Ing Informatica
Páginas: 13 (3087 palabras)
Publicado: 18 de diciembre de 2012
Métricas en Seguridad Informática:
Una revisión académica
Jeimy J. Cano, Ph.D, CFE
Ph
CFE
GECTI
Facultad de Derecho
Universidad de los Andes
jcano@uniandes.edu.co
Agenda
•
•
•
•
•
•
•
•
•
Introducción
Parte 1. La industria de la seguridad de la información, las
vulnerabilidades y el factor humano
Parte 2. La evolución de las organizaciones, la cultura
organizacional yla seguridad de la información
Parte 3. Iniciativas internacionales en el tema de Métricas en
Seguridad de la Información
Parte 4. Fundamentación conceptual de las métricas en seguridad
de la Información
Parte 5. Modelo Estratégico de Métricas en Seguridad de la
Información - MEMSI
Consideraciones del Modelo
Reflexiones finales
Referencias
Introducción
•
Declaraciones sobre lasmétricas de seguridad de la información
– Las métricas debe ser objetivas y tangibles – (F o V)
– Las métricas deben tener valores discretos – (F o V)
– Se requieren medidas absolutas y concretas – (F o V)
– Las métricas son costosas – (F o V)
– Ud no puede administrar lo que no puede medir; por tanto no puede
mejorar lo que no puede administrar – (F o V)
– Es esencial medir los resultados –(F o V)
– Necesitamos los números para expresarnos – (F o V)
Tomado y traducido de: Hinson, G. 2006
Parte 1. La industria de la seguridad
de la información, las
vulnerabilidades y el factor humano
La industria de la seguridad informática
¿Cómo nos vende?
•
Uso del miedo e incertidumbre para crear la sensación de que estamos en el filo
del abismo.
•
Productos de seguridadde la información que son expuestos a los intrusos para
que intenten quebrarlo y cuando no lo hacen, se proclaman “imposibles de
hackear”.
•
Productos y servicios que son utilizados por una compañía específica o una
entidad del gobierno, lo cual le ofrece al proveedor una visibilidad en el mercado.
•
Los servicios y productos son sometidos a evaluación en revistas populares de laindustria, las cuales emiten conceptos sobre los mismos.
•
Se establecen y recomiendan por parte de los proveedores y organizaciones
internacionales listas de chequeo, certificaciones de negocio y modelos de
control que procuran salvaguardar a las organizaciones de los más importantes
peligros en temas de seguridad de la información.
•
Los productos y servicios se encuentran alineadoscon las “buenas prácticas”, las
cuales representan lo que la industria y la práctica sugieren que es lo más adecuado
Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2
Las vulnerabilidades
¿Porqué aumentan los ataques?
•
Incremento en la velocidad del desarrollo tecnológico: Mayor curva de aprendizaje.
•
El tiempo requerido para obtener el salario de un mes, ahora requiere unpoco de
paciencia, una porción de información y algunas horas de trabajo: Más motivación
para los atacantes.
•
El software sin errores no existe. Somos humanos y como tal debemos aceptarlo:
Aprender y desaprender.
•
Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez
más complejas, por lo tanto se incrementa la probabilidad de configuraciones
inadecuadasy se debilita el seguimiento al control de cambios: Se compromete la
visión holística.
•
La falta de coordinación transnacional de los agentes gubernamentales para tratar el
tema del delito informático: Limitación para adelantar investigaciones.
Adaptado de: Rice. 2008. 2008. Cap. 3
El factor humano
La psicología de la seguridad en el individuo
•
La seguridad es una sensación,una manera de percibir un cierto nivel de riesgo.
•
Existen personas con perfiles de mayor o menor apetito al riesgo.
•
Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien
sea para obtener mayores dividendos en un negocio o salvar incluso su vida.
•
A medida que las personas se sienten más seguras con las medidas de protección,
más propensas a...
Una revisión académica
Jeimy J. Cano, Ph.D, CFE
Ph
CFE
GECTI
Facultad de Derecho
Universidad de los Andes
jcano@uniandes.edu.co
Agenda
•
•
•
•
•
•
•
•
•
Introducción
Parte 1. La industria de la seguridad de la información, las
vulnerabilidades y el factor humano
Parte 2. La evolución de las organizaciones, la cultura
organizacional yla seguridad de la información
Parte 3. Iniciativas internacionales en el tema de Métricas en
Seguridad de la Información
Parte 4. Fundamentación conceptual de las métricas en seguridad
de la Información
Parte 5. Modelo Estratégico de Métricas en Seguridad de la
Información - MEMSI
Consideraciones del Modelo
Reflexiones finales
Referencias
Introducción
•
Declaraciones sobre lasmétricas de seguridad de la información
– Las métricas debe ser objetivas y tangibles – (F o V)
– Las métricas deben tener valores discretos – (F o V)
– Se requieren medidas absolutas y concretas – (F o V)
– Las métricas son costosas – (F o V)
– Ud no puede administrar lo que no puede medir; por tanto no puede
mejorar lo que no puede administrar – (F o V)
– Es esencial medir los resultados –(F o V)
– Necesitamos los números para expresarnos – (F o V)
Tomado y traducido de: Hinson, G. 2006
Parte 1. La industria de la seguridad
de la información, las
vulnerabilidades y el factor humano
La industria de la seguridad informática
¿Cómo nos vende?
•
Uso del miedo e incertidumbre para crear la sensación de que estamos en el filo
del abismo.
•
Productos de seguridadde la información que son expuestos a los intrusos para
que intenten quebrarlo y cuando no lo hacen, se proclaman “imposibles de
hackear”.
•
Productos y servicios que son utilizados por una compañía específica o una
entidad del gobierno, lo cual le ofrece al proveedor una visibilidad en el mercado.
•
Los servicios y productos son sometidos a evaluación en revistas populares de laindustria, las cuales emiten conceptos sobre los mismos.
•
Se establecen y recomiendan por parte de los proveedores y organizaciones
internacionales listas de chequeo, certificaciones de negocio y modelos de
control que procuran salvaguardar a las organizaciones de los más importantes
peligros en temas de seguridad de la información.
•
Los productos y servicios se encuentran alineadoscon las “buenas prácticas”, las
cuales representan lo que la industria y la práctica sugieren que es lo más adecuado
Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2
Las vulnerabilidades
¿Porqué aumentan los ataques?
•
Incremento en la velocidad del desarrollo tecnológico: Mayor curva de aprendizaje.
•
El tiempo requerido para obtener el salario de un mes, ahora requiere unpoco de
paciencia, una porción de información y algunas horas de trabajo: Más motivación
para los atacantes.
•
El software sin errores no existe. Somos humanos y como tal debemos aceptarlo:
Aprender y desaprender.
•
Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez
más complejas, por lo tanto se incrementa la probabilidad de configuraciones
inadecuadasy se debilita el seguimiento al control de cambios: Se compromete la
visión holística.
•
La falta de coordinación transnacional de los agentes gubernamentales para tratar el
tema del delito informático: Limitación para adelantar investigaciones.
Adaptado de: Rice. 2008. 2008. Cap. 3
El factor humano
La psicología de la seguridad en el individuo
•
La seguridad es una sensación,una manera de percibir un cierto nivel de riesgo.
•
Existen personas con perfiles de mayor o menor apetito al riesgo.
•
Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien
sea para obtener mayores dividendos en un negocio o salvar incluso su vida.
•
A medida que las personas se sienten más seguras con las medidas de protección,
más propensas a...
Leer documento completo
Regístrate para leer el documento completo.