Dominio 3 Risk Identification, Monitoring
Risk Management Framework
Un RISK FRAMEWORKS es una guia sobre como se debe EVALUAR, RESOLVER y EVALUAR UN RIESGO. RISK MANAGEMENT requiere el conocimiento de las mejores prácticas, ESTÁNDARES de la industria y un método estructurado de análisis de riesgos mediante el cual los activos y las amenazas se pueden clasificar para determinar los esfuerzos necesarios para reducir el riesgo para una organización. A través de los años una serie estructurada de estándares y metodologías han evolucionado en forma de FRAMEWORKS. Los FRAMEWORKS se han originado a traves de de la interacción con grupos industriales. consultores y una variedad de comites de trabajo administrados por organizaciones de estándares. Tres FRAMEWORKS se han utilizado a lo largo de la seguridad de TI y se analizan en las siguientes secciones:
Sharing Threat Intelligence
El tiempo es esencial en el mundo de la ciberseguridad. En el otro extremo del Expectro, los recursos de la organizacion, como el PERSONAL, EL DINERO, LA INFRAESTRUCTURA DE HARDWARE y las habilidades necesarias son escasas. THREAT INTELLIGENCE es un metodo mediante el cual la organizacion cuenta con informacion actualizada sobre ataques de DIA CERO, THREATH PROFILES , MALWARE SIGNATURES y otras piezas vitales de informacion necesarias para proteger los recursos de la organizacion. El intercambio de informacion de amenazas cibernetica y la THREAT INTELLIGENCE se ha tensado en el mejor de los casos. Sin embargo, tiene sentido que si una empresa es atacada, otras compañias quieran saber como fue atacada para proteger sus propios activos. El problema ha sido que con las leyes actuales. El intercambio de informacion entre empresas de la misma indutria puede parecer una violacion de las normas de la COMISION NACIONAL E INTERCAMBIO (SECURITY AND EXCHANGE COMISSION) Muchos estan preocupados de que compartir informacion especifica sobre amenasas con el gobierno pueda violar las leyes y regulaciones de privacidad. Varias leyes Propuestas en el congreso de los USA. Han fallado en varios aspectos. Desafortunadamente , aunque la logica dicta la sabiduria de compartir informacion, el temor del sector empresarial de compartir informacion con el gobierno se basa en la desconfianza debido a la posible apertura de una puerta que permitiria al gibierno usar los datos que se adhieran en un programa de vigilancia. Si bien en general , las organizaciones del sector privado estan de acuerdo en que la informacion de ataques debe de compartirse facilmente, el desacuerdo es con los datos de propiedad, como las listas de clientes y la informacion de tipo PII. Una forma de evitar los obstáculos legales y la legislación actual o la falta de los mismos es mediante el uso de una base de datos de ataques compartida. Los dispositivos que se encuentran actualmente en el mercado que identifican ataques de dia zero u otras anomalías y cargan de inmediato los datos en una base de datos propietaria. Otros dispositivos de la misma empresa pueden acceder a la base de datos e inmediatamente proteger sus redes de usuarios del ataque identificado. Con esta técnica, solo los datos de intrusión se comparten mientras que la información de los usuarios finales permanecen en el anonimato. Esto puede convertirse en un método extremadamente viable para que las organizaciones participantes compartan informacion de ataques tan pronto como este disponible.
Due Diligence
El término «due diligence» se emplea para conceptos que impliquen la investigación de una empresa o persona previa a la firma de un contrato o una ley con cierta diligencia de cuidado. Puede tratarse de una obligación legal, pero el término comúnmente es más aplicable a investigaciones voluntarias. Un ejemplo habitual de "due diligence" en varias industrias es el proceso por el cual un comprador potencial evalúa una empresa objetivo o sus activos de cara a una adquisición. La teoría de la due diligence sostiene que llevar a cabo este tipo de investigación contribuye significativamente a una toma de decisiones informada al optimizar la calidad y cantidad de información disponible de quienes toman estas DUE DILIGENCE este término se refiere a los pasos de investigación que una organización toma antes de tomar posesión de algun activo nuevo, como firmar un contrato o realizar una compra importante , en el mundo de TI una organización tiene la obligación de ejercer la debida diligencia para descubrir los riesgos asociados con una compra grande por ejemplo si una organizacion planea comprar una empresa de desarrollo de software ,esa organizacion esta obligada a ejercer la debida diligencia para determinar tanto como se pueda sobre la empresa y si la compra es una decision correcta , suponga que la compañia afirma que genera ganancias de 100 millones de dolares al año , pero en realidad solo genera 10.000 dolares decisiones y al asegurar que esta información sea usada sistemáticamente para deliberar de una manera reflexiva la decisión en cuestión y todos sus costos, riesgos y beneficios.
Common Vulnerability Scoring System
Es un estandar industrial gratuito para evaluar la GRAVEDAD DE LAS VULNERABILIDADES de seguridad en un sistema informatico. CVSS intenta asignar puntajes de severidad a las vulnerabilidades, permitiendo que los respondedores prioriticen las respuestas y los recursos segun la amenaza. Los puntajes se calculan en funcion de una formula que depende de varias metricas que se aproximan a la facilidad de explotacion y al impacto de la explotacion. Los puntajes varian de 0 a 10 siendo 10 el mas severo. Si bien muchos utilizan solo el puntaje de la base CVSS para determinar la gravedad, tambien existen puntajes temporales y ambientales, para tener en cuenta la disponibilidad de mitigaciones y que tan extendidos estan los sistemas vulnerables dentro de una organizacion respectivamente.
RISK REGISTER
RISK REGISTER Un registro de riesgos (o log risk) es un depósito central para los riesgos dentro de una organización conocidos y es un método clave para compartir opiniones acerca de las amenazas. El registro de riesgos incluye detalles sobre los riesgos conocidos y puede ser alimentado a traves de múltiples fuentes. Este registro muestra amenazas junto con valores estimados para la probabilidad de que ocurra cada una de las amenazas y cual seria el impacto si estas amenazas ocurren. El puntaje de riesgo es el producto de las columnas de probabilidad e impacto y ayuda a los profesionales de la seguridad a priorizar el riesgo. Un RISK REGISTER es un documento primario utilizado para mantener un REGISTRO DE TODOS LOS RIESGOS. un RISK REGISTER incluye una descripcion detallada de cada riesgo que figura en la lista.
Due Care
es la practica de implementar politicas y practicas de seguridad para porteger los activos de una organizacion , asegura que se aplique cierto nivel de proteccion para proteger los activos contra perdidas derivadas de riesgos conocidos , el objetivo es reducir el riesgo hacia la seguridad de los recurso a un nivel manejable. Debido a que los riesgos no pueden eliminarse es probable que una organizacion experimente perdidas. si estas pérdidas son derivadas a las negligencias , entonces la organización puede enfrentar acciones legales en su contra , sin embargo si la organización tomó las debidas precauciones para proteger sus recursos pero aun asi sufrio la perdida es menos probable que un tribunal encuentre a la organización negligente. por ejemplo imagine que una empresa tiene datos de clientes como lo son PII en texto plano en una base de datos alojada en un servidor web , entonces un hacker analiza el sitio web y descubre la base de datos y se da cuenta de que puede acceder a los datos fácilmente , entonces el roba la información y los vende a ladrones de identidad que proceden a robar millones de dólares. la compañía tuvo el debido cuidado (DUE CARE) con este tipo de información ? la mayoría pensaríamos que no dado que un servidor que está publicado en internet es más propenso a ser atacado dada la naturaleza pública de internet , sin importar si los datos han sido cifrados. si la organización hubiera tenido las medidas necesarias para evitar este riesgo , implementa controles de seguridad para proteger los datos , por ejemplo los administradores podrían almacenar información del cliente en un servidor diferente dentro de la red privada que no esté del todo accesible desde internet pero sea accesible desde el servidor web , además podría cifrar los datos confidenciales en el servidor para protegerse de la divulgación no autorizada de la información , no es necesario cifrar la base de datos completa , sino simplemente cifrar las columnas que contienen datos confidenciales como los datos de las TARJETAS DE CRÉDITO