Estrategias de control de riesgos - Risk control strategies

Las estrategias de control de riesgos son las medidas defensivas utilizadas por las comunidades de TI e InfoSec para limitar las vulnerabilidades y gestionar los riesgos a un nivel aceptable. Hay una serie de estrategias que pueden emplearse como una medida de defensa o en una combinación de múltiples estrategias juntas. Una evaluación de riesgos es una herramienta importante que debe incorporarse en el proceso de identificación y determinación de las amenazas y vulnerabilidades que podrían afectar los recursos y activos para ayudar a gestionar el riesgo. La gestión de riesgos también es un componente de una estrategia de control de riesgos porque Nelson et al. (2015) afirman que "la gestión de riesgos implica determinar cuánto riesgo es aceptable para cualquier proceso u operación, como la sustitución de equipos".

Ejemplos de amenazas
Ingeniería social
Robo
Vandalismo
Fuerzas de la naturaleza
Error humano
Errores de software
Errores de hardware

Estrategias

Cinco estrategias básicas para controlar los riesgos que surgen de las vulnerabilidades

Defensa: aplicación de salvaguardias que eliminan o reducen el riesgo incontrolado restante
Transferencia: traspaso de riesgos a otras áreas o entidades externas
Mitigación: reducir el impacto de los activos de información en caso de que un atacante aproveche con éxito una vulnerabilidad
Aceptación: comprender las consecuencias de elegir dejar un riesgo sin control y luego reconocer adecuadamente el riesgo que permanece sin un intento de control
Terminación: eliminar o descontinuar el activo de información del entorno operativo de la organización

Defensa

La estrategia de defensa trabaja para disuadir la explotación de la vulnerabilidad que requiere protección. Los métodos de defensa se pueden aplicar físicos, lógicos o una combinación de ambos para brindar protección como estrategia de defensa. La aplicación de múltiples capas de medidas defensivas se denomina defensa en profundidad . La defensa en profundidad aplica los controles de acceso que Stewart et al. (2012) describen como "se implementan múltiples capas o niveles de controles de acceso para brindar seguridad por capas"

Transferencia

Esta estrategia, según Stalling & Brown, es "compartir el responsable del riesgo con un tercero. Esto generalmente se logra contratando un seguro contra el riesgo que se produce, mediante la celebración de un contrato con otra organización o mediante el uso de una asociación o empresa conjunta estructuras para compartir el riesgo y el costo en caso de que se produzca la amenaza El acto de comprar un seguro es un ejemplo de transferencia de riesgo.

Mitigación

La estrategia de mitigación intenta reducir el daño de una vulnerabilidad mediante el empleo de medidas para limitar un ataque exitoso. Según Hill (2012), "esto se puede hacer arreglando una falla que crea una exposición al riesgo o implementando controles compensatorios que reduzcan la probabilidad de que la debilidad realmente cause daño o reduzcan el impacto si el riesgo asociado con el defecto realmente materializado.

Aceptación

Esta estrategia acepta el riesgo identificado y no implementa ninguna estrategia de defensa. Una razón para usar una estrategia de aceptación es que el costo asociado con la implementación de salvaguardas supera el daño de un ataque o compromiso exitoso.

Terminación

En lugar de utilizar una salvaguarda para proteger un activo o implementar cero salvaguardas y aceptar los riesgos para un activo, esta estrategia elimina el activo del entorno con riesgos. Un ejemplo de esta estrategia sería eliminar un servidor de una red porque la empresa ha determinado que la terminación del recurso supera el beneficio de dejarlo en la red debido a preocupaciones de riesgo.

Referencias

^ Nelson, B., Phillips, A. y Steuart, C. (2015). Guía de investigación y análisis forense informático (5ª ed.). Boston, MA: Cengage Learning.
^ Whitman, ME y Mattord, HJ (2014). Gestión de la seguridad de la información (4ª ed.). Stamford, CT: Aprendizaje Cengage.
^ Stewart, J., Chapple, M. y Gibson, D. (2012). CISSP: guía de estudio para profesionales certificados en seguridad de sistemas de información (6ª ed.). Indianápolis, IN: Wiley.
^ Stallings, W. y Brown, L. (2015). Principios y práctica de la seguridad informática (3ª ed.). Upper Saddle River, Nueva Jersey: Pearson Education, Inc.
^ Hill, DG (2009). Protección de Datos. Boca Raton, Florida: CRC Press.

enlaces externos

Planificación, implementación y seguimiento del progreso de la mitigación de riesgos

[1] Nelson, B., Phillips, A. y Steuart, C. (2015). Guía de investigación y análisis forense informático (5ª ed.). Boston, MA: Cengage Learning.

[2] Whitman, ME y Mattord, HJ (2014). Gestión de la seguridad de la información (4ª ed.). Stamford, CT: Aprendizaje Cengage.

[3] Stewart, J., Chapple, M. y Gibson, D. (2012). CISSP: guía de estudio para profesionales certificados en seguridad de sistemas de información (6ª ed.). Indianápolis, IN: Wiley.

[4] Stallings, W. y Brown, L. (2015). Principios y práctica de la seguridad informática (3ª ed.). Upper Saddle River, Nueva Jersey: Pearson Education, Inc.

[5] Hill, DG (2009). Protección de Datos. Boca Raton, Florida: CRC Press.

Languages

In other projects