¿La evaluación del riesgo de amenazas es lo mismo que la modelización del riesgo de amenazas?

3

Se me ha pedido que ayude a completar una encuesta y una de las preguntas es si se ha realizado una Evaluación de riesgos de amenazas en un blog que estamos configurando para una organización benéfica. El blog de WordPress utilizará un tema gratuito. Será administrado por 5 administradores de contenido, pero de lo contrario, no hay contenido protegido por contraseña y toda la información está disponible públicamente.

No estoy familiarizado con la Evaluación de riesgos de amenazas, por lo que hice una búsqueda en google. Veo que hay algunas prácticas conocidas en la industria para el modelado de riesgo de amenazas, como STRIDE y DREAD. ¿El modelo de riesgo de amenazas significa lo mismo que la evaluación de riesgos de amenazas? ¿En qué caso, puedo responder diciendo que contrataremos a alguien para que realice una evaluación de riesgo de amenaza DREAD? ¿La evaluación del riesgo de amenaza es lo mismo que la modelización del riesgo de amenaza?

    
pregunta John 01.08.2017 - 00:03
fuente

1 respuesta

1

Evaluación de riesgos se describe como

  

La evaluación de riesgos determina el valor de los activos de información, identifica las amenazas y vulnerabilidades aplicables que existen (o podrían existir), identifica los controles existentes y su efecto en el riesgo identificado, determina las posibles consecuencias y finalmente prioriza los riesgos derivados y los clasifica en función de los criterios de evaluación de riesgos establecidos en el establecimiento del contexto.

en la norma ISO / IEC 27005: 2011.

Una evaluación de riesgos de amenazas hace exactamente eso, pero con un enfoque en las amenazas hacia una organización / sistema / software (cualquiera que sea su configuración).

Para dar un ejemplo, si realizas una TRA para tu blog, el resultado podría ser:

Activos : servidor web

Amenaza : abuso de derechos

Vulnerabilidad : todos los administradores tienen acceso al panel de control de administrador (o como se llame en wordpress)

Control : Caramba, ¿no sé?!?

Efecto sobre el riesgo : reduce la probabilidad en un X%

Ahora que ha terminado con la evaluación de riesgos (en pocas palabras). Una vez que haya completado esto para todos sus activos dentro del alcance elegido, usted modela sus amenazas. Esto significa que intenta "pensar" como un atacante que quiere dañarte a ti / a tu sistema. ¿Cómo trataría de lograr su objetivo? Si no puede hacerlo usted mismo, contrate a un consultor, a un experto en seguridad de TI o visite Sec.SE y haga una pregunta:

  

Tú: "Heyyy guyzz, ¿cómo podría un administrador abusar de sus derechos, si lo fuera,   Como, ¿un administrador en mi blog? "(no tú obviamente)

Obtienes una respuesta sofisticada que describe cómo este administrador haría eso.

  

Sec.SE: "A menudo, los administradores tienen más derechos de los que necesitan. Imagine un equipo de, digamos, 5 administradores. Cada administrador tiene una función específica. El administrador A es responsable de cargar contenido nuevo, el administrador B es responsable de moderando los comentarios, el administrador C es responsable de mantener la base de datos, etc. Esto obviamente significa que cada administrador solo debe tener los derechos, que él / ella definitivamente necesita tener Definitivamente, deberías restringir los derechos de los administradores de una manera que solo se les permita hacer cosas, que tienen que hacerlo de acuerdo con sus roles.

Ahora ha modelado (!) una amenaza y también ha establecido un control. ¡Felicidades!

    
respondido por el Tom K. 01.08.2017 - 11:04
fuente

Lea otras preguntas en las etiquetas