cómo vender la seguridad informática a la alta gerencia · cómo vender la seguridad informática...

Coacutemo vender la seguridad informaacutetica a la alta gerenciaUn libro interactivo para estructurar su caso y conseguir el presupuesto

Infosec

Coacutemo vender la seguridad informaacutetica a la alta gerencia

2

Mi GRAN

plan de seguridad

Necesita el apoyo de todo su equipo para mantener su empresa en funcionamiento Pero a veces los gerentes de TI pueden sentirse bastante solos en la zona de defensa Piense en la seguridad de red Su empresa no puede permitirse el tipo de ataque que golpeoacute a las tiendas Target y Home Depot Establecioacute la mejor defensa posible pero ahora necesita maacutes dinero maacutes herramientas y maacutes soporte

Este libro interactivo sirve precisamente para eso

Le mostraremos los pasos necesarios para analizar

su situacioacuten preparar un caso empresarial y

presentarlo debidamente ante la alta gerencia Y

como no siempre se llega en primer lugar tambieacuten le

daremos un plan secundario

Comencemos

Lista de comprobacioacutena Hable con los gerentes de departamento iquestQueacute recursos de red necesitan para alcanzar sus metasa iquestCuaacutel seriacutea el impacto si las unidades empresariales perdieran los recursos de red a iquestCuaacuteles son los costos directos (costos reales y lucro cesante) por un acceso ilegal a los sistemas criacuteticos a Tambieacuten deben calcularse los costos indirectos (golpes a la reputacioacuten a la marca y a la satisfaccioacuten del cliente) a Aproveche esta oportunidad para evangelizar sus planes de seguridad y para que sus compantildeeros se suban a bordo

3


Paso 1 Informe preliminarAntes de salir del vestuario necesita saber a queacute se enfrenta Un anaacutelisis del impacto empresarial le ayuda a entender queacute es importante para mantener su empresa en funcionamiento asiacute sabraacute lo que estaacute en riesgo

4


Paso 2 Diacutea de entrenamientoYa dejoacute en claro el riesgo en caso de que la empresa pierda el acceso a los sistemas criacuteticos debido a un incidente de seguridad Este es el momento de auditar las vulnerabilidades de seguridad Puede hacer esto usted mismo o pedir ayuda de expertos

Lista de comprobacioacutena Busque agencias externas y aplicaciones en liacutenea para realizar una auditoriacutea de

seguridad

a Genere una poliacutetica de seguridad informaacutetica incluya todo desde la frecuencia con la que deben cambiarse las contrasentildeas hasta la forma en que los empleados tienen acceso remoto a los recursos de la compantildeiacutea

a Logre un consenso sobre la poliacutetica con otros departamentos de modo que ellos puedan ayudar a asegurar los activos de forma proactiva

a Revise y actualice las poliacuteticas cada antildeo incluya en este proceso la seguridad informaacutetica los acuerdos de confidencialidad las poliacuteticas de uso aceptable etc

a Mantenga su empresa en marcha Pida aprobacioacuten antes de abordar alguacuten asunto

a Planifique la manera en que convertiraacute los resultados de la auditoriacutea en informacioacuten factible y comprensible


5

Coacutemo encontrar recursos de auditoriacutea

a Converse con el auditor externo sobre su preparacioacuten para la seguridad ciberneacutetica

a Consiga referencias de la comunidad de seguridad y de socios de tecnologiacutea actuales

a Pregunte en boletines teacutecnicos por correo electroacutenico y en sitios de redes sociales como LinkedIn

a Busque en liacutenea ldquoservicios de evaluacioacuten de vulnerabilidadesrdquo ldquoservicios de evaluacioacuten de seguridadrdquo ldquoservicios de pruebas de penetracioacutenrdquo ldquoservicios de deteccioacuten y respuesta ante incidentesrdquo o ldquoadministracioacuten de exposicioacuten a amenazasrdquo

Lectura obligatoria para el equipo

Manteacutengase actualizado sobre los riesgos y las soluciones Suscriacutebase a foros e informes de seguridad y consuacuteltelos perioacutedicamente

InformationWeekrsquos DarkReading httpwwwdarkreadingcom

Internet Storm Center httpsiscsansedu

KrebsonSecurity krebsonsecuritycom

Naked Security httpsnakedsecuritysophoscom

Reading Room httpwwwsansorgreading-room

Schneier on Security httpswwwschneiercom

WatchGuard Security Center httpwatchguardsecuritycentercom


6

Paso 3 Haga el recorridoAquiacute es cuando pone a prueba exhaustiva su programa de seguridad mediante anaacutelisis de seguridad Hasta los mejores programas de seguridad tienen problemas asiacute que si no encuentra nada es muy probable que haya un error en su metodologiacutea

Lista de comprobacioacuten

a Haga la investigacioacuten Lea y hable con expertos para

saber queacute tipos de herramientas de anaacutelisis necesita

a Solicite aprobacioacuten antes de ejecutar cualquier anaacutelisis

a Aseguacuterese de comprender bien las herramientas y el

efecto que puedan tener en su empresa

a Analice el tamantildeo de la red y la intensidad de anaacutelisis

para estimar el tiempo necesario (de unas cuantas horas

a semanas)

a Ejecute los anaacutelisis y programe el tiempo de

mantenimiento en caso necesario


7

Soluciones de muestra

Existen herramientas de anaacutelisis de seguridad de coacutedigo abierto y de alta calidad

disponibles en liacutenea y sin costo Comience con una herramienta de uso

general y avance hacia los anaacutelisis especializados cuando sea necesario

Herramientas generales NMAP es un software de topologiacutea de red y toma de huellas digitales

httpnmaporg

OpenVAS es un analizador de vulnerabilidades httpwwwopenvasorg

Herramientas especializadas

Zed Attack Proxy (ZAP) es una herramienta para encontrar vulnerabilidades en aplicaciones web

httpswwwowasporgindexphpOWASP_Zed_Attack_Proxy_Project

Sqlmap es una herramienta de pruebas de penetracioacuten que automatiza el proceso de deteccioacuten y explotacioacuten de fallas de inyeccioacuten SQL

httpsqlmaporg

Lista de comprobacioacutena Revise la auditoriacutea y los informes de anaacutelisis Clasifique los problemas por orden de prioridad seguacuten la importancia del activo y la probabilidad de explotar el vector de ataque a Use el anaacutelisis de impacto empresarial para clasificar los riesgos de forma adecuada Una vulnerabilidad de alto nivel en un sitio de pruebas podriacutea ser menos importante que un riesgo moderado en un sistema criacutetico a Identifique queacute elementos requieren poco esfuerzo o recursos para mitigarlos a Desarrolle un plan de reparacioacuten junto a las partes interesadas a partir del anaacutelisis de impacto empresarial


8

Paso 4 Marque el campoAhora que descubrioacute doacutende se encuentran los problemas es el momento de solucionarlos Las decisiones sobre queacute reparar (o no) deben basarse en la gravedad de la vulnerabilidad la oportunidad de explotarla y la exposicioacuten que podriacutea causar


9

Paso 5 Poacutengase su cara de retoEs hora de poner su entrenamiento a prueba Presentar su caso ante la alta gerencia puede ser como ir a las grandes ligas pero este es su campo de juego Si los altos ejecutivos no comprenden los riesgos es su tarea educarlos


a Haga suyas las inquietudes de seguridad que denuncia

a Presente los riesgos en teacuterminos que los ejecutivos

comprendan y que sean especiacuteficos para la empresa

a No use estadiacutesticas engantildeosas como taacutectica para asustar

a Sea transparente con respecto a lo que ya hizo

a Explique coacutemo agotoacute los recursos actuales y lo que necesita para lograr resultados

a Identifique a las partes interesadas y promotores a partir de las reuniones con los

gerentes de las unidades de negocios

a Sea insistente en sus argumentos hasta conseguir el apoyo que necesita

Lo que tenemos no funciona

Debemos corregirlo AHORA

Tengo un plan


10

Sugerencias para el eacutexito

a No enviacutee informes sin procesar

Aplique el contexto para ayudar

a los gerentes a comprender las

decisiones

a Encuadre la conversacioacuten

con requisitos de seguridad

relacionados con su sector

(SOC para empresas con

cotizacioacuten en bolsa HIPAA

para atencioacuten de salud PCI

DSS para minoristas etc)

a Piense en crear informes

personalizados para cada

unidad de negocios

Documente el proceso Explique cada riesgoMetodologiacutea de anaacutelisis auditoriacutea Si el riesgo es aceptable o noCuaacutendo se realizoacute

Coacutemo mitigarloParticipacioacuten de los interesados Queacute pasa si no lo hacenPasos de reparacioacuten Costos y esfuerzos estimados

Informes y estadiacutesticasActualice y distribuya perioacutedicamente los informes que incluyan resuacutemenes ejecutivos concisos y con enfoque empresarial


11

Paso 6 La temporada no se acaba hasta que se acaba

La seguridad es importante pero la alta gerencia tiene que equilibrar iniciativas empresariales retos y gastos que compiten entre siacute Es posible que no consiga todo lo que solicite de inmediato pero siempre estaraacute a un incidente de seguridad de conseguir los recursos Esteacute preparado


a Mantenga sus informes actualizados

para estar siempre listo cuando lo

llamen

a Ejecute las herramientas gratuitas y

repare todos los problemas que pueda

a Agregue acciones de reparacioacuten a los

informes que distribuya perioacutedicamente

a Prepaacuterese para mostrar el avance que

logroacute desde la uacuteltima presentacioacuten

a Si no puede solucionar un problema

brinde opciones aceptar el riesgo

asignar recursos o quitar la conexioacuten a

los activos en riesgo

AMBOS GANAMOS


12

Paso 7 Ofrezca su equipo ldquoArdquo y no menosUna vez que esteacute preparado para implementar los servicios de seguridad aseguacuterese que su equipo tenga las herramientas necesarias para afrontar el reto WatchGuard puede ayudar con un conjunto de aplicaciones de productos de seguridad y de alto rendimiento para cumplir con las necesidades de empresas de todos los tamantildeos

XTM 2520 Grandes empresas y centros

de datos corporativos

XTM serie 5 Medianas empresas y empresas distribuidas

XTM series 800 y 1500

Grandes empresas distribuidas

XTM series 2 y 3 Oficinas pequentildeas

sucursales y puntos de acceso inalaacutembrico

Firebox M400 y M500

Medianas empresas y empresas distribuidas

Fireboxreg T10 Oficina pequentildeaoficina

en casa y entornos minoristas pequentildeos

Firebox M440 Opcioacuten de varios puertos

XTM 2520 El firewall UTM de 1 unidad en rack maacutes raacutepido y maacutes ecoloacutegico del mundo


13

Acerca de WatchGuard

WatchGuardreg Technologies Inc es un liacuteder mundial en el sector de las soluciones integradas de seguridad empresarial

multifuncioacuten que combinan haacutebilmente el hardware estaacutendar del sector las mejores funciones de seguridad y

herramientas de administracioacuten basadas en poliacuteticas WatchGuard proporciona proteccioacuten sencilla pero de alta calidad

a cientos de miles de empresas de todo el mundo Los productos de WatchGuard estaacuten respaldados por el servicio

WatchGuard LiveSecurityreg un innovador programa de soporte teacutecnico WatchGuard tiene su sede central en Seattle

Washington con oficinas distribuidas por Ameacuterica del Norte Europa Asia-Paciacutefico y Ameacuterica Latina Para obtener maacutes

informacioacuten visite WatchGuardcom

En el presente documento no se proporciona ninguna garantiacutea expliacutecita o impliacutecita Todas las especificaciones estaacuten sujetas a cambios y todos los productos las caracteriacutesticas o las funcionalidades previstos para el futuro se proporcionaraacuten seguacuten las bases disponibles si las hay y cuando las haya copy2015 WatchGuard Technologies Inc Todos los derechos reservados WatchGuard el logotipo de WatchGuard y Firebox son marcas comerciales registradas de WatchGuard Technologies Inc en Estados Unidos yo en otros paiacuteses Todos los demaacutes nombres comerciales y marcas comerciales pertenecen a sus respectivos propietarios

505 Fifth Avenue South Suite 500

Seattle WA 98104 wwwwatchguardcom

Ventas en Ameacuterica del Norte +1 800 734 9905

Ventas internacionales +1 206 613 0895


2

Mi GRAN

plan de seguridad

Necesita el apoyo de todo su equipo para mantener su empresa en funcionamiento Pero a veces los gerentes de TI pueden sentirse bastante solos en la zona de defensa Piense en la seguridad de red Su empresa no puede permitirse el tipo de ataque que golpeoacute a las tiendas Target y Home Depot Establecioacute la mejor defensa posible pero ahora necesita maacutes dinero maacutes herramientas y maacutes soporte

Este libro interactivo sirve precisamente para eso

Le mostraremos los pasos necesarios para analizar

su situacioacuten preparar un caso empresarial y

presentarlo debidamente ante la alta gerencia Y

como no siempre se llega en primer lugar tambieacuten le

daremos un plan secundario

Comencemos


3



4




seguridad







5
















6










a semanas)




7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















3



4




seguridad







5
















6










a semanas)




7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13














4




seguridad







5
















6










a semanas)




7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















5
















6










a semanas)




7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















6










a semanas)




7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















7






httpnmaporg






httpsqlmaporg



8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13
















8



9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















9














Tengo un plan


10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















10





decisiones










unidad de negocios





11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















11






llamen











AMBOS GANAMOS


12









Firebox M400 y M500







13















12









Firebox M400 y M500







13















13














cómo vender la seguridad informática a la alta gerencia · cómo vender la seguridad informática...

Documents