Executrain-logo
Executrain-logo

Cada día tomamos diferentes decisiones en nuestra vida, buscando obtener los mejores resultados. «¿Debería levantarme hoy?», «¿Debo comer este sushi que están vendiendo en esta estación de servicio?», «¿Pueden sostener mi bebida?». Los desafíos de la existencia moderna pueden ser muy desalentadores.

En el Blog de Red Hat, Christopher Robinson nos comparte consejos para que las organizaciones consideren los riesgos relacionados con TI y cómo Red Hat Product Security tiene como objetivo ayudar a los clientes a tomar decisiones informadas con datos.

En el mundo de la seguridad de la información, contamos con algunas herramientas para ayudarnos a tomar decisiones informadas. Cuando miramos los problemas potenciales, los consideramos en términos de los riesgos potenciales que podrían ocurrir y que podrían afectar nuestro negocio. Primero, cuando necesitamos entender qué podría pasar, observamos el impacto de una posible amenaza.

Una vez que haya escrito lo que cree que es una lista sólida de cosas que podrían suceder, es posible que observe que algunos de los problemas son más grandes o más pequeños que otros. Algunos de estos problemas son medibles (cuantificables) mientras que otros son más acerca de cómo te sientes al respecto (también conocido como «los sentimientos «) (calificables). Cualquiera de los enfoques es válido dependiendo de lo que sean los datos y de las decisiones que quiera tomar.

Cuando piense qué tan malos pueden ser estos elementos, es importante pensar en tres dimensiones:

  • ¿Este problema le permite a alguien mirar algo que no debería? (Confidencialidad)
  • ¿Este problema hace que las personas que deberían ver los datos no puedan? (Disponibilidad)
  • ¿Este problema altera los datos de una manera que no debería ser? (Integridad)

Entonces tiene una lista. Debe tener alguna escala para medir cuán malos podrían ser potencialmente los resultados. Otro elemento que considerar es la probabilidad o posibilidad de que realmente ocurran esos malos resultados posibles.

Riesgo = Amenaza x Vulnerabilidad

Existe un concepto de » expectativa de pérdida única » ( SLE , por sus siglas en inglés), en términos simples, este es » ¿cuál es el costo si esta cosa mala sucede una vez?

ALE = SLE x ARO

COST_of_COUNTERMEASURE = ALE_ORIGINAL – ALE_NOW

Por lo general, no debe gastar más dinero para proteger algo que lo que le cuesta (ahora, para ser justos, cosas como la seguridad humana y no violar la ley normalmente anularán este cálculo), pero puede ser más barato simplemente dejar de hacer esta actividad arriesgada. de lo que sería continuar haciéndolo y pagar para protegerlo.

Hay cinco formas en que se puede abordar cualquier riesgo:

  • Puede intentar corregirlo y hacerlo desaparecer (pero esto puede ser costoso).
  • Puede intentar reducirlo para hacerlo más pequeño y menos aterrador
  • Puede transferir el riesgo y hacer que sea el problema de otra persona
  • Puede aceptar el riesgo y simplemente vivir con él.

    NUNCA puedes eliminar TODO riesgo de algo. Incluso si corrige / soluciona un problema, podría haber otros factores o exploits que se desconocen en ese momento, o puede que no tenga suficiente tiempo / esfuerzo / dinero para solucionar el problema por completo. Trabajando de manera más inteligente, puede moderar cómo aborda un problema; tal vez aplicando mitigaciones selectivamente cuando los costos de recursos o desempeño son demasiado altos (o aceptando el riesgo si el costo es demasiado doloroso) o haciendo un análisis basado en el riesgo y aplicando soluciones a los activos críticos primero, luego bajando a menos importante (o inconsecuentes) sistemas. Como dijo una vez el poeta: «Si eliges no decidir, has hecho una elección».

    Red Hat Product Security

    Red Hat Product Security trabaja para proporcionarle información objetiva clara para ayudarlo a comprender qué es una vulnerabilidad y le brinda opciones para abordarla, pero en última instancia, usted conoce mejor su sándwich, y su sándwich preferido es diferente al de su vecino o de ese tipo que está en la calle.

    Una vez que se levantan los embargos, Red Hat publica nuestros datos de seguridad y métricas abiertamente para que todos puedan ver. Cada vulnerabilidad está claramente etiquetada utilizando herramientas y medidas estándares de la industria como vulnerabilidades y exposiciones comunes ( CVE ), Common Weakness Enumeration ( CWE ) y Common Vulnerability Scoring System ( CVSS ). Publican esos datos en formatos legibles por humanos y legibles por máquina, como el Lenguaje de Evaluación y Vulnerabilidad Abierto ( OVAL ) y el Marco de Información de Vulnerabilidades Comunes ( CVRF ).

    Trabajan para describir el problema y proporcionar su evaluación de la gravedad del problema al proporcionar una calificación de impacto adicional sobre un puntaje como CVSS. Los ingenieros de Red Hat observan cada defecto desde el punto de vista de sus productos en función de los componentes y cómo se usan y configuran esos paquetes. Además de eso, cuentan con un programa interno de Conciencia sobre la seguridad del cliente que agrega datos, contexto y herramientas adicionales para ayudarlo a decidir rápidamente qué necesita hacer en el contexto de su entorno operativo y comercial.

    Con suerte, esto lo ayudará a comprender dónde y cómo debe reaccionar y podrá articular el riesgo de SU negocio para SUS partes interesadas.

    Más información: Blog Red Hat

    Abrir chat
    ¿Necesitas ayuda?
    ¡Hola! Buen día,
    ¿Te podemos ayudar con información sobre alguno de nuestros cursos?