Comprender los Tipos de Control y Falsos Positivos / Negativos

  • Posted on: 21 January 2019
  • By: mile-sec

La evaluación y análisis de riesgos implica el cálculo de riesgos potenciales, y hacer decisiones basadas en las variables asociadas con estos riesgos (probabilidad, ALE, impacto, etc.) Una vez se hayan identificado los riesgos requeridos a abarcar con acciones distintas a evitarlos, se ponen los controles para evitar estos riesgos.

NIST (National Institute of Standards and Technology), ponen los controles dentro de varios tipos. Los tipos de control caen en tres categorías: Gestión, Operacional, y Técnico, como se define en la Publicación Especial 800-12.

Tipos de Control y Controles

  • Gestión: Evaluación de Riesgo
  • Gestión: Planificación
  • Gestión: Adquisición del Sistema y Servicios
  • Gestión: Certificación, Acreditación, y Evaluación de Seguridad
  • Operacional: Seguridad Personal
  • Operacional: Protección Ambiental y Física
  • Operacional: Planificación de Contingencia
  • Operacional: Gestión de Configuración
  • Operacional: Mantenimiento
  • Operacional: Integridad de la Información y Sistema
  • Operacional: Protección de Medios
  • Operacional: Respuesta de Incidentes
  • Operacional: Concientización y Entrenamiento
  • Técnico: Identificación y Autenticación
  • Técnico: Control de Acceso
  • Técnico: Contabilidad y Auditoría
  • Técnico: Protección de la Comunicación y Sistema

Anotación: Otra serie de controles de seguridad sugerida a revisar es el NIST 800-53, los cuales son utilizados por el gobierno y la industria, considerado más como un estándar global.

Después de haber implementado los controles de seguridad basados en el riesgo, se deben realizar auditorías de rutina. Estas auditorías deben incluir revisiones de los derechos y permisos de los usuarios, como también eventos específicos. Se debe poner especial atención en los falsos positivos y negativos. Los falsos positivos son eventos los cuales no son realmente incidentes. El marcado de los eventos está frecuentemente basado en reglas establecidas de aceptación (desviaciones desde los cuales se conocen como anomalías), y cosas como firmas de ataques. Si estas reglas no están ajustadas adecuadamente, tráfico normal podría activar un analizador y generar un evento. Noa se desea declarar una emergencia a menos se está seguro sea una. Del lado opuesto a un falso positivo está un falso negativo. Con un falso negativo, no se alerta de una situación de la cual se debería ser alertado. En este caso, se pierde algo crucial.

Fuentes:

https://csrc.nist.gov/publications/detail/sp/800-12/rev-1/final
https://nvd.nist.gov/800-53

 

MILE-SEC - Hacking Ético & Forense Digital
informes@mile-sec.com
+51 972 213 381
Grupo WhatsApp