Forma de categorizar y organizar tipos de problemas y áreas de seguridad

4

Recientemente he realizado una revisión de seguridad y he descubierto más o menos 200 áreas para mejorar al cubrir una gama muy diversa de temas; Algunos puntos son procesos, otros son configuración, algunos son sistemas nuevos que se implementarán. Todo, desde SAST, desde la arquitectura hasta qué cifrado usar.

En este momento es un gran lío de problemas. Necesito una forma de organizarlos en categorías coherentes para tener sentido, agrupar diferentes temas que se encuentran en un tema similar y priorizar quizás. También sería útil ver si hay áreas que no he considerado.

He estado buscando modelos estandarizados o listas informales de categorías para cubrir, pero lo que he encontrado ha sido muy limitado y específico.

He considerado algo como:

  • Prevención (Configuración, SAST, DAST, WAF, DLP, etc.)
  • Detección (SIEM, Escaneo de Vulnerabilidad, Pruebas con Pluma)
  • Respuesta (eliminación de malware, etc.)

El problema aquí es:

  1. Siento que estoy tratando de reinventar una rueda
  2. Esto es demasiado simplista, especialmente para la prevención, que se puede dividir en tantas categorías.

Me sorprendería si no hay un sistema preexistente que pueda usar. Solo una cuestión de qué buscar en google.

    
pregunta AirCombat 09.08.2017 - 01:01
fuente

2 respuestas

1

NIST tiene dos documentos que cubren las categorizaciones y subcategorías de Seguridad de la Información.

El marco de seguridad cibernética (NIST CSF - ver enlace ) es el más simple de los dos, pero sin duda proporciona lo que estás buscando. Para a un alto nivel. Las categorías principales son Identificar, Proteger, Detectar, Responder, Recuperar y cada una de ellas tiene alguna subcategorización. El CSF cubre un poco más de 100 elementos, lo que lo hace muy accesible.

El otro documento es Controles de seguridad y privacidad para sistemas y organizaciones de información federales (consulte enlace ). Los controles de seguridad se enumeran en el Apéndice F.

Si tiene resultados que no concuerdan con las categorizaciones anteriores, puede crear su propia sección miscelánea. Sin embargo, al adherirse al NIST, al menos presenta los resultados utilizando un marco de trabajo reconocido en la industria que se puede usar para varios clientes y se asegura de que está hablando un idioma estandarizado.

    
respondido por el AndyMac 19.02.2018 - 14:47
fuente
0

Las formas de categorizar y organizar los tipos de problemas de seguridad pueden diferir de una persona a otra, ya que todos lo hacen por una razón específica. Por lo tanto, determine para qué está haciendo la categorización y, en consecuencia, puede organizar los problemas de seguridad. Puede ser categorizado de las siguientes maneras:

  • Tipo de gravedad del problema de seguridad.
  • Repetición de un problema de seguridad.
  • No del sistema afectado por un problema de seguridad.

En general, antes mencionadas son las formas de categorizar y organizar los problemas de seguridad.

    
respondido por el iamjayp 23.08.2017 - 10:36
fuente

Lea otras preguntas en las etiquetas