14 agosto 2009

Midiendo la seguridad

La gestión de la seguridad no es una tarea fácil, por ello los responsables de seguridad necesitan conocer ¿cómo pueden medir la gestión de la seguridad de su empresa?, es decir, la calidad del sistema de gestión de la seguridad de la información (SGSI) y así dar soporte a la toma de decisiones y analizar como contribuye la seguridad al negocio.

Para medir la seguridad los responsables disponen de herramientas de control, como son los Cuadros de Mandos de Seguridad, que sirven de ayuda a la toma de decisión y están basados en métricas de seguridad.

Las métricas de seguridad sirven de ayuda a la planificación estratégica, al benchmarking y para determinar como la seguridad está contribuyendo al negocio.

Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.

Construir una métrica no es una tarea fácil, a veces "lo que se mide no siempre es importante y lo que es importante no siempre se puede medir" (Einstein). Las empresas tiene sus propios indicadores, que en muchos casos ellos han desarrollado para adaptarlos al negocio.

Las métricas que forman parte de un cuadro de mando son: de implantación, eficacia y eficiencia de los controles de seguridad. Lo importante de estos indicadores es que deben ser confiables y válidos.

La recolección de los datos es una tarea importante. Las fuentes de datos que recogemos para poder realizar la medida pueden ser logs de auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de Seguridad (Security Event Management, SEM), de los que ya hablamos en el blog, son un buen instrumento para la recolección de datos, que permiten por ejemplo obtener información de intrusiones no autorizadas, firewalls, IDS, antivirus, honeypots, etc, y sirven como fuente de información a la hora de generar las métricas.

No podemos medir la seguridad sin haber implantado antes ciertas medidas. Lo primero es implantar la seguridad y después medirla.

Un par de lecturas recomendables son: "A framework for security measurement" de C. Wang, W.A. Wulf y "Fiabilidad y Seguridad" de Antonio Creus Sole.

5 comments :

r0xSoFT dijo...

Si definir una métrica de seguridad "general" supusiese concienciar a las empresas de que la seguridad es importante, sería idóneo, pero el 90% de las empresas no tienen en cuenta la seguridad de sus equipos hasta que no son victimas de un ataque, en fin...



Buen articulo, seguid así.


Salu2!!!

Ignacio Briones dijo...

con la llegada de la ISO 2700X esperemos que las empresasa quieran certificarse. La 27004 se centra en medidas
http://www.rediris.es/difusion/publicaciones/boletin/85-86/ponencias85-1.pdf
Pero que todas las empresas se ponanga en contacto y compartan espericnias para obtener un resutlado de las medidas y saber q son fiable sy comunes, alguien duda q un metro es un metro aqui o en alemania, pero en seguridad????

Laura García dijo...

@r0xSoFT: gracias. Tienes toda la razón, no se preocupan hasta que no llegan los ataques, un pena.

@Ignacio Briones: gracias por la aportación. En efecto, la 27004 trata sobre medidas. Algunas de las grandes se reúnen y comparten datos de forma anónima, pero como bien dices deberían de compartir sus experiencias para determinar si una medida es fiable.

Un saludo

Ignacio Briones dijo...

con la llegada de la ISO 2700X esperemos que las empresasa quieran certificarse. La 27004 se centra en medidas
http://www.rediris.es/difusion/publicaciones/boletin/85-86/ponencias85-1.pdf
Pero que todas las empresas se ponanga en contacto y compartan espericnias para obtener un resutlado de las medidas y saber q son fiable sy comunes, alguien duda q un metro es un metro aqui o en alemania, pero en seguridad????

Laura García dijo...

@r0xSoFT: gracias. Tienes toda la razón, no se preocupan hasta que no llegan los ataques, un pena.

@Ignacio Briones: gracias por la aportación. En efecto, la 27004 trata sobre medidas. Algunas de las grandes se reúnen y comparten datos de forma anónima, pero como bien dices deberían de compartir sus experiencias para determinar si una medida es fiable.

Un saludo