Midiendo la seguridad
La gestión de la seguridad no es una tarea fácil, por ello los responsables de seguridad necesitan conocer ¿cómo pueden medir la gestión de la seguridad de su empresa?, es decir, la calidad del sistema de gestión de la seguridad de la información (SGSI) y así dar soporte a la toma de decisiones y analizar como contribuye la seguridad al negocio.
Para medir la seguridad los responsables disponen de herramientas de control, como son los Cuadros de Mandos de Seguridad, que sirven de ayuda a la toma de decisión y están basados en métricas de seguridad.
Las métricas de seguridad sirven de ayuda a la planificación estratégica, al benchmarking y para determinar como la seguridad está contribuyendo al negocio.
Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.
Construir una métrica no es una tarea fácil, a veces "lo que se mide no siempre es importante y lo que es importante no siempre se puede medir" (Einstein). Las empresas tiene sus propios indicadores, que en muchos casos ellos han desarrollado para adaptarlos al negocio.
Las métricas que forman parte de un cuadro de mando son: de implantación, eficacia y eficiencia de los controles de seguridad. Lo importante de estos indicadores es que deben ser confiables y válidos.
La recolección de los datos es una tarea importante. Las fuentes de datos que recogemos para poder realizar la medida pueden ser logs de auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de Seguridad (Security Event Management, SEM), de los que ya hablamos en el blog, son un buen instrumento para la recolección de datos, que permiten por ejemplo obtener información de intrusiones no autorizadas, firewalls, IDS, antivirus, honeypots, etc, y sirven como fuente de información a la hora de generar las métricas.
No podemos medir la seguridad sin haber implantado antes ciertas medidas. Lo primero es implantar la seguridad y después medirla.
Un par de lecturas recomendables son: "A framework for security measurement" de C. Wang, W.A. Wulf, "Fiabilidad y Seguridad" de Antonio Creus Sole y Definición Métricas de seguridad de Ignacio Briones Martínez.
Fuente: Security by Default
Para medir la seguridad los responsables disponen de herramientas de control, como son los Cuadros de Mandos de Seguridad, que sirven de ayuda a la toma de decisión y están basados en métricas de seguridad.
Las métricas de seguridad sirven de ayuda a la planificación estratégica, al benchmarking y para determinar como la seguridad está contribuyendo al negocio.
Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.
Construir una métrica no es una tarea fácil, a veces "lo que se mide no siempre es importante y lo que es importante no siempre se puede medir" (Einstein). Las empresas tiene sus propios indicadores, que en muchos casos ellos han desarrollado para adaptarlos al negocio.
Las métricas que forman parte de un cuadro de mando son: de implantación, eficacia y eficiencia de los controles de seguridad. Lo importante de estos indicadores es que deben ser confiables y válidos.
La recolección de los datos es una tarea importante. Las fuentes de datos que recogemos para poder realizar la medida pueden ser logs de auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de Seguridad (Security Event Management, SEM), de los que ya hablamos en el blog, son un buen instrumento para la recolección de datos, que permiten por ejemplo obtener información de intrusiones no autorizadas, firewalls, IDS, antivirus, honeypots, etc, y sirven como fuente de información a la hora de generar las métricas.
No podemos medir la seguridad sin haber implantado antes ciertas medidas. Lo primero es implantar la seguridad y después medirla.
Un par de lecturas recomendables son: "A framework for security measurement" de C. Wang, W.A. Wulf, "Fiabilidad y Seguridad" de Antonio Creus Sole y Definición Métricas de seguridad de Ignacio Briones Martínez.
Fuente: Security by Default
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!