Scribd Logo
Încărcați

Bine ați venit la Scribd!

  • ¿Cómo Puede Ser Medida La Seguridad?

    Încărcat de

    agentbased
    236 vizualizări5 pagini
    Comentario sobre: CHAPIN, David y AKRIDGE, Steven. How Security can be measured? En: Information 2005 Systems Control Journal. Vol II. ISACA http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=24174&TEMPLATE=/ContentManagement/ContentDisplay.cfm

    Titlu original

    ¿Cómo puede ser medida la seguridad?

    Drepturi de autor

    © Attribution Non-Commercial (BY-NC)

    Formate disponibile

    PDF, TXT sau citiți online pe Scribd

    Vi se pare util acest document?

    Este necorespunzător acest conținut?

    Raportați acest document
    Comentario sobre: CHAPIN, David y AKRIDGE, Steven. How Security can be measured? En: Information 2005 Systems Control Journal. Vol II. ISACA http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=24174&TEMPLATE=/ContentManagement/ContentDisplay.cfm

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    236 vizualizări5 pagini

    ¿Cómo Puede Ser Medida La Seguridad?

    Încărcat de

    agentbased
    Comentario sobre: CHAPIN, David y AKRIDGE, Steven. How Security can be measured? En: Information 2005 Systems Control Journal. Vol II. ISACA http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=24174&TEMPLATE=/ContentManagement/ContentDisplay.cfm

    Drepturi de autor:

    Attribution Non-Commercial (BY-NC)
    Descărcați ca PDF, TXT sau citiți online pe Scribd
    Indicator pentru conținut neadecvat
    din 5

    UNIVERSIDAD

    CIENTÍFICA DEL SUR


    Ingeniería de Sistemas Empresariales
    Seguridad de Servicios Informáticos

    How Security can be measured?


    ¿Cómo puede ser medida la seguridad?
    Comentario sobre:
    CHAPIN, David y AKRIDGE, Steven. How Security can be measured? En: Information
    2005 Systems Control Journal. Vol II. ISACA
    http://www.isaca.org/Template.cfm?Section=Home&CONTENTID=24174&TEMPLATE=/ContentManagement/ContentDisplay.cfm

    Paúl Girón L.
    pgiron@ucsur.edu.pe
    19 de septiembre de 2006

    Ideas principales Las métricas1 de seguridad son la medida de la efectividad de


    los esfuerzos de seguridad en el tiempo de la organizacion.
    El truco es desarrollar métricas que sean simples y provean de
    informacion util para la gestion.
    La clave para las métricas es obtener medidas que tengan las
    siguientes características ideales:
    ● Debe medir cosas significantes organizacionalmente
    ● Debe ser reproducible
    ● Debe ser objetivo y sin sesgo
    ● Con el tiempo deberian ser capaces de medir algun tipo de
    progreso hacia una meta.
    Las métricas tradicionales tienen errores en el diseño pues de
    lograrse el mejor valor posible de la métrica, esto no asegura la
    existencia de seguridad.
    Una pieza del rompecabezas de métricas de seguridad es medir
    el progreso del programa de seguridad comparandolo con un
    modelo de madurez2. Este modelo debe enfatizar el progreso
    del programa en el tiempo, no necesariamente de la calidad de
    los elementos del programa.

    1 Una métrica es: Un sistema de parámetros o formas de aseguramiento cuantitativo y periodico de un proceso
    que debe ser medido, tanto como los procedimientos para llevar a cabo tal medición y los procedimientos
    para la interpretación del logro a la luz de los logros previos o comparables. ("Metrics," Wikipedia, The Free
    Encyclopedia,)
    2 Un modelo de madurez es: Una colección estructurada de elementos que describen características de
    procesos efectivos. Un modelo de madurez provee: un lugar donde empezar, el beneficio de las experiencias
    previas de la comunidad, un lenguaje común y una visión compartida, un marco conceptual para priorizar
    acciones, una forma para determinar que significa mejoras en la organización. ("Capability Maturity Model,"
    Wikipedia, The Free Encyclopedia,)

    Pág. 1
    UNIVERSIDAD
    CIENTÍFICA DEL SUR
    Ingeniería de Sistemas Empresariales
    Seguridad de Servicios Informáticos

    Palabras claves gestión de la seguridad, medición del desempeño, análisis


    cuantitativo

    Resumen
    Las métricas tradicionales de seguridad no necesariamente indican la
    inexistencia de riesgos, ni la supresion de ellos, simplemente se
    limitan a generar informacion. El autor propone combinar las métricas
    de seguridad -basadas en el ISO 17799 -con la idea de los modelos de
    madurez existentes (COBIT, NIST CEAT IT, CITI-ISEM, SEI-CMM,
    CERT/SCA) y adicionalmente redefinir el concepto de nivel de
    madurez centrandolo en medir el progreso del programa de seguridad
    en el tiempo, no solo de la calidad de sus elementos. Así nace el
    Modelo de Madurez de Programas de Seguridad: un modelo objetivo de
    evaluación -basado en indicadores- para la gestión de la madurez y
    calidad de programas de seguridad.

    Estos niveles de seguridad permiten efectuar comparaciones entre


    organizaciones y determinar redes de confianza, asi como permite
    ordenar el proceso en que los elementos de seguridad se
    implementen.

    Una vez que se implementa este modelo en tableros de gestión se


    puede tener instantáneas del estado actual de la seguridad en una
    organización y se inserta la seguridad como factor en la medicion del
    rendimiento organizacional.

    Medida de Calidad del Modelo de Madurez de Seguridad.


    Fuente: CHAPIN, David y AKRIDGE, Steven (2005)

    Pág. 2
    UNIVERSIDAD
    CIENTÍFICA DEL SUR
    Ingeniería de Sistemas Empresariales
    Seguridad de Servicios Informáticos

    Comentario
    El objetivo de desarrollar métricas o mediciones es poder conocer lo
    que busco medir. Con la medición, obtengo un conocimiento científico
    del objeto en cuestión – pues es demostrable-, y con ello puedo
    controlarlo; es en ese sentido que las métricas son aplicables.

    Así, las métricas no son importantes en si mismas sino en la


    información que nos transmiten. En el caso de la Seguridad de la
    Información, si elijo métricas inadecuadas -dificiles de implementar o
    que me brinden informacion incompleta- puedo exponer a mayores
    riesgos a mi organización.

    Una vez que aplico tecnicas de minería de datos o visualización de


    información a los datos generados por las métricas, puedo empezar a
    establecer patrones mas complejos en el tiempo, lo que me puede
    permitir anticiparme a posibles vulnerabilidades o quizas identificar
    activos de información que son porcentualmente mas vulnerados.
    Adicionalmente puedo usar esa información y alimentar un sistema
    experto que reciba como input todas las mediciones, extraiga los
    patrones numéricos, y que con el tiempo pueda predecir las
    condiciones en las cuales existe mayor posibilidad de que los activos
    de información sean comprometidos.

    Por otro lado, todo modelo es una representación conceptual de un


    fenómeno -algo que impacta nuestros sentidos- no es la realidad en si;
    si bien los modelos de madurez en los que se basan los autores para
    armar un nuevo Modelo son información generalmente aceptada entre
    los practicantes de la disciplina de Seguridad de la Información, estos
    -presumo- estan basadas en relaciones de causa-efecto, y -quizás-
    asumiendo la no existencia de relación alguna entre sus componentes.
    Otra falla es que son modelos estáticos, no consideran la evolución de
    la relación entre sus componentes respecto al tiempo.

    Esto, sin embargo, podría ser mejorado usando el modelamiento de


    una organización como sistema sociotécnico3, o usando la dinámica de
    sistemas, al ser un modelo sistémico, se analiza no solo sus partes,
    sino la relación entre ellas. Es a partir de ello que pueden surgir
    nuevos indicadores (métricas derivadas) que dada la unidad de análisis
    actual: el modelo de madurez no es posible avisorar.

    3 Un sistema sociotécnico es una compleja interrelacion entre personas y tecnología, incluyendo hardware,
    software, datos, ambientes fisicos alrededor, gente, procedimientos, leyes y regulaciones. Traducido de:
    www.computingcases.com 2004

    Pág. 3
    UNIVERSIDAD
    CIENTÍFICA DEL SUR
    Ingeniería de Sistemas Empresariales
    Seguridad de Servicios Informáticos

    Con modelos estáticos, obtengo medidas que me llevan a métricas,


    que puedo interpretar usando un tablero de control; si modelo la
    seguridad como una interrelación entre sus partes, como un modelo
    de sistema dinámico, las variables de medición que voy a definir van a
    tener efecto unas sobre las otras, así puedo anticipar en el futuro
    condiciones que pueden afectar a mi organización, es más, puedo
    simular todas las condiciones -incluso las peores- que podria afectar a
    mi organización. Ambos enfoques pueden trabajarse de manera
    conjunta.

    Medir permite conocer y controlar, modelar y simular permite


    avisorar.

    Fig2. Imagen de un tablero de simulación.

    Pág. 4
    UNIVERSIDAD
    CIENTÍFICA DEL SUR
    Ingeniería de Sistemas Empresariales
    Seguridad de Servicios Informáticos

    Recursos:

    Wikipedia contributors, "Metrics," Wikipedia, The Free Encyclopedia


    http://en.wikipedia.org/w/index.php?title=Metrics&oldid=76616136 (accessed
    September 19, 2006).

    Wikipedia contributors, "Capability Maturity Model," Wikipedia, The Free


    Encyclopedia,
    http://en.wikipedia.org/w/index.php?title=Capability_Maturity_Model&oldid=7645
    2201 (accessed September 19, 2006).

    Pág. 5

    S-ar putea să vă placă și