Modelo de control sse-cmm
Páginas: 18 (4301 palabras)
Publicado: 29 de mayo de 2011
Copyright © 2005 Information Systems Audit and Control Association. Reservados todos los derechos. www.isaca.org.
¿Cómo Puede Medirse la Seguridad?
Por David A. Chapin -CISA, CISM, CISSP, IAM- y Steven Akridge -JD, CSM, CM, CISSP, IAMas métricas de seguridad tradicionales son, en el mejor de los casos, fortuitas; en el peor, dan una falsa sensación de seguridad, que lleva a una implantaciónineficiente o insegura de medidas de seguridad. Este artículo presenta un enfoque donde se combinan madurez y calidad para proporcionar una imagen más completa y ordenada del estado de seguridad de una organización. Nos referiremos a este enfoque como Modelo de Madurez del Programa de Seguridad. Las métricas de seguridad -la medida de la eficacia de los esfuerzos en seguridad de una organizacióna lo largo del tiempo- han sido siempre difíciles de evaluar. ¿Cómo puede determinar una organización si se encuentra segura? La medida de la calidad del programa de seguridad sólo puede probarse realmente cuando la organización se ve agobiada por una crisis. Pero para evitar esa situación es precisamente para lo que se realiza el esfuerzo en seguridad. La gerencia necesita alguna medida de cómode segura está la organización. Las organizaciones necesitan preguntarse: • ¿Cuántos recursos son necesarios para estar "seguro"? • ¿Cómo puede justificarse el coste de nuevas medidas de seguridad? • ¿Recibe la organización algo a cambio de su inversión? • ¿Cuándo sabe la organización que está "segura"? • ¿Cómo puede comparar la organización su estado con otras del sector y con los estándares debuenas prácticas? La respuesta tradicional a estas preguntas se relaciona con la evaluación del riesgo y el riesgo residual que la organización está dispuesta a asumir en función de sus necesidades de negocio y limitaciones de presupuesto. La gestión del riesgo puede darse por sentada, no conduciendo necesariamente a un estado de mayor seguridad. Imagine, por ejemplo, un análisis de riesgos quecontiene una matriz de amenazas y el coste de mitigar los riesgos. Algunos de los elementos de la lista tendrían un coste insignificante. Otros elementos serían muy caros (figura 1). Con frecuencia, la gerencia puede decidir mitigar el mayor número de elementos por la menor cantidad de dinero, posiblemente dejando de lado los elementos más caros. La suposición es que añadir controles de reduccióndel riesgo es la
L
mejor opción. Por ello, hay una tendencia a comprar grandes cantidades de herramientas de seguridad y evitar los controles más caros y menos glamurosos. Los controles más complicados tienden a ser de naturaleza organizativa, requiriendo cambios culturales (tales como un plan de recuperación de desastres), más que soluciones llave en mano (tales como cortafuegos y sistemasde detección de intrusos -IDSs-). La dirección piensa que está comprando más seguridad por menos dinero. Sin embargo, ¿quién dice que se compre más seguridad? ¿Cómo puede medir la organización la protección relativa obtenida con cada adquisición? ¿Está comprando la organización las salvaguardas de seguridad en el orden correcto? ¿Está exponiéndose la organización a más riesgo debido al enfoqueno sistemático de la implantación? Crear programas de seguridad desde cero permite abordar estos problemas tradicionales de métricas de seguridad de otra forma. Una mirada renovada a dichos problemas facilita el desarrollo de una solución exhaustiva para cualquier sector. Este enfoque nuevo, más sistemático, de las métricas de seguridad permitirá: • Generar mediciones reproducibles yjustificables. • Medir algo que tenga valor para la organización. • Determinar el progreso real en el estado de la seguridad. • Ser aplicable a un amplio espectro de organizaciones, al tiempo que produce resultados similares. • Determinar el orden en que deberían aplicarse los controles de seguridad. • Determinar los recursos que necesitan ser destinados al programa de seguridad.
Métricas de seguridad...
¿Cómo Puede Medirse la Seguridad?
Por David A. Chapin -CISA, CISM, CISSP, IAM- y Steven Akridge -JD, CSM, CM, CISSP, IAMas métricas de seguridad tradicionales son, en el mejor de los casos, fortuitas; en el peor, dan una falsa sensación de seguridad, que lleva a una implantaciónineficiente o insegura de medidas de seguridad. Este artículo presenta un enfoque donde se combinan madurez y calidad para proporcionar una imagen más completa y ordenada del estado de seguridad de una organización. Nos referiremos a este enfoque como Modelo de Madurez del Programa de Seguridad. Las métricas de seguridad -la medida de la eficacia de los esfuerzos en seguridad de una organizacióna lo largo del tiempo- han sido siempre difíciles de evaluar. ¿Cómo puede determinar una organización si se encuentra segura? La medida de la calidad del programa de seguridad sólo puede probarse realmente cuando la organización se ve agobiada por una crisis. Pero para evitar esa situación es precisamente para lo que se realiza el esfuerzo en seguridad. La gerencia necesita alguna medida de cómode segura está la organización. Las organizaciones necesitan preguntarse: • ¿Cuántos recursos son necesarios para estar "seguro"? • ¿Cómo puede justificarse el coste de nuevas medidas de seguridad? • ¿Recibe la organización algo a cambio de su inversión? • ¿Cuándo sabe la organización que está "segura"? • ¿Cómo puede comparar la organización su estado con otras del sector y con los estándares debuenas prácticas? La respuesta tradicional a estas preguntas se relaciona con la evaluación del riesgo y el riesgo residual que la organización está dispuesta a asumir en función de sus necesidades de negocio y limitaciones de presupuesto. La gestión del riesgo puede darse por sentada, no conduciendo necesariamente a un estado de mayor seguridad. Imagine, por ejemplo, un análisis de riesgos quecontiene una matriz de amenazas y el coste de mitigar los riesgos. Algunos de los elementos de la lista tendrían un coste insignificante. Otros elementos serían muy caros (figura 1). Con frecuencia, la gerencia puede decidir mitigar el mayor número de elementos por la menor cantidad de dinero, posiblemente dejando de lado los elementos más caros. La suposición es que añadir controles de reduccióndel riesgo es la
L
mejor opción. Por ello, hay una tendencia a comprar grandes cantidades de herramientas de seguridad y evitar los controles más caros y menos glamurosos. Los controles más complicados tienden a ser de naturaleza organizativa, requiriendo cambios culturales (tales como un plan de recuperación de desastres), más que soluciones llave en mano (tales como cortafuegos y sistemasde detección de intrusos -IDSs-). La dirección piensa que está comprando más seguridad por menos dinero. Sin embargo, ¿quién dice que se compre más seguridad? ¿Cómo puede medir la organización la protección relativa obtenida con cada adquisición? ¿Está comprando la organización las salvaguardas de seguridad en el orden correcto? ¿Está exponiéndose la organización a más riesgo debido al enfoqueno sistemático de la implantación? Crear programas de seguridad desde cero permite abordar estos problemas tradicionales de métricas de seguridad de otra forma. Una mirada renovada a dichos problemas facilita el desarrollo de una solución exhaustiva para cualquier sector. Este enfoque nuevo, más sistemático, de las métricas de seguridad permitirá: • Generar mediciones reproducibles yjustificables. • Medir algo que tenga valor para la organización. • Determinar el progreso real en el estado de la seguridad. • Ser aplicable a un amplio espectro de organizaciones, al tiempo que produce resultados similares. • Determinar el orden en que deberían aplicarse los controles de seguridad. • Determinar los recursos que necesitan ser destinados al programa de seguridad.
Métricas de seguridad...
Leer documento completo
Regístrate para leer el documento completo.