CH1-P2

Enviado por hannah_em el Mié, 15/03/2017 - 16:05
CH1-P2

Clasificando recursos

 Una razón para clasificar recursos es que puede tomar una acción en específico, basado en una política, con respecto a un recurso de una clase dada. Considere, por ejemplo, virtual private networks (VPN). Clasificamos (identificamos) el tráfico que debe ser enviado a través de un túnel VPN. Clasificando los datos y etiquetándolos (así como etiquetando los datos “ultra secretos” en un disco duro), entonces podemos enfocarnos en la cantidad apropiada de protección o seguridad de aquellos datos: más seguridad para datos ultra secretos que para datos sin clasificar, por ejemplo. El beneficio es que cuando nuevos datos se agregan en el sistema, se pueden clasificar como confidencial o secreto y así sucesivamente, y recibirán el mismo nivel de protección que se configuró para aquel tipo de datos. La Tabla 1-3 enlista algunas categorías comunes de clasificación de recursos.

Tabla 1-3 Clasificación de recursos.

Clasificaciones gubernamentales

Sin clasificar

Sensible pero no clasificado (SBU)

Confidencial

Secreto

Ultra secreto

Clasificaciones del sector privado

Publico

Sensible

Privado

Confidencial

Criterios de clasificación

Valor

Edad/ tiempo

Costo de reemplazo

Vida útil

Funciones de clasificación

Propietario (El grupo responsable en última instancia de los datos, usualmente la alta gerencia de una compañía)

Guardián (El grupo responsable de la implementación de las políticas dictadas por el propietario)

Usuario (Aquellos que acceden a la información y acatan las reglas del uso aceptable de la información)

 

La tabla 1-4 describe los cuatro niveles de clasificación usados dentro de Traffic Light Protocol

(TLP). El TLP es un conjunto de designaciones desarrolladas por la división US-CERT para asegurar que la información sensible es compartida con la audiencia correcta. Utiliza cuatro colores para indicar diferentes grados de sensibilidad y sus correspondientes consideraciones de compartición que deben aplicarse a los receptores. La división CERT, parte del Instituto de Ingeniería de Software y basado en la Universidad Carnegie Mellon (Pittsburgh, Pennsylvania), es una autoridad mundialmente respetada en el campo de la seguridad de redes y cyber seguridad.

 

Tabla 1-4 Niveles de clasificación TLP

 

 

**Fuente:  https://www.certsi.es/tlp

 

Clasificando vulnerabilidades

Entender las debilidades y vulnerabilidades en un sistema o red es un gran paso para corregir las vulnerabilidades o poner defensas apropiadas para mitigar amenazas contra esas vulnerabilidades. Potenciales vulnerabilidades de red abundan con muchos resultantes de uno o más de los siguientes:

 

  • Defectos de la política
  • Errores de diseño
  • Protocolos débiles
  • Configuración errónea
  • Vulnerabilidades de software
  • Factor humano
  • Software malicioso
  • Vulnerabilidades de hardware
  • Acceso físico a los recursos de la red

 

Cisco y otros han creado base de datos que categorizan amenazas en el dominio público. The Common Vulnerabilities and Exposures (CVE) (las comunes vulnerabilidades y exposiciones), es un diccionario de vulnerabilidades y exposiciones de seguridad conocidas públicamente. Una búsqueda rápida usando su motor de búsqueda favorito lo llevará al sitio web. También hay una base de datos Nacional de Vulnerabilidades (National Vulnerability Database (NVD), Que es un repositorio de información de vulnerabilidad basada en estándares; Usted puede hacer una búsqueda rápida para él, también.

(Las URL cambian con el tiempo, por lo que es mejor aconsejarle que haga una búsqueda rápida y haga clic en los enlaces que le interesen).

 

Clasificando contrataque/defensas

 

Después de que una compañía haya identificado sus recursos y considerado los riesgos que implica para ese recurso una amenaza contra una vulnerabilidad, la empresa puede entonces decidir implementar contrataques/defensas para reducir el riesgo de un ataque exitoso. Métodos comunes de control utilizados para implementar contrataques Incluyen lo siguiente

 

  • Administrativo: Consisten en políticas escritas, procedimientos, pautas y estándares. Un ejemplo sería una política de uso aceptable escrita (AUP), acordada por cada usuario en la red. Otro ejemplo es un proceso de control de cambios que debe seguirse al realizar cambios en la red. Los controles administrativos podrían incluir también elementos como las comprobaciones de antecedentes para los usuarios.

 

  • Físico: Los controles físicos son exactamente lo que suenan, seguridad física para los servidores de red, equipos e infraestructura. Un ejemplo es proporcionar una puerta cerrada entre los usuarios y el armario de cableado en cualquier piso (donde existen los interruptores y otro equipo). Otro ejemplo de control físico es un sistema redundante (por ejemplo, una fuente de alimentación ininterrumpida).

 

  • Lógico: Los controles lógicos incluyen contraseñas, firewalls, sistemas de prevención de intrusiones, listas de acceso, túneles VPN, etc. Los controles lógicos se refieren a menudo como controles técnicos. No todos los controles son iguales, y no todos los controles tienen el mismo propósito. Trabajando juntos, sin embargo, los controles deben permitirle prevenir, detectar, corregir y recuperar, todo mientras actúa como un disuasivo a una amenaza.

 

 

¿Qué hacemos con el riesgo?

 

Usted puede lidiar con el riesgo de varias maneras, una de las cuales es eliminar, o al menos minimizarlo. Por ejemplo, al no colocar un servidor web en Internet, elimina cualquier riesgo de que ese servidor web inexistente sea atacado. (Esto no funciona muy bien para las empresas que quieren el servidor web.)

 

Una opción para evitar el servidor web en conjunto es transferir el riesgo a otra persona. Por ejemplo, en lugar de alojar su propio servidor en su propia red, podría subcontratar esa funcionalidad a un proveedor de servicios. El proveedor de servicios podría asumir toda la responsabilidad (el riesgo) por los ataques que puedan ser lanzados contra su servidor y proporcionar un acuerdo de nivel de servicio y garantia al cliente. Tenga en cuenta, sin embargo, que la posibilidad de riesgo debe ser asumida sí la entidad de outsourcing (por ejemplo, el proveedor de servicios) no elimina adecuadamente los riesgos de manera efectiva.

 

Por lo tanto, el proveedor de servicios ahora tiene el riesgo. ¿Cómo lo maneja? Hace exactamente lo que está aprendiendo en este libro: Reduce el riesgo implementando contrataques/defensas apropiadas. Mediante la aplicación de los parches correctos y el uso de los cortafuegos y proveedores de servicios de Internet (ISP) y otras salvaguardas, reducen su propio riesgo. Si el riesgo es puramente financiero, se pueden comprar seguros que ayuden a manejar el riesgo. Los ataques contra las redes hoy en día están motivados principalmente por el deseo de ganancias financieras. Como se mencionó en el párrafo anterior, el riesgo asumido por el proveedor de servicios no se elimina completamente, lo que resulta en un riesgo residual que su organización debe entender y aceptar. Otra opción es que una empresa ponga su propio servidor web y simplemente asuma el riesgo.

 

Desafortunadamente, si no toma precauciones de seguridad o contrataques/defensas contra amenazas potenciales, el riesgo podría ser lo suficientemente alto como para dañar la empresa y ponerlo fuera del negocio. La mayoría de la gente estaría de acuerdo en que esto no es un riesgo aceptable.