidades para hacerlo, y los cambios de comportamiento de sensibilización para que las personas siguen la política. La capacitación debe ser mapeada en contra de las habilidades necesarias para realizar una tarea determinada. Si después de la capacitación, los usuarios todavía no están siguiendo la política, esa política debe ser ampliado con la conciencia.
Cómo implementar, automatizar y medir la efectividad de este control
1. Ganancias rápidas: Realizar análisis de brechas para ver qué áreas de seguridad empleados no se adhiere y utilizarlo como base para un programa de sensibilización. Las organizaciones deben diseñar evaluaciones periódicas de sensibilización sobre la seguridad que debe darse a los empleados y contratistas en por lo menos una vez al año con el fin de determinar si entienden las políticas de seguridad de la información y procedimientos, así como de su papel en esos procedimientos.
2. Ganancias rápidas: Desarrollar la formación de concienciación sobre seguridad para las varias descripciones de los puestos de personal. La capacitación debe incluir específicos, basados en escenarios de incidentes que muestran las amenazas que enfrenta una organización, y debe presentar defensas probadas en contra de las últimas técnicas de ataque.
3. Ganancias rápidas: Conciencia debe ser cuidadosamente validados con las políticas y la formación. Políticas de indicar a los usuarios qué hacer, capacitación les proporciona las habilidades para hacerlo, y los cambios de comportamiento de sensibilización para que comprendan la importancia de seguir la política.
4. Visibilidad / Reconocimiento: Metrics se debe crear para todas las políticas y medidas sobre una base regular. Conciencia debe centrarse en las áreas que reciben el puntaje más bajo de cumplimiento.
5. Configuración / Higiene: Realizar ejercicios periódicos para verificar que los empleados y contratistas están cumpliendo con sus funciones de protección de información mediante la realización de pruebas para ver si los empleados se haga clic en un enlace de correo electrónico sospechoso o proporcionar información confidencial por teléfono sin seguir los procedimientos adecuados para la autenticación de un persona que llama.
6. Configuración / Higiene: Proporcionar sesiones de sensibilización para los usuarios que no están siguiendo las políticas después de que hayan recibido una formación adecuada.
Associated NIST Special Publication 800-53, Revisión 3, Prioridad 1 Controles
AT-1, AT-2 (1), AT-3 (1)
Asociadas NSA manejables Hitos Red Plan y tareas de seguridad de red
Formación
Procedimientos y herramientas para implementar y automatizar este control
La clave para mejorar las competencias es la medición a través de evaluaciones que muestran tanto el empleado como el empleador donde el conocimiento es suficiente y dónde están las brechas. Una vez que las deficiencias han sido identificados, aquellos empleados que tienen las habilidades y los conocimientos necesarios pueden ser llamados para guiar a los empleados que necesitan para mejorar sus habilidades. Además, la organización puede desarrollar programas de capacitación que directamente llenar los vacíos y mantener la preparación del empleado.
Control 9 Entidad Sistema Diagrama de relaciones (ERD):
Organizaciones encontrará que la diagramación de las entidades necesarias para cumplir plenamente los objetivos definidos en este control, será más fácil identificar la manera de implementar, probar los controles, e identificar dónde los posibles fallos en el sistema pueden ocurrir.
Un sistema de control es un dispositivo o conjunto de dispositivos se utilizan para administrar, comando, dirigir o regular el comportamiento de otros dispositivos o sistemas. En este caso, estamos examinando la importancia de educar a los miembros de la fuerza de trabajo en el conocimiento de la seguridad que necesitan para desempeñar mejor sus funciones y responsabilidades dentro de la organización. La siguiente lista de los pasos en el diagrama de arriba muestra cómo las entidades trabajan en conjunto para cumplir con el objetivo de negocios definido en este control. La lista también ayuda a identificar qué cada uno de los pasos del proceso con el fin de ayudar a identificar los puntos potenciales de fallo en el control general.
Paso 1: Crear programas de capacitación y sensibilización acerca de las políticas de la organización y los procedimientos de seguridad de la información
Paso 2: Diseñar exámenes y evaluaciones sobre las políticas de la organización y los procedimientos de seguridad de la información
Paso 3: Presentar el programa de capacitación y sensibilización al personal de la organización
Paso 4: Presente las pruebas y evaluaciones al personal de la organización y validar la comprensión de la información presentada en el programa de capacitación y sensibilización
Fuente:http://www.sans.org/critical-security-controls/control.php?id=9
Traduccion:Dellcom1@.
Saludos Mundo Libre.
No hay comentarios:
Publicar un comentario