Please enable JavaScript.
Coggle requires JavaScript to display documents.
Chapter 1: Managing Risk (Políticas, estándares y guías (Incorporando…
Chapter 1: Managing Risk
Ideas random
* Risk assessment: Proceso de evaluación y catalogación de amenazas, vulnerabilidades y debilidades existentes en un sistema utilizado.
- Si costo de prevención excede el costo que provocaría si el risk sucede entonces se debe mantener.
- Amenaza: Cualquier cosa que puede dañar los recursos, 3 categorías: Entorno, causadas por el hombre, internas vs externas.
- Vulnerabilidad: Debilidad que podrías ser explotada por una amenaza.
- La clave de cualquier evaluación de riesgos es identificar tanto bienes como amenazas.
- Threat Vectors: Forma en la cual un atacador plantea una amenaza. Ejm: Fake email - unsecured hotspot.
Tipos de testing para identifidar riesgos son: penetration y bvlnerabbility
- Cloud computing: Servicios y datos hospedados en la nube en lugar de hospedarlos de forma local.
- Paas: Proveedores permiten crear y correr apps en su infraestractura. (Google Code).
- SaaS: Apps corren remotamente sobre la red, no se requiere poseer hardware local: Salesforce.com, azure, Gmail, dropbox.
- Iaas: Virtualización, clientes paga al proveedor por recursos utilizados. AWS.
- Data Integration / Segregation: Gestionar de forma eficiente los permisos para evitar problemas de accesos (BD Compartida, extranet).
Terminología
- Annual lose expectancy (ALE): Identificar riesgos y estimar expectativas de perdidas anuales.
- Annualized rate of occurrence (ARO): Calculo de que tan a menudo una amenaza ocurrirá.
- BIA: Estudio de posible impacto si ocurre una ruptura en los recursos vitales del busniess.
- Business partners agreement (BPA): Responsab y obligaciones entre business partners.
- Memorandum of understanding (MOU): Definen responsabilidades
- Memorandum of agreement (MOA): Define términos y condiciones para compartir data y recursos información.
- Asset value (AV):: Valor evaluado de un ítem asociado a un cash flow.
- Exposure factor (EF): % potencial de perdida de un activo si se realiza una amenaza.
- SLE Single loss expectancy AV and EF. Representa cuando se esperaría perder en un momento específico.
- ARO (annualized rate of occurrence) Prob de que un evento ocurra dentro de un año.
- SLE x ARO = ALE (expectativa perdida anual).
- interconnection security agreement (ISA): Acuerdo entre organizaciones que poseen y operan sistemas TI conecatados para documentar req técnicos de interconexión.
- maximum tolerable downtime (MTD): Cant máx de tiempo que un proceso puede estar fuera de servicio sin que cause consec irreversibles. A mayor MTD peor.
- MTBF: Tiempo promedio en el que un servicio funciona sin interrupción según lo acordado. (SLA) (Si se puede reparar).
- mean time to failure MTTF: Medida del promedio de cuanto le toma a un sistema fallar (Cuando no se puede reparar).
- MTTR: Tiempo que toma reparar un sistema o comp una vez que ocurre el daño. (SLA)
- memorandum of understanding (MOU): Document entre 2 o más grupos donde se definen responsabilidades each other.
- Recovery Point Objetive (RPO): Cant máx de datos que se pueden perder si un proceso es interrumpido y luego recuperado. Menos RPO --> + caro.
- Recovery Time Objective: Tiempo en que una organiz intenta que el proceso interrumpido vuelva a ejecutarse. A menor RTO --> + caro. RTO < MTD.
- Redundant Array of Independent Disks (RAID):Config de múltiples discos duros utilizados para proveer tolerancia a fallos en caso de que uno falle.
- Single Point of failure (SPOF): Simple debilidad capaz de traer abajo todo un sistema.
- Interconnection security agreement (ISA): Documenta requerimientos técnicos y de seguridad para establecer, operar y mantener la interconexión.
- Buzzword: = risk management.
- Faillover: Proceso de reeconstrucción de un sistema o cambios sobre otros sistemas cuando una falla se detecta. It's expensive.
- Uninterruptible power supply (UPS)
Privacidad
- Privacy impact assessment (PIA): Asociado al BIA, identifica impactos adversos asociados con destrucción, corrupción . .
- Garantizar conformidad con la legal aplicable, y req políticos de privacidad..
- Determinar riesgos y efectos.
- Evaluar procesos alterrnativos para mitigar riesgos de privacidad potencial.
- Privacy threshold assessment (PTA): Análisis y no evaluación, es una herramietna de cumplimiento utilizada,en conjunción con el PIA.
Etapas G. Risk
- Identificar
- Estrategias de respuesta: Evitar, Transferir (share with someone else) think insurance, mitigación (steps to reduce the risk), aceptarlo (no hacer nada).
Virtualización
-
Riesgos
- Romper la VM.
- Mezclar controles de red y seguridad: Utilizar distintos niveles de granularidad para el acceso a controles y seguridad.
-
Políticas, estándares y guías
- Políticas y guías establecen un estándar de expectativas.
- Políticas ayudarán a que el personal se envuelva e invierta en esfuerzos para hacer seguridad exitosa.
- Politicas son guías para problemas largos.
- Estándares dicen que cosas esperar.
- Guías proveen consejos específicos para lograr con éxito una tarea.
- National Institute of Standards and Technology define tipos de control dentro de 3 categorías: Management, operational and technical.
Implementando políticas
- Sentencia alcance
- Declaración visión general de la política: Meta de política, why it is important y cómo cumplirla.
- Declaratoria política: Especifica la política como tal, es como un checklist detallado.
- Sentencia responsabilidad: Quién es responsable de garantizar las políticas.
- Declaración de excepción: Incluyen escalaciones.
- Ventaja políticas: Decisiones se pueden hacer en el camino e involucrar a todos sin tener que empezar desde cero.
Incorporando estándares
Trata con problemas específicos o aspectos de un negocio. Son derivados de políticas, brindan sufic detalle.
Ejm: Si tengo que instalar server remoto, los estándares me van a decir que Hw, SO y demás debo usar.
¿Qué incluyen?
- Alcance y propósito
- Roles y responsabilidades
- Documentos de referencia
- Criterios de rendimiento: Incluye línea base estándares relevantes (Req alto nivel de estándares de tecnología) y estándares de tecnología (Info de plataformas y tecnologías). Apoyarse con Benchmarking (Definir medidas y metricas para esto).
- Mantenimiento y requerimientos administrativos
Siguiendo guías
Ayudan a una org a implementar o mantener estandares brindando info de como realizar las políticas y mantener los estándares.
¿Qué incluye?
- Roles y responsabilidades
- Declaración de la guía: Pasos con instrucciones de como realizar una tarea.
- Consideraciones operacionales: Define deberes necesarios requeridos y en cuales intervarlos.
-
BIA
Proceso de evaluación de sistemas críticos (funciones esenciales del negocio) en una organización para definir impacto y plan de recuperación.
Key components
- Identificar funciones críticas.
- Priorizar funciones del negocio críticas.
- Calculo de periódo de tiempo para pérdida de sist críticos: Qué tanto puede la org sobrevivir sin funciones críticas. Tener en cuenta las variables:
Life, property, safety, finance, reputation.
- Estimar impacto tangible e intangible en la organización.
Goals
- Impacto verdadero y daño que una interrupción puede causar.
- Entendimiento de potenciales pérdidas pueden ayudarte en la lucha por presupuesto.
- Documentación de como el proceso de negocio está siendo usado, el impacto que tiene sobre la organización y como restaurarlo de forma rápida.
-
RAID
Level 0: Utiliza varias unidades y las asigna como una sola unidad física, se hace por rendimiento no por tolerancia a fallos. Si falla, toda la unidad lógica se vuelve inutilizable. (No tolerancia a fallos).
Level 1: Es un disco de espejo, proveen 100% redundancia porque todo se almacena en 2 discos. Algunas implementaciones son llamadas disk duplexing.
Mirroring vs duplexing ( Se puede implementar cualquiera)
-Mirroring: tarjeta controlador escribe secuencialmente para cada disco.
-Duplexing: Datos se escribe en ambos discos de forma simultánea. Más rápida. Controladores múltiples.
Level 3: Es disk striping (bandas de disco) with a parity disk. Implementa tolerancia a fallos usando RAID 0 en conjunto con un disco por separado que almacena información por igual.
Utiliza valor aritmético de datos binarios.
Level 5: Es disk striping with parity (Disposición de discos con paridad). Opera con bandas de disco como RAID 0. La info de paridad se distribuye por todos los discos en lugar de limitarse en un solo disco. Mínimo 3 discos y soporta máx 32.