it-swarm-es.com

¿En qué preguntas consistirían la prueba Joel para los profesionales de la Infosec?

Ver FAIL de servidor y la prueba original . En otras palabras, ¿cuáles son algunas buenas preguntas que un profesional de seguridad de la información debe solicitar a un posible empleador? Estas preguntas también pueden prestarse a sí mismas a ayudar a mejorar un entorno de trabajo existente y permitir que un empleador atraiga lo mejor y más brillante de la seguridad de la información.

18
sdanelson

Uno que parece impactar significativamente los equipos de seguridad sería:

  • ¿Tiene una seguridad de patrocinio de CISO o equivalente a nivel de conjunto y desarrollo de habilidades de seguridad y experiencia

Sin él, los equipos se desilusionaron muy rápidamente por su falta de influencia y se moverán a las organizaciones con una perspectiva más madura de seguridad.

Además, para atraer a los individuos que buscan asegurar su carrera a largo plazo.

8
Rory Alsop
  • ¿Tienes un equipo de seguridad de aplicaciones separadas? (A diferencia de Just Network SEC que ejecuta el programa)
  • Es el ciso/jefe de seguridad/lo que sea que lo llame, tanto lo suficientemente técnico como para comprender las amenazas y lo suficientemente inteligentes como para traducir al riesgo
  • ¿Hay un SDL holístico en su lugar, con ejecutivo, gerencial y desarrollador?
  • ¿Todos los empleados deben tener capacitación de seguridad relevante, relevante para su área de trabajo?
  • ¿Hay algún producto/sistema/aplicación/etc. para obtener la sesión de seguridad antes de la implementación, y puede evitar la seguridad?
  • Si/cuando la seguridad impide que un sistema vaya a vivir debido a las vulnerabilidades severas, ¿están agradecidos o maldidos por el negocio?
  • ¿Los directores de la junta son obligados por política de seguridad corporativa ? :)
  • ¿El departamento de seguridad es visto como un obstáculo técnico, o como ayuda ejecutiva para gestionar el riesgo de negocio?
7
AviD
  • ¿Realizas copias de seguridad regulares a más de una ubicación física?
  • ¿Realiza regularmente la restauración de la copia de seguridad?
  • ¿Tiene una estrategia de gestión de riesgos para problemas de seguridad?
  • ¿Educa regularmente a sus empleados sobre los problemas de seguridad que les corresponde?
  • ¿Tienes un presupuesto de seguridad?
  • ¿Hay controles, tanto técnicos como gerenciales, en su lugar para datos sensibles?
  • ¿Se mantiene actualizado en problemas de seguridad?
  • ¿Almacene las contraseñas en texto sin formato?
  • ¿Qué software utiliza para proteger sus computadoras, servidores y datos?
  • ¿Actualizas regularmente el software crítico a versiones más nuevas?
  • ¿Son obligatorios los cambios de contraseña para todos los empleados?
6
VirtuosiMedia

Algunos de agregar:

  • ¿Utiliza la administración de registros automatizados y las herramientas de análisis?
  • ¿Segmenta tu red?
  • ¿El personal de seguridad de TI mantenga algún sistema de producción? (¿Hay segregación de deberes)
  • ¿Los usuarios normales tienen derechos de administrador?
6
sdanelson

Además de los de Virtuosimedia:

  • ¿Para qué es el equipo de seguridad responsable y cuántas personas están en ella?
  • ¿Cuándo fueron actualizadas sus políticas de seguridad?
  • ¿A quién informa el equipo de seguridad?
  • ¿Cuál es la aplicación más antigua que se ejecuta en su entorno?
  • ¿Es la parte del equipo de seguridad del programa de cumplimiento? Si es así, ¿qué tipos de auditorías se realizan anualmente?
0
Wayne