El error humano es una de las cinco clases clásicas de amenaza. Sin embargo, cometer un error y no corregirlo es una situación bastante tonta, particularmente cuando el error es tan común y tan fácil de encontrar como no reemplazar una contraseña de proveedor. Cuando el software retráctil sale de la caja, a menudo el vendedor ha instalado una contraseña predeterminada para facilitar al usuario la instalación del producto y comenzar a usarlo. Las instrucciones generalmente advierten al usuario que reemplace el valor predeterminado con una contraseña segura, pero a veces el instalador pasa por alto las instrucciones. Una variedad de herramientas de piratería y herramientas de seguridad de rutina, como los escáneres de vulnerabilidades, encuentran rápidamente la contraseña vulnerable.

Los estándares de configuración y los procedimientos operativos relacionados con la instalación y la configuración deben abordar el proceso para reemplazar la contraseña del proveedor. Después de la instalación y configuración, se debe ejecutar un análisis de vulnerabilidades antes de permitir que el producto entre en servicio que alertará a los administradores u otros usuarios si existe un problema de contraseña u otros problemas. Estos pasos se pueden incorporar fácilmente en procesos estándar que se aplican a todas las actividades en una clase de actividad, como la instalación.

Desde el punto de vista del riesgo, el problema es bastante importante, ya que la vulnerabilidad es trivial para explotar y el potencial de daño es significativo, particularmente si el componente vulnerable es un componente de seguridad, como un firewall u otro dispositivo . El potencial de error parece aumentar con los productos plug and play con requisitos mínimos de configuración, ya que es fácil pasar por alto los pocos requisitos que tales productos tienen.

Cuando se requiere una autorización antes de que un componente pueda ser puesto en servicio, la autoridad de autorización puede exigir un informe o informes de escaneo limpio como control para verificar que los componentes vulnerables no se introducen en un entorno seguro . Estas medidas prudentes cuestan poco pero tienen beneficios reales de minimización de riesgos.

El entrenamiento es la contramedida comprobada para el error humano. Los errores de administración que ocurren durante la instalación y la configuración crean vulnerabilidades cuya ocurrencia puede y debe rastrearse por frecuencia. Luego se puede planificar la capacitación y otras medidas para reducir la incidencia de errores frecuentes. Las estrategias simples para minimizar la aparición de vulnerabilidades son a menudo las soluciones de bajo costo para el desafío de la minimización de riesgos relacionados con errores.

El error humano, particularmente los errores introducidos por usuarios privilegiados crean riesgos serios que merecen la atención de la gerencia. Las estrategias para minimizar los errores son consistentes con el concepto del Modelo de Madurez de Capacidades de procesos repetibles y medidas para reforzar la realización de un proceso preferido de una manera predecible y repetible que ayuda en gran medida a reducir el problema de ocurrencia de problemas graves. vulnerabilidades fácilmente explotadas.

Dejar respuesta

Please enter your comment!
Please enter your name here