Midiendo la seguridad


La gestión de la seguridad no es una tarea fácil, por ello los responsables de seguridad necesitan conocer ¿cómo pueden medir la gestión de la seguridad de su empresa?, es decir, la calidad del sistema de gestión de la seguridad de la información (SGSI) y así dar soporte a la toma de decisiones y analizar como contribuye la seguridad al negocio.





Para medir la seguridad los responsables disponen de herramientas de control, como son los Cuadros de Mandos de Seguridad, que sirven de ayuda a la toma de decisión y están basados en métricas de seguridad.

Las métricas de seguridad sirven de ayuda a la planificación estratégica, al benchmarking y para determinar como la seguridad está contribuyendo al negocio.

Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.

Construir una métrica no es una tarea fácil, a veces "lo que se mide no siempre es importante y lo que es importante no siempre se puede medir" (Einstein). Las empresas tiene sus propios indicadores, que en muchos casos ellos han desarrollado para adaptarlos al negocio.

Las métricas que forman parte de un cuadro de mando son: de implantación, eficacia y eficiencia de los controles de seguridad. Lo importante de estos indicadores es que deben ser confiables y válidos.

La recolección de los datos es una tarea importante. Las fuentes de datos que recogemos para poder realizar la medida pueden ser logs de auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de Seguridad (Security Event Management, SEM), que permiten por ejemplo obtener información de intrusiones no autorizadas, firewalls, IDS, antivirus, honeypots, etc, y sirven como fuente de información a la hora de generar las métricas.

No podemos medir la seguridad sin haber implantado antes ciertas medidas. Lo primero es implantar la seguridad y después medirla.

Un par de lecturas recomendables son: "A framework for security measurement" de C. Wang, W.A. Wulf y "Fiabilidad y Seguridad" de Antonio Creus Sole.

Fuente:
Por Laura García
http://www.securitybydefault.com



Otras noticias de interés:

Vulnerabilidad en Shopfactory
Según un aviso de seguridad -publicado en http://lists.netsys.com/pipermail/full-disclosure/2003-March/004433.html - la solución de creación de comercio electrónico Shopfactory posibilita la introducción de cambios en los precios. ...
Vulnerabilidad en el cortafuegos de Windows XP SP2
Ha sido reportada una vulnerabilidad en el cortafuegos de Windows XP Service Pack 2 (SP2), que permite a un usuario remoto conseguir el acceso a las carpetas compartidas....
Crece a un 71% los bots, según Commtouch
Parece ser que a pesar de las recomendaciones repetitivas que se le hacen a los usuarios, ellos siguen siendo engañados por mensajes de correo electrónico que los insta a hacer clic en enlaces y archivos adjuntos sospechosos....
Microsoft corrige tres vulnerabilidades en el soporte Java
La Máquina Virtual (VM) de Microsoft, antes conocida como Máquina Virtual Java, se incluye como parte de la mayoría de las versiones de Windows así como en la mayoría de versiones de Internet Explorer. Se publica un nuevo parche para Microsoft V...
Vulnerabilidad en Windows permite ejecución de código
Microsoft Windows es afectado por una vulnerabilidad no especificada, la cuál permite la ejecución arbitraria de código de forma remota....
FSF Critica Ubuntu por abandono de Grub 2 por Secure Boot
Seria Critica que la FSF The Free Software Foundation (FSF) ha publicado un documento técnico donde sugiere cómo los sistemas operativos libres pueden tratar con Secure Boot UEFI. ...
Hackers atacan portal de internet de los laboristas británicos
El gobernante partido Laborista de Gran Bretaña ha sido criticado con frecuencia por tratar de manipular y controlar las noticias. Pero se descuidó en una de las cosas más importantes, y el lunes hackers atacaron el sitio oficial de internet del p...
Ciberdelincuentes ven un tesoro en LinkedIn
Los datos que publicas en la red social son sumamente valiosos para los piratas informáticos; conforme la base de información es más grande, el valor para los Ciberdelincuentes también aumenta....
Opera 10, el más rápido
Probando las bondades de este navegador me ha dejado bastante satisfecho su velocidad (por algo es considerado el navegador más rápido)...
Escalada de directorios en descargas FTP con Internet Explorer
Se ha anunciado la existencia de una vulnerabilidad en Internet Explorer por la que un atacante puede llegar a comprometer el sistema de un usuario....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • midiendo
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra