martes, 16 de noviembre de 2004

Documento estratégico de Seguridad de la Información de Microsoft.

En un alarde de transparencia, Microsoft publica en dos documentos cual es su actual política de gestión de la seguridad de la información. Básicamente su enfoque se basa en la gestión del riesgo y la protección de los activos digitales que son parte de su modelo de negocio.
Aunque no llega a sintonizar con la filosofía europea que basa la gestión del riesgo en los sistemas de gestión de la seguridad (ISMS en ingles o SGSI en castellano), en esencia los conceptos manejados son siempre los mismos:
-activos
-amenazas
-vulnerabilidad o probabilidad
-impacto
-riesgo

También es interesante ver el enfoque organizativo que proporciona el documento al problema de la seguridad y los diferentes aspectos que desean gestionar y controlar. El resumen del documento, sacado de la propia web de Microsoft comenta lo siguiente:
"Overview
Overview discussion on what the Microsoft Corporate Security group does to prevent malicious or unauthorized use of digital assets at Microsoft. This asset protection takes place through a formal risk management framework, risk management processes, and clear organizational roles and responsibilities. The basis of the approach is recognition that risk is an inherent part of any environment and that risk should be proactively managed. The principles and techniques described can be employed to manage risk at any organization. Other areas of corporate security, such as security in software design and physical security, are not covered."


Download details: IT Security at Microsoft Overview
 
;