Las evaluaciones de seguridad de red son una parte importante de la protección de su organización contra las amenazas cibernéticas. Sin embargo, para que sean efectivas, es importante definir claramente los objetivos y el alcance de la evaluación.
Los objetivos de la evaluación deben ser específicos, medibles, alcanzables, relevantes y temporales (SMART). Por ejemplo, un objetivo SMART para una evaluación de seguridad de red podría ser: «Identificar y remediar todas las vulnerabilidades de alto riesgo en la red de la organización en un plazo de seis meses».
El alcance de la evaluación debe definir qué sistemas, redes y datos se evaluarán. Por ejemplo, el alcance de la evaluación anterior podría ser: «La evaluación se limitará a la red interna de la organización, excluyendo los sistemas y redes de la nube».
Una vez que se han definido los objetivos y el alcance de la evaluación, se puede crear un plan de evaluación detallado. El plan de evaluación debe detallar los pasos que se tomarán para cumplir con los objetivos de la evaluación.
Es importante tener en cuenta que los objetivos y el alcance de la evaluación pueden cambiar a medida que se avanza en el proceso de evaluación. Por lo tanto, es importante ser flexible y estar dispuesto a ajustar los objetivos y el alcance de la evaluación según sea necesario.
Al definir claramente los objetivos y el alcance de una evaluación de seguridad de red, se puede garantizar que la evaluación sea efectiva y que se cumplan los objetivos de la organización.
Aquí hay algunos consejos para definir los objetivos y el alcance de una evaluación de seguridad de red:
- Involucre a las partes interesadas clave en el proceso de definición de los objetivos y el alcance de la evaluación.
- Sea claro y conciso al definir los objetivos de la evaluación.
- Sea realista al definir el alcance de la evaluación.
- Sea flexible y esté dispuesto a ajustar los objetivos y el alcance de la evaluación según sea necesario.
Al seguir estos consejos, se puede garantizar que los objetivos y el alcance de una evaluación de seguridad de red sean claros, medibles, alcanzables, relevantes y temporales (SMART).
Rules of Engagement (RoE) son un resumen legal de los objetivos del cliente y el alcance con más detalles de las expectativas de compromiso entre ambas partes. Este es el primer documento «oficial» en el proceso de planificación del compromiso y requiere la autorización adecuada entre el cliente y el equipo rojo. Este documento a menudo actúa como el contrato general entre las dos partes; un contrato externo u otros NDA (acuerdos de no divulgación) también se pueden usar.
El formato y el texto del RoE son críticos ya que es un contrato legal vinculante y establece expectativas claras.
La estructura de cada RoE será determinada por el cliente y el equipo rojo y puede variar en la longitud del contenido y las secciones generales. A continuación se muestra una breve tabla de las secciones estándar que puede ver contenidas en el RoE.
| Sección | Detalles de la sección |
|---|---|
| Resumen ejecutivo | Resumen general de todo el contenido y autorización dentro del documento RoE |
| Propósito | Define por qué se usa el documento RoE |
| Referencias | Cualquier referencia utilizada a lo largo del documento RoE (HIPAA, ISO, etc.) |
| Alcance | Declaración de acuerdo a las restricciones y pautas |
| Definiciones | Definiciones de términos técnicos utilizados a lo largo del documento RoE |
| Reglas de compromiso y acuerdo de soporte | Define las obligaciones de ambas partes y las expectativas técnicas generales de la conducta del compromiso |
| Disposiciones | Define excepciones e información adicional de las Reglas de compromiso |
| Requisitos, restricciones y autoridad | Define expectativas específicas de la celda del equipo rojo |
| Reglas de juego | Define las limitaciones de las interacciones de la celda del equipo rojo |
| Resolución de problemas / puntos de contacto | Contiene todo el personal esencial involucrado en un compromiso |
| Autorización | Declaración de autorización para el compromiso |
| Aprobación | Las firmas de ambas partes aprueban todas las subsecciones del documento anterior |
| Apéndice | Cualquier otra información de las subsecciones anteriores |
SparkBit 