14-08-2009
Para medir la seguridad los responsables disponen de herramientas de
control, como son los Cuadros de Mandos de Seguridad, que sirven de
ayuda a la toma de decisión y están basados en métricas de seguridad.
Las métricas de seguridad
sirven de ayuda a la planificación estratégica, al benchmarking y para
determinar como la seguridad está contribuyendo al negocio.
Lo primero que hay que estudiar es ¿qué quiero medir?: los objetivos relevantes del negocio.
Construir
una métrica no es una tarea fácil, a veces "lo que se mide no siempre
es importante y lo que es importante no siempre se puede medir"
(Einstein). Las empresas tiene sus propios indicadores, que en muchos
casos ellos han desarrollado para adaptarlos al negocio.
Las
métricas que forman parte de un cuadro de mando son: de implantación,
eficacia y eficiencia de los controles de seguridad. Lo importante de
estos indicadores es que deben ser confiables y válidos.
La
recolección de los datos es una tarea importante. Las fuentes de datos
que recogemos para poder realizar la medida pueden ser logs de
auditoria, formularios, etc. Los Sistemas de Gestión de Eventos de
Seguridad (Security Event Management, SEM), de los que ya hablamos en el blog,
son un buen instrumento para la recolección de datos, que permiten por
ejemplo obtener información de intrusiones no autorizadas, firewalls,
IDS, antivirus, honeypots, etc, y sirven como fuente de información a
la hora de generar las métricas.
No podemos medir la seguridad
sin haber implantado antes ciertas medidas. Lo primero es implantar la
seguridad y después medirla.
Un par de lecturas recomendables
son: "A framework for security measurement" de C. Wang, W.A. Wulf y
"Fiabilidad y Seguridad" de Antonio Creus Sole.
Mapa Web