Organizaciones de la contratación de profesionales infosec

En estos días que podría ser más fácil de pedir, qué tipos de organizaciones no hacer contratar a los profesionales de seguridad de la información? Cada organización que utiliza ordenadores y redes deben emplear a personas con habilidades y conocimientos de seguridad. Con la frecuencia de los ataques de malware, incluso un departamento de TI de una sola persona debe estar bien informado acerca de las habilidades básicas de seguridad.

Los siguientes tipos de actividades de tecnología piden habilidades de seguridad:

  • Proporcionar conexiones seguras de Internet

  • Administración de credenciales de inicio de sesión y el acceso conocido como Gestión de Identidad de Acceso

  • Permitiendo el acceso remoto seguro para los usuarios válidos

  • Proporcionar proveedor, socio o el acceso del cliente a través de redes privadas virtuales

  • El mantenimiento de los servidores de correo electrónico seguro

  • Gestión y protección de la información en servidores de archivos

  • La gestión de los ordenadores portátiles para una fuerza de trabajo móvil

  • La creación de software seguro de la casa por escrito

  • Mantener el acceso de aplicaciones empresariales con cuentas de usuario

Cuando una organización tiene una o más de las anteriores en su entorno de tecnología, departamento de TI de la organización mejor que tenga uno o más de su gente con un poco de conocimientos de seguridad. De lo contrario, una gran cantidad va a ir mal. Echar otro vistazo a la lista anterior, sólo que esta vez echa un vistazo a las consecuencias de la falta de seguridad:

  • Conexión a Internet: Los ataques de malware en Internet de riego de ataques agujero.

  • Credenciales de acceso: Los atacantes que se detienen ante nada para adivinar las credenciales de inicio de sesión, incluyendo el uso de herramientas automatizadas que pueden realizar ataques de fuerza bruta, en el que se adivinan miles de contraseñas diferentes por hora hasta que se encuentre la correcta. Entonces es “game over”!

  • Acceso remoto: ataques de fuerza bruta contra las cuentas de usuario, llevando eventualmente a exitosas allanamientos.

  • Proveedor, socio, o el acceso de los usuarios: Los ataques de organizaciones de proveedores, socios o clientes. El mal uso y el abuso por parte del personal con mal juicio en esas organizaciones.

  • servidor de correo electrónico: ataques de spam, malware y phishing entrantes.

  • Servidor de archivos: cuestiones de gestión de acceso, la pérdida de datos a través del acceso laxa permissions- software malicioso alojado en el servidor de archivos.

  • Los ordenadores portátiles: ordenadores portátiles robados con la pérdida de los datos almacenados en ellos- los intentos de entrar en las organizaciones en base a información de acceso almacenada en los ordenadores portátiles robados.

  • En-casa de software escrito: vulnerabilidades explotables que conducen a la pérdida de datos.

  • Aplicaciones empresariales: cuestiones de gestión de acceso, las personas con privilegios de acceso excesivas, terminados los empleados con cuentas de usuario aún activos.

Video: Organizaciones responsables de la salud y contratos grupales

Ahora, mira la lista por última vez, para ver lo que la tecnología y los profesionales de la seguridad tiene que hacer para proteger sistemas y datos:

  • Conexión a Internet: Los ingenieros de red necesitan entender cómo hacer Los dispositivos periféricos (los routers, cortafuegos, y otros dispositivos en el límite exterior de una organización) resistentes a los ataques. Ellos también tienen que ser capaces de instalar y gestionar servidores de seguridad y otros dispositivos de protección con sus conjuntos de reglas complejas para que los buenos en y mantener a los malos, y para evitar que el software malicioso penetre en la organización.

  • Credenciales de acceso: Identificadores de usuario, contraseñas y tokens de seguridad se expiden solamente a personal autorizado. En las grandes organizaciones, las herramientas automatizadas se utilizan para reducir los errores y ver si hay problemas. Muchos sistemas se pueden configurar para evitar ataques de fuerza bruta.

  • Acceso remoto: Algunos miembros del personal deben tener acceso a la red interna de una organización desde cualquier ubicación. Un sistema de acceso remoto debe ser construido correctamente, de modo que sólo el personal autorizado puede entrar.

  • Proveedor, socio, o el acceso de los usuarios: La mayoría de las organizaciones dependen de otras organizaciones para materiales de construcción, personal o servicios. En muchos de estos casos, las personas en las organizaciones externas necesitan tener acceso a los recursos internos. Todos los aspectos de este proceso debe ser hecho a la derecha para evitar que los delincuentes se aprovechen de acceso desde el exterior y el robo de datos.

  • servidor de correo electrónico: Dado que los servidores de correo electrónico están conectados a Internet, ingenieros de sistemas necesitan saber cómo configurar correctamente y “endurecer” los servidores de correo electrónico para evitar que intrusos comprometer comunicaciones por correo electrónico de la organización.

  • Servidor de archivos: servidores de archivos internos y externos deben estar configurados correctamente y manejados para proteger toda la información sensible almacenada en ellos y evitar que los intrusos de la posibilidad de acceder a los datos sensibles.

  • Los ordenadores portátiles: El personal que construir y gestionar los ordenadores portátiles (así como tabletas y otros dispositivos interesantes que todo el mundo quiere) deben incluir las últimas medidas, como el cifrado de todo el disco y herramientas avanzadas de prevención de malware, para evitar que el compromiso de los datos robados en los ordenadores portátiles, así como para proteger los sistemas de computadoras portátiles que están autorizados a conectarse.

  • En-casa de software escrito: Los desarrolladores de software necesitan comprender cómo escribir software que va a ser resistentes a ataques como el desbordamiento de búfer, inyección de scripts, y la omisión de autenticación.

  • de aplicaciones empresariales con cuentas de usuario: El personal que gestiona las cuentas de usuario para las aplicaciones empresariales deben mantener registros precisos y utilizar procedimientos detallados para asegurarse de que no hay personal no autorizado se dan cuenta de usuario. Además, las aplicaciones deben estar configurados para realizar un seguimiento de todos los inicios de sesión de usuario, y crear alertas si las cuentas de usuario están bajo ataque.

Video: Simposio de Nube y Seguridad Informática 2017

Como se puede ver en esta lista, que no es sino una muestra de todos los aspectos que requieren conocimientos de seguridad en una organización, se requiere un amplio conjunto de habilidades para todos los trabajadores de TI, incluido el personal de seguridad especializadas.

Artículos Relacionados
De nivel de entrada puestos de seguridad de la información
Conseguir un trabajo en red: control de acceso
Conseguir un trabajo en red: ti operaciones
Habilidades y actividades en puestos de trabajo de redes
Las amenazas a los programas de software que usted debe saber para un trabajo en seguridad de la información
Lo que debe saber sobre el control de acceso para un trabajo en seguridad de la información
Lo que debe saber acerca de las redes para un trabajo en seguridad de la información
Las cuestiones de seguridad que usted debe saber acerca de conseguir un trabajo en red
Vulnerabilidades de seguridad del sistema de gestión de base de datos
Las vulnerabilidades de seguridad en los sistemas basados ​​en la web
Garantizar la seguridad en la gestión de equipos de escritorio en la nube
Automatizar los controles de seguridad de correo electrónico para evitar cortes a través del correo electrónico
Aplicaciones de dispositivos móviles básicos y seguridad
Contramedidas para evitar cortes en los servidores de correo electrónico
Seguridad de dispositivos móviles de la empresa: en el dispositivo cortafuegos
Seguridad de dispositivos móviles de la empresa: recomendaciones acceso al correo electrónico
Conseguir un vistazo de cerca a los cortafuegos
Harden sistemas contra vulnerabilidades de seguridad
Conocer las vulnerabilidades del sistema de mensajes para evitar los cortes
Desafíos de seguridad de dispositivos móviles de computación en la nube