Midiendo la seguridad


La gestión de la seguridad no es una tarea fácil, por ello los responsables de seguridad necesitan conocer ¿cómo pueden medir la gestión de la seguridad de su empresa?, es decir, la calidad del sistema de gestión de la seguridad de la información (SGSI) y así dar soporte a la toma de decisiones y analizar como contribuye la seguridad al negocio.





Para medir la seguridad los responsables disponen de herramientas de control, como son los Cuadros de Mandos de Seguridad, que sirven de ayuda a la toma de decisión y están basados en métricas de seguridad.

Las métricas de seguridad sirven de ayuda a la planificación estratégica, al benchmarking y para determinar como la seguridad está contribuyendo al negocio.

Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.

Construir una métrica no es una tarea fácil, a veces "lo que se mide no siempre es importante y lo que es importante no siempre se puede medir" (Einstein). Las empresas tiene sus propios indicadores, que en muchos casos ellos han desarrollado para adaptarlos al negocio.

Las métricas que forman parte de un cuadro de mando son: de implantación, eficacia y eficiencia de los controles de seguridad. Lo importante de estos indicadores es que deben ser confiables y válidos.

La recolección de los datos es una tarea importante. Las fuentes de datos que recogemos para poder realizar la medida pueden ser logs de auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de Seguridad (Security Event Management, SEM), que permiten por ejemplo obtener información de intrusiones no autorizadas, firewalls, IDS, antivirus, honeypots, etc, y sirven como fuente de información a la hora de generar las métricas.

No podemos medir la seguridad sin haber implantado antes ciertas medidas. Lo primero es implantar la seguridad y después medirla.

Un par de lecturas recomendables son: "A framework for security measurement" de C. Wang, W.A. Wulf y "Fiabilidad y Seguridad" de Antonio Creus Sole.

Fuente:
Por Laura García
http://www.securitybydefault.com



Otras noticias de interés:

El Mac cumple 25 años
El producto emblema de Apple fue el primer ordenador comercial con ratón e interfaz gráfico y salió al mercado con un precio de 2.500 dólares....
La seguridad es cuestión de rutina
Mientras se anunciaba la aparición de un nuevo gusano que se aprovecha como el Sasser de la vulnerabilidad que reinicia el sistema cuando es explotada, aparece una nueva versión de éste último, creada por un imitador del autor original, quien ...
Cómo recuperar datos borrados de tarjetas de memoria
Perder datos por errores físicos o de escritura o borrarlos de forma accidental de una tarjeta de memoria es habitual, porque Windows no asigna papelera de reciclaje por defecto a estas unidades ni permite una recuperación de archivos corruptos con...
Windows reforzará la detección de spam y virus
Microsoft pondrá en marcha una nueva versión de Windows con la que será más fácil detectar y eliminar los virus. La empresa también mostrará nuevas herramientas de Word 2003 y Exchange 2003 durante la conferencia RSA que tendrá lugar en San F...
Cómo defender a su empresa de la ingeniería social
La ingeniería social es una de las técnicas de hacking más antiguas de la informática –casi tanto como ella misma– con la que un hacker puede penetrar hasta en los sistemas más difíciles usando la vulnerabilidad más grave de todas: la huma...
Peppermint Ice rápida, ligera y orientada a las nubes
Peppermint Ice fue diseñado para mejorar la movilidad, la eficiencia y facilidad de uso. Esta distribución esta basada en Ubuntu (derivado de Debian). Los desarrolladores indican que maximizan el uso del procesador y de los recursos del computador ...
BT La empresa que quería registras los Hipervinculos, Quedo Aburrida!!!!
La justicia norteamericana ha rechazado la demanda de BT que pretendía tener derechos de patente sobre el hiperenlace....
Nueva versión de aMSN
Ya está aquí, ya ha salido la nueva versión de aMSN un programa de mensajería instantánea que permite conectarse a la red MSN Messenger, básicamente podríamos decir que se trata de un clon del popular MSN Messenger, que es multiplataforma y ad...
Actualizaciones de seguridad de Java para Apple Mac OS X
Apple ha lanzado nuevas actualizaciones de seguridad de Java para su sistema operativo Mac OS X versiones 10.5 y 10.6 que solventan diversas vulnerabilidades que podrían ser aprovechadas con diversos efectos....
Cuba votó NO al OOXML... pero su voto contó como un SI
Hablando de estándares... el culebrón que pretende convertir el formato OOXML de Microsoft en estándar ISO continúa dando que hablar. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • midiendo
  • mint
  • mit
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra