DDOS: ¿riesgo operacional o de seguridad?

Navega tus respuestas
27

El director de seguridad de una empresa de TI de tamaño mediano (400-500 empleados) publicó recientemente un boletín en el que afirmó que los ataques de DDOS no son un riesgo de seguridad, sino uno operativo. También me dijeron que en una reunión anterior él negó que DDOS o ataques relacionados sean su responsabilidad.

A mi entender, la seguridad comprende tres temas principales:

Confidencialidad, integridad, disponibilidad

En mi opinión, los ataques DDOS son claramente un riesgo para la seguridad, ya que se dirigen directamente a la disponibilidad de un servicio y, por lo tanto, están claramente dentro de las responsabilidades de un director de seguridad. Entonces, ¿quién tiene razón?

  • ¿Son los ataques DDOS un riesgo de seguridad u operacional?
pregunta fgysin 15.06.2015 - 08:18
fuente

5 respuestas

39

Creo que eso es una falsa dicotomía, y tu CSO está siendo simplemente tonta.

Aunque me gustan las tonterías, el departamento de seguridad debería impulsar la mitigación de riesgos. Las disputas sobre áreas de "responsabilidad" obviamente no son productivas, aunque podría encajar en la cultura corporativa general.

Si bien hay varias formas de calificar el ámbito de la seguridad y su responsabilidad, la tríada de la CIA es una, pero hay otras: una CSO madura y responsable, por lo menos, estaría presionando para encontrar una solución.

He oído a algunos decir que la distinción entre "riesgo de seguridad" y "riesgo operacional" es si existe un posible agente de amenaza, o simplemente accidental o mal uso.
Si bien esto tiene mucho sentido, creo que un enfoque más pragmático sería simplemente aceptar que hay una superposición sustancial entre los dos, y eso solo significa que hay más recursos para trabajar en el problema, no que todos puedan renunciar a la responsabilidad .

Dicho esto, en este caso específico, el proceso que recomendaría es hacer que el CSO (o personal técnico de su departamento) conduzca el procedimiento de mitigación, defina un marco para los niveles de riesgo, etc., y luego lo entregue a las operaciones para implementar una solución adecuada. Quizás la gente de seguridad pueda recomendar una solución, o tal vez deberían simplemente definir las métricas que la solución debe cumplir, dependiendo de qué tan técnico / práctico sea el equipo.

De esta manera, la empresa puede manejar el hecho de que, si bien el riesgo es un riesgo de seguridad, la solución es operativa.

    
respondido por el AviD 15.06.2015 - 09:04
fuente
17

Aunque generalmente no estoy de acuerdo con la CSO, puedo ver una razón por la que dibujó esta línea.

La pregunta puede reducirse a la descripción de quién necesita liderar los esfuerzos de mitigación y remediación. DDoS, por supuesto, afecta la disponibilidad, pero normalmente es manejado por el equipo de Operaciones. Si ocurre un evento DDoS, su CSO podría sentir que no hay nada que pueda hacer y quiere que otra parte se haga cargo. En otras palabras, no llame a la CSO a las 2am cuando se produzca la DDoS, sino a las 2am cuando haya una infracción.

Considere el alcance de la tríada de la CIA. ¿Deberían todos los CSO encargarse en última instancia de los sistemas de seguridad y contra incendios en la sala de servidores? Los incendios también son un riesgo de disponibilidad. Pero, en algunas organizaciones, esa responsabilidad debe recaer en el administrador de las instalaciones y no en el CSO (aunque el CSO también debe tener una mano en esta área). En la situación similar a la anterior, si la alarma de incendio se dispara a las 2 am, llame al El gerente de instalaciones, no el CSO. Su CSO podría estar dibujando este tipo de línea para equiparar incendios y DDoS como el mismo tipo de riesgo para la organización.

Dicho esto, también es posible que un evento DDoS pueda ser una distracción o un apalancamiento para un ataque de seguridad más amplio, por lo que creo que la CSO aún debe participar en algún nivel.

Estrictamente hablando, tiene razón en su evaluación, y generalmente estoy de acuerdo con usted, pero podría deberse a una comprensión diferente de las definiciones de roles y los recursos disponibles.

    
respondido por el schroeder 15.06.2015 - 19:41
fuente
2

Los ataques DDoS caen en las categorías operativas y de seguridad debido a la tríada mencionada anteriormente. Sin embargo, el personal de seguridad tiende a conocer mejor los ataques, por lo que, como AviD, debe haber comunicación entre los equipos de seguridad y de TI para resolver el problema en lugar de perder horas cubriendo la investigación que podría resolverse con una llamada telefónica de 10 minutos.

    
respondido por el Karmic 15.06.2015 - 19:28
fuente
2

Desde el punto de vista técnico, 1 y 0, él tiene razón, pero el "alcance aceptado" de las amenazas de seguridad incluye la disponibilidad. Sin embargo, todas las compañías son libres de asignar responsabilidades según lo consideren adecuado, por lo que su CSO puede estar simplemente declarando un punto que no es su responsabilidad mitigar ese riesgo en particular.

    
respondido por el Pigasus 15.06.2015 - 22:30
fuente
2

Consideraría que es tanto operativo (o biz) como un riesgo de seguridad.

Biz:

Las empresas se basan en la reputación y si la reputación va para un lanzamiento como resultado de un ataque DDOS; Si los ejecutivos de nivel C fallan en el área de control de daños. La situación es especialmente grave cuando está ejecutando un servicio B2B.

Seguridad :

Los crackers pueden usar los ataques DDOS como parte de la estrategia de desvío de atención para atacar o encontrar otras áreas vulnerables.

    
respondido por el Mithun John Jacob 16.06.2015 - 06:59
fuente

Lea otras preguntas en las etiquetas

¿El cifrado en HTTPS lo realiza el navegador o el sistema? ¿Por qué a veces deberíamos usar - + en lugar de - en la inyección de SQL para comentar el resto de la consulta?