Hola comunidad,
Quiero compartirles Conceptos básicos sobre La seguridad de la información - parte 4
Clasificación de vulnerabilidades
Hay varios esfuerzos de la industria que tienen como objetivo categorizar las amenazas para el dominio público. Estos son algunos catálogos conocidos y disponibles públicamente que pueden usarse como plantillas para el análisis de vulnerabilidades:
Common Vulnerabilities and Exposures (CVE) es un diccionario de vulnerabilidades y exposiciones de seguridad de la información de conocimiento público. Se puede encontrar en http://cve.mitre.org/. La base de datos proporciona identificadores comunes que permiten el intercambio de datos entre productos de seguridad, proporcionando un punto de índice de referencia para evaluar la cobertura de herramientas y servicios.
La Base de datos nacional de vulnerabilidades (NVD) es el depósito del gobierno de los EE. UU. De datos de gestión de vulnerabilidades basados en estándares. Estos datos permiten la automatización de la gestión de vulnerabilidades, la medición de la seguridad y el cumplimiento. NVD incluye bases de datos de listas de verificación de seguridad, fallas de software relacionadas con la seguridad, configuraciones incorrectas, nombres de productos y métricas de impacto. La base de datos se puede encontrar en http://nvd.nist.gov
Clasificación de contramedidas
Hay varias formas de clasificar estos controles de seguridad.
Una de estas formas se basa en la naturaleza del control en sí:
Administrativo: estos controles consisten principalmente en políticas y procedimientos. Por ejemplo, capacitación en concientización sobre seguridad, políticas y estándares de seguridad, controles de cambios y configuración, auditorías y pruebas de seguridad, verificación de antecedentes de contratistas y empleados, etc.
Técnico: estos son controles que involucran componentes electrónicos, hardware, software, etc. Hay muchos ejemplos: firewalls, sensores del sistema de prevención de intrusiones (IPS), redes privadas virtuales (VPN), biometría y otros.
Físicos: son controles que son en su mayoría mecánicos o que protegen la infraestructura física. Las fuentes de alimentación ininterrumpida, los sistemas de extinción de incendios, los sistemas de flujo de aire positivo, las cerraduras y los guardias de seguridad son ejemplos
Otras categorías de protección se basan en cómo gestionan los incidentes y la exposición:
Preventivo: estos controles tienen como objetivo evitar que la amenaza entre en contacto con la vulnerabilidad. Algunos ejemplos son los firewalls, los bloqueos físicos y las políticas de seguridad.
Detectivo: estos controles identifican que la amenaza ha entrado en la red o el sistema. Algunos ejemplos son el seguimiento y la correlación de registros, los sistemas de prevención de intrusiones (IPS) y las cámaras de vigilancia.
Correctivo: Estos controles tienen como objetivo mitigar o atenuar los efectos de la amenaza que se manifiesta. Algunos ejemplos son los procedimientos de limpieza de virus o las actualizaciones de firmas IPS después de un brote de gusanos.
Recuperación: estos controles tienen como objetivo volver a poner un sistema en producción después de un incidente. La mayoría de las actividades de recuperación de desastres se incluyen en esta categoría, aunque a menudo se considera un subconjunto de controles correctivos.
Disuasivo: estos controles tienen como objetivo desalentar las violaciones de seguridad. Estos controles pueden verse como un subconjunto de controles preventivos. Algunos ejemplos son la señalización (elementos visuales y políticas del tipo "Mantenerse fuera") o la mera presencia de controles, como cámaras de vigilancia.
espero les guste,
saludos,