29 agosto 2008

Lecturas de verano (yIV)

Y para finalizar con las lecturas del verano, esta magnífica obra sobre la construcción de métricas de seguridad, "Security Metrics" de Andrew Jaquith.

No es una obra que se limite a enumerar métricas de seguridad, sino que "te enseña a pescar": qué debemos buscar, cómo construirlas, qué graficos emplear, qué colores... y también, claro está, algunos ejemplos.

Me han gustado muchas reflexiones, pero os comento las más destacadas (a mi juicio):

  • No debemos confundir las métricas de seguridad con el análisis de riesgos (por cierto, mi alter ego acaba de escribir sobre esto y coincide con Andrew sobre el problema que suponen las estimaciones para una buena medida).
  • Que las métricas deben ser: consistentes, baratas de obtener, expresadas como un número cardinal o un porcentaje, que deben utilizar al menos una unidad de medida y deben ser específicas del contexto.
  • La explicación que hace de la utilización de métricas para el diagnóstico de problemas, apoyándose en el funcionamiento de los experimentos científicos que no tiene desperdicio.
  • Evidentemente, el catálogo de métricas para el diagnóstico de problemas y la medición de la seguridad técnica (capítulo 3) y para medir la efectividad del programa de seguridad (capítulo 4) [por cierto utilizando COBIT].
  • Y, finalmente, el ejercicio de análisis para conseguir un balanced scorecard para la seguridad de la información que, aunque yo prefiero utilizar TOC, no quita para que sea un buen ejercicio de identificación de métricas relacionadas con el negocio (que es al fin y al cabo lo que perseguimos con este tipo de cuadros de mando).

En definitiva, indispensable para aquellos que nos dedicamos al buen gobierno de la seguridad de la información...


No hay comentarios: