SlideShare una empresa de Scribd logo

07 metricas seguridadinformaticaunarevisionacademica

Fernando Sánchez
Fernando Sánchez

Metricas de seguridad informática. Una revisión académica

Educación
1 de 43
Descargar para leer sin conexión
Métricas en Seguridad Informática: Una revisión académica Jeimy J C J i J. Cano, Ph D CFE Ph.D, GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co
Agenda • Introducción • Parte 1. La industria de la seguridad de la información, las vulnerabilidades y el factor humano • Parte 2. La evolución de las organizaciones, la cultura g , organizacional y la seguridad de la información • Parte 3. Iniciativas internacionales en el tema de Métricas en Seguridad de la Información • Parte 4. Fundamentación conceptual de las métricas en seguridad de la Información • Parte 5. Modelo Estratégico de Métricas en Seguridad de la Información - MEMSI I f ió • Consideraciones del Modelo • Reflexiones finales • Referencias
Introducción • Declaraciones sobre las métricas de seguridad de la información – Las métricas debe ser objetivas y tangibles – (F o V) – L métricas d b t Las ét i deben tener valores di l discretos – (F o V) t – Se requieren medidas absolutas y concretas – (F o V) – L métricas son costosas – (F o V) Las ét i t – Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar – (F o V) – Es esencial medir los resultados – (F o V) – Necesitamos los números para expresarnos – (F o V) Tomado y traducido de: Hinson, G. 2006
Parte 1. La industria de la seguridad g de la información, las vulnerabilidades y el factor humano
La industria de la seguridad informática ¿Cómo nos vende? • Uso del miedo e incertidumbre para crear la sensación de que estamos en el filo del abismo. • Productos de seguridad de la información que son expuestos a los intrusos para que intenten quebrarlo y cuando no lo hacen se proclaman “imposibles de hacen, imposibles hackear”. • Productos y servicios que son utilizados por una compañía específica o una entidad del gobierno, lo cual le ofrece al proveedor una visibilidad en el mercado. • Los servicios y productos son sometidos a evaluación en revistas populares de la industria, las cuales emiten conceptos sobre los mismos. • Se establecen y recomiendan por parte de los proveedores y organizaciones internacionales listas de chequeo certificaciones de negocio y modelos de chequeo, control que procuran salvaguardar a las organizaciones de los más importantes peligros en temas de seguridad de la información. • Los productos y servicios se encuentran alineados con las “buenas prácticas”, las cuales representan lo que la industria y la práctica sugieren que es lo más adecuado Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2
Las vulnerabilidades ¿ ¿Porqué aumentan los ataques? q q • Incremento en la velocidad del desarrollo tecnológico: Mayor curva de aprendizaje. • El tiempo requerido para obtener el salario de un mes, ahora requiere un poco de paciencia, paciencia una porción de información y algunas horas de trabajo: Más motivación para los atacantes. • El software sin errores no existe. Somos humanos y como tal debemos aceptarlo: Aprender y desaprender. • Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez más complejas, por lo tanto se incrementa la probabilidad de configuraciones inadecuadas y se debilita el seguimiento al control de cambios: Se compromete la visión holística. • La falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático: Limitación para adelantar investigaciones. Adaptado de: Rice. 2008. 2008. Cap. 3
El factor humano La psicología de la seguridad en el individuo p g g • La seguridad es una sensación, una manera de percibir un cierto nivel de riesgo. • Existen personas con perfiles de mayor o menor apetito al riesgo riesgo. • Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida. • A medida que las personas se sienten más seguras con las medidas de protección, más propensas a los riesgos se vuelven. • La psicología de la seguridad informática debe estar animada por la constante evolución de la percepción del individuo sobre la protección de los activos.
Parte 2. La evolución de las organizaciones, organizaciones la cultura organizacional y la seguridad de la información
Cambios en los diseños organizacionales • Viejo Modelo • Nuevo Modelo – Con límites definidos – En red – Jerárquico – Aplanada – Fijo (Reglas y procedimientos) – Flexible – Homogéneo – Diverso – Esquema local – Esquema Global Tomado y traducido de: Van Maanen, J. (2008) The changing organization: New models of the corporation. MIT Sloan School of Management. Executive Program. June
Perspectivas de análisis sobre la “nueva” organización nueva Diseño Estratégico Político Cultural Agrupamiento, Comprensión de Identidad, valores Enlaces, Enlaces intereses, intereses y supuestos Alineación interna coaliciones, básicos y ajuste con el escalamiento de ambiente compromisos Tomado y traducido de: Westney, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. June
Modelo de Cultura Organizacional E. E Schein Lo que se observa ( q se ve, q (lo que , lo que se siente y escucha), Artefactos símbolos y comportamientos Valores Expuestos Lo que le dicen Supuestos básicos Lo que los participantes dan por hecho. Tomado y traducido de: Westnet, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. June
La Dualidad de la Seguridad de la Información Tomado de: CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informática. http://www.virusprot.com/art47.html
Cultura organizacional y la seguridad informática Elementos a Diagnosticar Elementos a Verificar CONFIANZA Expectativas Cultura Estratégica g Cultura Acuerdos – Trade off EFECTIVIDAD DEL DISEÑO Táctico Tá ti Cultura Requerimientos y FALLAS Y ERRORES Operacional acciones
Conflicto Natural Visión del área de Visión d l Vi ió de la Seguridad S id d Gerencia ? ¿Porqué tenemos más restricciones para el manejo de la información? Con estos requisitos cada vez más complejos de Esto no ayuda nuestras estrategias de negocio ! los gerentes, tendremos que hacer cosas más elaboradas.
Parte 3. Iniciativas internacionales en el tema de Métricas en Seguridad de la Información
Iniciativas internacionales ¡ Enfoque numérico ! Tomado de: Information Security Forum (2006) Information security metrics. Pág. 5
Iniciativas internacionales Características de las métricas Tomado de: Information Security Forum (2006) Information security metrics. Pág. 6
Iniciativas internacionales Modelo de entendimiento de métricas Estratégico Estratégico y Táctico Cultural y organizacional Adaptado de: Information Security Forum (2006) Information security metrics. Pág. 15
Iniciativas internacionales Data-centric approach (2) (1) (4) (1) Estratégico (2) Operacional (3) Táctico áct co Adaptado de: Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
Iniciativas internacionales Data-centric approach Adaptado de: Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
Iniciativas internacionales Forrester (2) (1) (4) Medida: Sugiere tamaño o magnitud. Métrica: Colección de medidas que deben ser analizadas para establecer tendencias tendencias, dirección futura y prioridades Tomado de: Kark, K. y Stamp, P. 2007
Parte 4. Fundamentación conceptual p de las métricas en seguridad de la Información
¿Qué significa medir? • Definición – RAE – Comparar una cantidad con su respectiva unidad, con el fin de averiguar cuántas veces la segunda está contenida en la primera. – Tener determinada dimensión, ser de determinada altura, longitud, superficie, volumen, etc. “Es una acción que requiere un objeto, un sujeto y un contexto” “En este escenario, medir no es un problema numérico, sino cultural. Es decir, responde a un interés particular”
¿Qué son buenas métricas de seguridad? • Aquellas que proveen mediciones o valores concretos, como respuesta a preguntas concretas. • Las características más sobresalientes: – Sin criterios subjetivos – Fáciles de recolectar á – Expresadas en números cardinales o porcentajes – Detalladas con unidades de medida (defectos, horas, pesos) – Relevante para la toma de decisiones Tomado de: Jaquith, A. 2007
Beneficios de las métricas de seguridad • Si las organizaciones establecen las preguntas requeridas, las respuestas a éstas preguntas le ayudarán a: – Comprender mejor sus riesgos – Identificar problemas emergentes – Comprender las debilidades de la infraestructura – Medir el desempeño de los controles – Actualizar las tecnologías y mejorar los procesos actuales – Evidenciar la evolución de la cultura de seguridad de la información i f ió Tomado de: Jaquith, A. 2007
Errores frecuentes en la definición de métricas • Querer ajustarse a los dominios o variables definidas en los estándares de la industria industria. • Ignorar la dinámica propia de la seguridad en la organización. • No comprender los riesgos de la organización y la percepción de los mismos mismos. • Querer abarcar toda la gestión de seguridad en el primer ejercicio. • Ignorar las expectativas de alta gerencia sobre el tema. • Desconocer las características de la cultura organizacional • Ignorar que es un ejercicio de evaluación y diagnóstico
Cultura organizacional y las métricas de seguridad Elementos a Diagnosticar Elementos a Evaluar NIVEL DE CONFIANZA DE LA Admon de riesgos, ORGANIZACIÓN cumplimiento y Gobierno objetivos de negocio de S.I EFECTIVIDAD DE LA ARQUITECTURA DE Administración de Perímetro, Aplicaciones SEGURIDAD la S.I y servicios GESTIÓN DE INCIDENTES DE Operación de la Confidencialidad, SEGURIDAD S.I Integridad y Disponibilidad
Parte 5. Modelo Estratégico de g Métricas en Seguridad de la Información - MEMSI
Fundamentos del Modelo • Reconoce las diferentes culturas de la organización en diferentes niveles. • Exige análisis (top down) y un diagnóstico (bottom up) (top-down) (bottom-up) • Establece las preguntas que integran las expectativas, los acuerdos y acciones de los diferentes actores de la organización • Reconoce que la seguridad es un fenómeno dual (circular) y no dualista (causa-efecto). • Sugiere una manera de integrar los principios de seguridad informática, informática las tecnologías de seguridad y los incidentes incidentes. • Vincula los objetivos del negocio como parte fundamental para el desarrollo de las métricas.
Modelo Estratégico de Métricas en Seguridad de la Información Admon de Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la ESTRATÉGICO organización en temas de seguridad Objetivos de Obj ti d informática? i f áti ? negocio Perímetro Aplicaciones p ? ¿Qué tan efectivas son las ´TÁCTICO tecnologías de seguridad informática Servicios disponibles en la organización? Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan OPERATIVO en la organización? Disponibilidad Di ibilid d
Modelo Estratégico de Métricas en Seguridad de la Información Admon de g Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la ESTRATÉGICO organización en temas de seguridad Objetivos de informática? negocio Admon de Objetivos de Cumplimiento Riesgos negocio -Identificación de activos a - Relaciones con los clientes - Ajuste con buenas proteger - Expectativas de la gerencia prácticas internacionales en - Ejercicios de análisis de sobre la confianza de los el tema riesgos y controles sistemas - Revisión y análisis de - Planes de actualización y - Significado de la seguridad regulaciones nacionales e seguimiento en los procesos de negocio internacionales - Pruebas de - Generación de valor - Estándares de debido vulnerabilidades agregado a los clientes cuidado en seguridad - Mapas de riesgos y - Responsabilidad y agilidad informática controles ante incidentes - Auditorías y pruebas de cumplimiento
Modelo Estratégico de Métricas en Seguridad de la Información Perímetro Aplicaciones ? ¿Qué tan efectivas son las ´TÁCTICO TÁCTICO Tecnologías de seguridad informática Servicios Disponibles en la organización? Perímetro Aplicaciones Servicios - Efectividad del antivirus - Defectos identificados en el - Administración de parches - Efectividad del AntiSpam software - Aseguramiento de equipos - Efectividad del Firewall - Vulnerabilidades - Copias de respaldo - Efectividad del IDS/IPS identificadas - Recuperación ante fallas - Efectividad del Monitoreo - Revisión de código fuente - Control de cambios 7x24 - Utilización de funciones no documentadas - Pruebas de vulnerabilidades al software
Modelo Estratégico de Métricas en Seguridad de la Información g Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan OPERATIVO en la organización? g Disponibilidad Confidencialidad Integridad Disponibilidad - Accesos no autorizados - Eliminar, borrar u manipular - Negación del servicio - Configuración por defecto datos - Inundación de paquetes - Suplantación de IP o datos - Virus informáticos - Eliminar, borrar u manipular - Monitoreo no autorizado datos - Contraseñas débiles - Suplantación de IP o datos
Modelo Estratégico de Métricas en Seguridad de la Información Admon de Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la organización en temas de seguridad Objetivos de Obj ti d informática? i f áti ? negocio Efectividad de la Arquitectura de Seguridad Perímetro Aplicaciones p ? ¿Qué tan efectivas son las Tecnologías de seguridad informática Servicios Disponibles en la organización? Efectividad de la Administración de Incidentes Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan en la organización? Disponibilidad Di ibilid d
Modelo Estratégico de Métricas en Seguridad de la Información -% de nuevos empleados que completaron Admon de su entrenamiento de seguridad/Total de Riesgos Cumplimiento nuevos ingresos ¿Cuál es el nivel de confianza de la ? organización en temas de seguridad - % de cuentas inactivas de usuario deshabilitadas / Total de cuentas inactivas informática? Objetivos de - Valor total de los incidentes de seguridad g negocio Informática / Total del presupuesto de Seg. Inf -No. Mensajes de spam detectados / No. Perímetro Aplicaciones Total de mensajes ignorados j g ¿Qué tan efectivas son las Q é efecti as ? Tecnologías de seguridad informática - No. de mensajes salientes con virus o spyware Disponibles en la organización? - No de spyware detectados en servidores Servicios o estaciones de trabajo - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo Confidencialidad Integridad - No. de incidentes asociados con la ? ¿Qué tipo de incidentes se presentan confidencialidad / Total de incidentes en la organización? - No. de incidentes asociados con la disponibilidad / Total de incidentes Disponibilidad - No de incidentes asociados con la No. confidencialidad / Total de incidentes
Modelo Estratégico de Métricas en Seguridad de la Información PREGUNTA EJEMPLO DE MÉTRICA PROPÓSITO -% de nuevos empleados que completaron su entrenamiento de seguridad/Total de nuevos ingresos - % de cuentas inactivas de usuario Desempeño de personas ¿Cuál es el nivel de confianza de la deshabilitadas / Total de cuentas inactivas y procesos ESTRATÉGICO organización en temas de seguridad - Valor total de los incidentes de seguridad informática? Informática / Total del presupuesto de SegSeg. Inf -No. Mensajes de spam detectados / No. Total de mensajes ignorados - No de mensajes salientes con virus o No. Desempeño de las ¿Qué tan efectivas son las spyware ´TÁCTICO Tecnologías de seguridad informática - No de spyware detectados en servidores tecnologías Disponibles en la organización? o estaciones de trabajo de seguridad informática - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo - No. de incidentes asociados con la confidencialidad / Total de incidentes OPERATIVO ¿Qué tipo de incidentes se presentan - No. de incidentes asociados con la Desempeño de la en la organización? administración disponibilidad / Total de incidentes - No. de incidentes asociados con la de incidentes confidencialidad / Total de incidentes
Algunas consideraciones del modelo propuesto • El modelo se puede utilizar bottom-up o Top Down. – Esto significa que las preguntas son complementarias entre si: responder una es soportar la respuesta de la otra una, otra. • Es viable tomar decisiones más concretas sobre aspectos de seguridad informática según el nivel. • Sugiere una estrategia para justificar los presupuestos de seguridad • Establece un índice de confianza (nivel de inseguridad permitido) • No es una propuesta disyunta de las prácticas internacionales. Es una iniciativa complementaria y operacional. p p • Se ajusta a la dinámica de negocios y cultural de la organización. • Integra las buenas prácticas de la industria: Cobit, ISM3, ITIL, entre otras.
Reflexiones finales • Medir en seguridad informática es “meditar y plantear en las preguntas adecuadas” • Medir en seguridad informática es “contextualizar las expectativas contextualizar de la alta gerencia” • Medir en seguridad informática “no es ajustarse a lo expresado por las buenas prácticas”, es ajustarse a su propia dinámica de riesgos. p , j p p g • Medir en seguridad informática “es evidenciar el nivel de riesgo permitido” para desarrollar y potenciar los objetivos de negocio • Medir en seguridad informática “no es pensar en los datos”, sino en no datos lo que dicen y lo que significan los mismos para la gerencia.
¿Han cambiado las respuestas? • Declaraciones sobre las métricas de seguridad de la información – Las métricas debe ser objetivas y tangibles – (F o V) – Las métricas deben tener valores discretos – (F o V) – Se requieren medidas absolutas y concretas – (F o V) – Las métricas son costosas – (F o V) – Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar – (F o V) j q p ( ) – Es esencial medir los resultados – (F o V) – Necesitamos los números para expresarnos – (F o V) p p ( ) Tomado y traducido de: Hinson, G. 2006
Para concluir … • “Recuerde que un buen sistema de métricas en seguridad i f id d informática, no b áti busca d l mejores dar las j respuestas o indicadores, sino la capacidad organizacional para avanzar en la conquista de la “falsa sensación de seguridad” ”.
Referencias • Information Security Forum (2006) Information security metrics. Disponible: https://www.securityforum.org/index.htm https://www securityforum org/index htm • Chew, E., Clay, A., Hash, J., Bartol, N. y Brown. (2006) Guide for developing performance metrics for information secuity. NIST. Disponible en: http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf • Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. (2007) Elevating the discussion on security management. Proceedings IEEE Business-Driven IT Management. Management • Vaughn, R., Henning, R. y Siraj, A. (2003) Information assurance measures and metrics. State of practice and proposed taxonomy. Proceedings of the 36th Hawaii International Conference on System Sciences (HICSS’03) • Longstaff, T. y Haimes, Y. (2002) A holistic roadmap for survivable infrastructure systems. IEEE Transactions on systems, Man and cybernetics- Part A: Systems and Humans. Vol 32, No.2. March. N 2 M h • Bellovin, S. (2008) On the brittleness of software and the infeasibility of security metrics. IEEE Security & Privacy. Janary/February. • Savola, R. (2007) Towards a security metrics taxonomy for the information and communicationtechnology industry. IEEE International Conference on Software Engineering Advances(ICSEA 2007) d a ces( CS 00 ) • Gottlieb, R. y Iyer, B. (2004) The four-domain architecture: An approach to support enterprise architecture design. IBM System Journal. Vol.43 No.3 • ISACA (2007) Cobit 4.1. • Rice, D. (2008) Geekonomics. The real cost of insecure software. Addison Wesley. • Cano, J. (2008) Entendiendo la inseguridad de la información. Editorial. Revista SISTEMAS. No.105. ACIS. No 105 ACIS
Referencias • Hinson, G. (2006) Seven myths about information security metrics. IsecT Ltd. Disponible en: http://www.isect.com http://www isect com • Koetzle, L., Yates, S., Kark, K. y Bernhardt. (2006) How to measure what matters in security. Forrester Research. • Kark, K. y Stamp, P. (2007) Defining an effective security metrics program. Forrester Research. • Kark, K. y Nagel, B. (2007) The evolving security organization. Forrester Research. , g , ( ) g y g • Stamp, P (2008) M ki d S P. Making data-centric security real. F i i l Forrester RResearch. h • Kark, K. (2008) Seven habits of effective CISOs. Forrester Research. • Stakhanova, N., Basu, S. y Wong, J. (2007) A taxonomy of intrusion response systems. International Journal Information and Computer Security. Vol.1 No.1/2. • Lee, J. y Lee, Y. (2002) A holistic model of computer abuse within organizations. Information Management & Computer Security. Vol.10. No.2/3. • Foltz, C. B. (2004) Cyberterrorism, computer crime and reality. Information Management & Computer Security. Vol.12. No.2/3. • Kovacich, G. y Halibozek, E. (2006) Security metrics management. How to manage the cost of an assets protection program. Butterworth-Heinemann. • Jaquith, A. (2007) Security metrics: Replacing fear, uncertainty, and doubt. Adisson Wesley. • Herrmann, D. Herrmann D (2007) Complete guide to security and privacy metrics Auerbach metrics. Auerbach. • Shostack, A. y Stewart, A. (2008) The New School of Information Security. Addison Wesley.
Métricas en Seguridad Informática: Una revisión académica Jeimy J Cano, Ph.D, CFE J i J. C Ph D GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co

Recomendados

Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.Paul Aburto Salazar
 
Que Es Un Datawarehouse
Que Es Un DatawarehouseQue Es Un Datawarehouse
Que Es Un Datawarehouseguest10616d
 
Documento electronico, #metadatos, firma electronica, expediente electronico ...
Documento electronico, #metadatos, firma electronica, expediente electronico ...Documento electronico, #metadatos, firma electronica, expediente electronico ...
Documento electronico, #metadatos, firma electronica, expediente electronico ...Saginfo & Co
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de serviciosJorge Ventura
 
Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridadAlfredo Vela Zancada
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 

Recomendados

Métricas de Seguridad
Métricas de Seguridad Métricas de Seguridad
Métricas de Seguridad jose_calero
 
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.
MODELO RACI, METAS Y OBJETIVOS DE LA ESTRATEGIA SERVICIO DE TI.Paul Aburto Salazar
 
Que Es Un Datawarehouse
Que Es Un DatawarehouseQue Es Un Datawarehouse
Que Es Un Datawarehouseguest10616d
 
Documento electronico, #metadatos, firma electronica, expediente electronico ...
Documento electronico, #metadatos, firma electronica, expediente electronico ...Documento electronico, #metadatos, firma electronica, expediente electronico ...
Documento electronico, #metadatos, firma electronica, expediente electronico ...Saginfo & Co
 
Estructura en un área de seguridad informática
Estructura en un área de seguridad informáticaEstructura en un área de seguridad informática
Estructura en un área de seguridad informáticapersonal
 
Itil operacion de servicios
Itil operacion de serviciosItil operacion de servicios
Itil operacion de serviciosJorge Ventura
 
Profesión: CiberSeguridad
Profesión: CiberSeguridadProfesión: CiberSeguridad
Profesión: CiberSeguridadAlfredo Vela Zancada
 
Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Introducción a la Seguridad de la Información
Introducción a la Seguridad de la Información Jonathan López Torres
 
Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadChema Alonso
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Cobit
CobitCobit
Cobitlilianaaburto
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria socialalbalucia1983
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridadmaldonado2411
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADMiguel Cabrera
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría FísicaCarlos R. Adames B.
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1veronicamacuarisma
 
Las tics en la sociedad
Las tics en la sociedadLas tics en la sociedad
Las tics en la sociedadEva Rodríguez
 
Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos ESET Latinoamérica
 
Auditoría de Redes
Auditoría de RedesAuditoría de Redes
Auditoría de RedesJonathan Muñoz Aleman
 
Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1Juan Carlos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De CobitCarmen Rios Zapata
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de VulnerabilidadesMeztli Valeriano Orozco
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorizaciónDenys Flores
 
Documentos electronico
Documentos electronicoDocumentos electronico
Documentos electronicoDiego Burgos
 
Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad Maria Ce
 
Organización de un centro de computo
Organización de un centro de computoOrganización de un centro de computo
Organización de un centro de computoViktor Alba
 
07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaWaldo Arteaga
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 

Más contenido relacionado

La actualidad más candente

Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadChema Alonso
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaDarbyPC
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad LógicaXavier
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADMiguel Cabrera
 
Las tics en la sociedad
Las tics en la sociedadLas tics en la sociedad
Las tics en la sociedadEva Rodríguez
 
Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos ESET Latinoamérica
 
Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1Juan Carlos
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la InformacionJessicakatherine
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorizaciónDenys Flores
 
Documentos electronico
Documentos electronicoDocumentos electronico
Documentos electronicoDiego Burgos
 
Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad Maria Ce
 
Organización de un centro de computo
Organización de un centro de computoOrganización de un centro de computo
Organización de un centro de computoViktor Alba
 

La actualidad más candente (20)

Sistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De SeguridadSistemas De Evaluacion De Seguridad
Sistemas De Evaluacion De Seguridad
 
Unidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad InformáticaUnidad 1: Introducción a la Seguridad Informática
Unidad 1: Introducción a la Seguridad Informática
 
Cobit
CobitCobit
Cobit
 
Ingenieria social
Ingenieria socialIngenieria social
Ingenieria social
 
Seguridad Lógica
Seguridad LógicaSeguridad Lógica
Seguridad Lógica
 
Ciberseguridad
CiberseguridadCiberseguridad
Ciberseguridad
 
INTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDADINTRODUCCION CIBERSEGURIDAD
INTRODUCCION CIBERSEGURIDAD
 
La Auditoría Física
La Auditoría FísicaLa Auditoría Física
La Auditoría Física
 
Seguridad logica 1
Seguridad logica 1Seguridad logica 1
Seguridad logica 1
 
Las tics en la sociedad
Las tics en la sociedadLas tics en la sociedad
Las tics en la sociedad
 
Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos Develando la esencia del cifrado de datos
Develando la esencia del cifrado de datos
 
Auditoría de Redes
Auditoría de RedesAuditoría de Redes
Auditoría de Redes
 
Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1Tarea Gestion de proyectos 1
Tarea Gestion de proyectos 1
 
Seguridad De la Informacion
Seguridad De la InformacionSeguridad De la Informacion
Seguridad De la Informacion
 
Principios De Cobit
Principios De CobitPrincipios De Cobit
Principios De Cobit
 
Analisis de Vulnerabilidades
Analisis de VulnerabilidadesAnalisis de Vulnerabilidades
Analisis de Vulnerabilidades
 
1.2 autenticación y autorización
1.2 autenticación y autorización1.2 autenticación y autorización
1.2 autenticación y autorización
 
Documentos electronico
Documentos electronicoDocumentos electronico
Documentos electronico
 
Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad Digitalización: Aspectos técnicos, legales y de seguridad
Digitalización: Aspectos técnicos, legales y de seguridad
 
Organización de un centro de computo
Organización de un centro de computoOrganización de un centro de computo
Organización de un centro de computo
 

Similar a 07 metricas seguridadinformaticaunarevisionacademica

07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademicaWaldo Arteaga
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridadheynan
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónHoracio Veramendi
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informaticaguest8b9e6c
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La OrganizacionFabián Descalzo
 
Cursointeligenciaestrategica
CursointeligenciaestrategicaCursointeligenciaestrategica
CursointeligenciaestrategicaAraceli Lopez
 
Presentación Social Media Insights
Presentación Social Media InsightsPresentación Social Media Insights
Presentación Social Media InsightsSME Puerto Rico
 
Giseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesGiseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesgiseproi
 
Bases de datos i conceptos básicos r.gonzález
Bases de datos i conceptos básicos r.gonzálezBases de datos i conceptos básicos r.gonzález
Bases de datos i conceptos básicos r.gonzálezDenisse Ara
 

Similar a 07 metricas seguridadinformaticaunarevisionacademica (20)

07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica07 metricas seguridadinformaticaunarevisionacademica
07 metricas seguridadinformaticaunarevisionacademica
 
Hakin9 inseguridad
Hakin9 inseguridadHakin9 inseguridad
Hakin9 inseguridad
 
Curso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la InformaciónCurso taller: Sistemas de Gestión de Seguridad de la Información
Curso taller: Sistemas de Gestión de Seguridad de la Información
 
Sistemas de Seguridad Informática
Sistemas de Seguridad InformáticaSistemas de Seguridad Informática
Sistemas de Seguridad Informática
 
Ciberseguridad (deloitte)
Ciberseguridad (deloitte)Ciberseguridad (deloitte)
Ciberseguridad (deloitte)
 
Mejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad InformaticaMejores Practicas de Seguridad Informatica
Mejores Practicas de Seguridad Informatica
 
0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion0 27001 Comunicando A La Organizacion
0 27001 Comunicando A La Organizacion
 
Trust, Security & Usability
Trust, Security & UsabilityTrust, Security & Usability
Trust, Security & Usability
 
2º practica ntic
2º practica ntic2º practica ntic
2º practica ntic
 
Cursointeligenciaestrategica
CursointeligenciaestrategicaCursointeligenciaestrategica
Cursointeligenciaestrategica
 
Sim urbe 2009 2
Sim urbe 2009 2Sim urbe 2009 2
Sim urbe 2009 2
 
Presentación Social Media Insights
Presentación Social Media InsightsPresentación Social Media Insights
Presentación Social Media Insights
 
Optimiti Ciberseguridad
Optimiti CiberseguridadOptimiti Ciberseguridad
Optimiti Ciberseguridad
 
Giseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentesGiseproi grupo de respuesta a incidentes
Giseproi grupo de respuesta a incidentes
 
Coso final-cd
Coso final-cdCoso final-cd
Coso final-cd
 
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTOSEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
SEGURIDAD MÁS ALLÁ DEL CUMPLIMIENTO
 
6ta sem juego de negocios i msm 03
6ta sem juego de negocios i msm 036ta sem juego de negocios i msm 03
6ta sem juego de negocios i msm 03
 
Inteligencia de Fuentes Abiertas en Redes Sociales
Inteligencia de Fuentes Abiertas en Redes SocialesInteligencia de Fuentes Abiertas en Redes Sociales
Inteligencia de Fuentes Abiertas en Redes Sociales
 
Iso 27001 2013
Iso 27001 2013Iso 27001 2013
Iso 27001 2013
 
Bases de datos i conceptos básicos r.gonzález
Bases de datos i conceptos básicos r.gonzálezBases de datos i conceptos básicos r.gonzález
Bases de datos i conceptos básicos r.gonzález
 

Más de Fernando Sánchez

Assemblea general 2014 15 Col·legi Maria Rosa Molas
Assemblea general 2014 15 Col·legi Maria Rosa MolasAssemblea general 2014 15 Col·legi Maria Rosa Molas
Assemblea general 2014 15 Col·legi Maria Rosa MolasFernando Sánchez
 
Assemblea general 2013 14 power
Assemblea general 2013 14 powerAssemblea general 2013 14 power
Assemblea general 2013 14 powerFernando Sánchez
 
Assemblea general 2012 power 2
Assemblea general 2012 power 2Assemblea general 2012 power 2
Assemblea general 2012 power 2Fernando Sánchez
 
Web ampa col·legi maria rosa molas
Web ampa col·legi maria rosa molasWeb ampa col·legi maria rosa molas
Web ampa col·legi maria rosa molasFernando Sánchez
 
Biptic Curs preparació Prova d'acces
Biptic Curs preparació Prova d'accesBiptic Curs preparació Prova d'acces
Biptic Curs preparació Prova d'accesFernando Sánchez
 
Experiencia de teleformación de pilotos en la universidad
Experiencia de teleformación de pilotos en la universidadExperiencia de teleformación de pilotos en la universidad
Experiencia de teleformación de pilotos en la universidadFernando Sánchez
 
Dea final Formación Online de pilotos en la Universidad
Dea final Formación Online de pilotos en la UniversidadDea final Formación Online de pilotos en la Universidad
Dea final Formación Online de pilotos en la UniversidadFernando Sánchez
 
Guia per a l us segur de les xarxes socials
Guia per a l us segur de les xarxes socialsGuia per a l us segur de les xarxes socials
Guia per a l us segur de les xarxes socialsFernando Sánchez
 
Guia per a l´us segur de les xarxes socials
Guia per a l´us segur de les xarxes socialsGuia per a l´us segur de les xarxes socials
Guia per a l´us segur de les xarxes socialsFernando Sánchez
 
Un lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaUn lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaFernando Sánchez
 

Más de Fernando Sánchez (12)

Assemblea general 2014 15 Col·legi Maria Rosa Molas
Assemblea general 2014 15 Col·legi Maria Rosa MolasAssemblea general 2014 15 Col·legi Maria Rosa Molas
Assemblea general 2014 15 Col·legi Maria Rosa Molas
 
Assemblea general 2013 14 power
Assemblea general 2013 14 powerAssemblea general 2013 14 power
Assemblea general 2013 14 power
 
Assemblea general 2012 power 2
Assemblea general 2012 power 2Assemblea general 2012 power 2
Assemblea general 2012 power 2
 
07 autoestima
07 autoestima07 autoestima
07 autoestima
 
Web ampa col·legi maria rosa molas
Web ampa col·legi maria rosa molasWeb ampa col·legi maria rosa molas
Web ampa col·legi maria rosa molas
 
Biptic Curs preparació Prova d'acces
Biptic Curs preparació Prova d'accesBiptic Curs preparació Prova d'acces
Biptic Curs preparació Prova d'acces
 
Experiencia de teleformación de pilotos en la universidad
Experiencia de teleformación de pilotos en la universidadExperiencia de teleformación de pilotos en la universidad
Experiencia de teleformación de pilotos en la universidad
 
Educación a distancia 2008
Educación a distancia 2008Educación a distancia 2008
Educación a distancia 2008
 
Dea final Formación Online de pilotos en la Universidad
Dea final Formación Online de pilotos en la UniversidadDea final Formación Online de pilotos en la Universidad
Dea final Formación Online de pilotos en la Universidad
 
Guia per a l us segur de les xarxes socials
Guia per a l us segur de les xarxes socialsGuia per a l us segur de les xarxes socials
Guia per a l us segur de les xarxes socials
 
Guia per a l´us segur de les xarxes socials
Guia per a l´us segur de les xarxes socialsGuia per a l´us segur de les xarxes socials
Guia per a l´us segur de les xarxes socials
 
Un lista de verificacion para una auditoria
Un lista de verificacion para una auditoriaUn lista de verificacion para una auditoria
Un lista de verificacion para una auditoria
 

Último

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOweislaco
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfCESARMALAGA4
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...JAVIER SOLIS NOYOLA
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteJuan Hernandez
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxJunkotantik
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxAna Fernandez
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfAlfredoRamirez953210
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024IES Vicent Andres Estelles
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoDiegoMtsS
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxOscarEduardoSanchezC
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxJUANSIMONPACHIN
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzprofefilete
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...fcastellanos3
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALEDUCCUniversidadCatl
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPELaura Chacón
 

Último (20)

TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJOTUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
TUTORIA II - CIRCULO DORADO UNIVERSIDAD CESAR VALLEJO
 
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdfBIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
BIOLOGIA_banco de preguntas_editorial icfes examen de estado .pdf
 
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
LA ECUACIÓN DEL NÚMERO PI EN LOS JUEGOS OLÍMPICOS DE PARÍS. Por JAVIER SOLIS ...
 
Earth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversaryEarth Day Everyday 2024 54th anniversary
Earth Day Everyday 2024 54th anniversary
 
VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _VISITA À PROTEÇÃO CIVIL _
VISITA À PROTEÇÃO CIVIL _
 
Unidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parteUnidad II Doctrina de la Iglesia 1 parte
Unidad II Doctrina de la Iglesia 1 parte
 
La Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptxLa Función tecnológica del tutor.pptx
La Función tecnológica del tutor.pptx
 
RETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docxRETO MES DE ABRIL .............................docx
RETO MES DE ABRIL .............................docx
 
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdfEstrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
Estrategias de enseñanza - aprendizaje. Seminario de Tecnologia..pptx.pdf
 
Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024Metabolismo 3: Anabolismo y Fotosíntesis 2024
Metabolismo 3: Anabolismo y Fotosíntesis 2024
 
programa dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para eventoprograma dia de las madres 10 de mayo para evento
programa dia de las madres 10 de mayo para evento
 
TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .TL/CNL – 2.ª FASE .
TL/CNL – 2.ª FASE .
 
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptxPPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
PPT GESTIÓN ESCOLAR 2024 Comités y Compromisos.pptx
 
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docxPLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
PLANIFICACION ANUAL 2024 - INICIAL UNIDOCENTE.docx
 
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyzel CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
el CTE 6 DOCENTES 2 2023-2024abcdefghijoklmnñopqrstuvwxyz
 
DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .DIA INTERNACIONAL DAS FLORESTAS .
DIA INTERNACIONAL DAS FLORESTAS .
 
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
Estas son las escuelas y colegios que tendrán modalidad no presencial este lu...
 
Sesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdfSesión La luz brilla en la oscuridad.pdf
Sesión La luz brilla en la oscuridad.pdf
 
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMALVOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
VOLUMEN 1 COLECCION PRODUCCION BOVINA . SERIE SANIDAD ANIMAL
 
Plan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPEPlan Año Escolar Año Escolar 2023-2024. MPPE
Plan Año Escolar Año Escolar 2023-2024. MPPE
 

07 metricas seguridadinformaticaunarevisionacademica

  • 1. Métricas en Seguridad Informática: Una revisión académica Jeimy J C J i J. Cano, Ph D CFE Ph.D, GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co
  • 2. Agenda • Introducción • Parte 1. La industria de la seguridad de la información, las vulnerabilidades y el factor humano • Parte 2. La evolución de las organizaciones, la cultura g , organizacional y la seguridad de la información • Parte 3. Iniciativas internacionales en el tema de Métricas en Seguridad de la Información • Parte 4. Fundamentación conceptual de las métricas en seguridad de la Información • Parte 5. Modelo Estratégico de Métricas en Seguridad de la Información - MEMSI I f ió • Consideraciones del Modelo • Reflexiones finales • Referencias
  • 3. Introducción • Declaraciones sobre las métricas de seguridad de la información – Las métricas debe ser objetivas y tangibles – (F o V) – L métricas d b t Las ét i deben tener valores di l discretos – (F o V) t – Se requieren medidas absolutas y concretas – (F o V) – L métricas son costosas – (F o V) Las ét i t – Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar – (F o V) – Es esencial medir los resultados – (F o V) – Necesitamos los números para expresarnos – (F o V) Tomado y traducido de: Hinson, G. 2006
  • 4. Parte 1. La industria de la seguridad g de la información, las vulnerabilidades y el factor humano
  • 5. La industria de la seguridad informática ¿Cómo nos vende? • Uso del miedo e incertidumbre para crear la sensación de que estamos en el filo del abismo. • Productos de seguridad de la información que son expuestos a los intrusos para que intenten quebrarlo y cuando no lo hacen se proclaman “imposibles de hacen, imposibles hackear”. • Productos y servicios que son utilizados por una compañía específica o una entidad del gobierno, lo cual le ofrece al proveedor una visibilidad en el mercado. • Los servicios y productos son sometidos a evaluación en revistas populares de la industria, las cuales emiten conceptos sobre los mismos. • Se establecen y recomiendan por parte de los proveedores y organizaciones internacionales listas de chequeo certificaciones de negocio y modelos de chequeo, control que procuran salvaguardar a las organizaciones de los más importantes peligros en temas de seguridad de la información. • Los productos y servicios se encuentran alineados con las “buenas prácticas”, las cuales representan lo que la industria y la práctica sugieren que es lo más adecuado Tomado de: Shostack, A. y Stewart, A. 2008. Cap. 2
  • 6. Las vulnerabilidades ¿ ¿Porqué aumentan los ataques? q q • Incremento en la velocidad del desarrollo tecnológico: Mayor curva de aprendizaje. • El tiempo requerido para obtener el salario de un mes, ahora requiere un poco de paciencia, paciencia una porción de información y algunas horas de trabajo: Más motivación para los atacantes. • El software sin errores no existe. Somos humanos y como tal debemos aceptarlo: Aprender y desaprender. • Las configuraciones actuales de la infraestructura de seguridad se hacen cada vez más complejas, por lo tanto se incrementa la probabilidad de configuraciones inadecuadas y se debilita el seguimiento al control de cambios: Se compromete la visión holística. • La falta de coordinación transnacional de los agentes gubernamentales para tratar el tema del delito informático: Limitación para adelantar investigaciones. Adaptado de: Rice. 2008. 2008. Cap. 3
  • 7. El factor humano La psicología de la seguridad en el individuo p g g • La seguridad es una sensación, una manera de percibir un cierto nivel de riesgo. • Existen personas con perfiles de mayor o menor apetito al riesgo riesgo. • Las personas confrontan la inseguridad para sacar el mejor provecho de ella, bien sea para obtener mayores dividendos en un negocio o salvar incluso su vida. • A medida que las personas se sienten más seguras con las medidas de protección, más propensas a los riesgos se vuelven. • La psicología de la seguridad informática debe estar animada por la constante evolución de la percepción del individuo sobre la protección de los activos.
  • 8. Parte 2. La evolución de las organizaciones, organizaciones la cultura organizacional y la seguridad de la información
  • 9. Cambios en los diseños organizacionales • Viejo Modelo • Nuevo Modelo – Con límites definidos – En red – Jerárquico – Aplanada – Fijo (Reglas y procedimientos) – Flexible – Homogéneo – Diverso – Esquema local – Esquema Global Tomado y traducido de: Van Maanen, J. (2008) The changing organization: New models of the corporation. MIT Sloan School of Management. Executive Program. June
  • 10. Perspectivas de análisis sobre la “nueva” organización nueva Diseño Estratégico Político Cultural Agrupamiento, Comprensión de Identidad, valores Enlaces, Enlaces intereses, intereses y supuestos Alineación interna coaliciones, básicos y ajuste con el escalamiento de ambiente compromisos Tomado y traducido de: Westney, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. June
  • 11. Modelo de Cultura Organizacional E. E Schein Lo que se observa ( q se ve, q (lo que , lo que se siente y escucha), Artefactos símbolos y comportamientos Valores Expuestos Lo que le dicen Supuestos básicos Lo que los participantes dan por hecho. Tomado y traducido de: Westnet, E. (2008) Three perspectives on organizational change. Leading Change in Complex Organization. MIT Sloan School of Management. Executive Program. June
  • 12. La Dualidad de la Seguridad de la Información Tomado de: CANO, J. (2004) Inseguridad Informática. Un concepto dual en seguridad informática. http://www.virusprot.com/art47.html
  • 13. Cultura organizacional y la seguridad informática Elementos a Diagnosticar Elementos a Verificar CONFIANZA Expectativas Cultura Estratégica g Cultura Acuerdos – Trade off EFECTIVIDAD DEL DISEÑO Táctico Tá ti Cultura Requerimientos y FALLAS Y ERRORES Operacional acciones
  • 14. Conflicto Natural Visión del área de Visión d l Vi ió de la Seguridad S id d Gerencia ? ¿Porqué tenemos más restricciones para el manejo de la información? Con estos requisitos cada vez más complejos de Esto no ayuda nuestras estrategias de negocio ! los gerentes, tendremos que hacer cosas más elaboradas.
  • 15. Parte 3. Iniciativas internacionales en el tema de Métricas en Seguridad de la Información
  • 16. Iniciativas internacionales ¡ Enfoque numérico ! Tomado de: Information Security Forum (2006) Information security metrics. Pág. 5
  • 17. Iniciativas internacionales Características de las métricas Tomado de: Information Security Forum (2006) Information security metrics. Pág. 6
  • 18. Iniciativas internacionales Modelo de entendimiento de métricas Estratégico Estratégico y Táctico Cultural y organizacional Adaptado de: Information Security Forum (2006) Information security metrics. Pág. 15
  • 19. Iniciativas internacionales Data-centric approach (2) (1) (4) (1) Estratégico (2) Operacional (3) Táctico áct co Adaptado de: Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
  • 20. Iniciativas internacionales Data-centric approach Adaptado de: Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. 2007
  • 21. Iniciativas internacionales Forrester (2) (1) (4) Medida: Sugiere tamaño o magnitud. Métrica: Colección de medidas que deben ser analizadas para establecer tendencias tendencias, dirección futura y prioridades Tomado de: Kark, K. y Stamp, P. 2007
  • 22. Parte 4. Fundamentación conceptual p de las métricas en seguridad de la Información
  • 23. ¿Qué significa medir? • Definición – RAE – Comparar una cantidad con su respectiva unidad, con el fin de averiguar cuántas veces la segunda está contenida en la primera. – Tener determinada dimensión, ser de determinada altura, longitud, superficie, volumen, etc. “Es una acción que requiere un objeto, un sujeto y un contexto” “En este escenario, medir no es un problema numérico, sino cultural. Es decir, responde a un interés particular”
  • 24. ¿Qué son buenas métricas de seguridad? • Aquellas que proveen mediciones o valores concretos, como respuesta a preguntas concretas. • Las características más sobresalientes: – Sin criterios subjetivos – Fáciles de recolectar á – Expresadas en números cardinales o porcentajes – Detalladas con unidades de medida (defectos, horas, pesos) – Relevante para la toma de decisiones Tomado de: Jaquith, A. 2007
  • 25. Beneficios de las métricas de seguridad • Si las organizaciones establecen las preguntas requeridas, las respuestas a éstas preguntas le ayudarán a: – Comprender mejor sus riesgos – Identificar problemas emergentes – Comprender las debilidades de la infraestructura – Medir el desempeño de los controles – Actualizar las tecnologías y mejorar los procesos actuales – Evidenciar la evolución de la cultura de seguridad de la información i f ió Tomado de: Jaquith, A. 2007
  • 26. Errores frecuentes en la definición de métricas • Querer ajustarse a los dominios o variables definidas en los estándares de la industria industria. • Ignorar la dinámica propia de la seguridad en la organización. • No comprender los riesgos de la organización y la percepción de los mismos mismos. • Querer abarcar toda la gestión de seguridad en el primer ejercicio. • Ignorar las expectativas de alta gerencia sobre el tema. • Desconocer las características de la cultura organizacional • Ignorar que es un ejercicio de evaluación y diagnóstico
  • 27. Cultura organizacional y las métricas de seguridad Elementos a Diagnosticar Elementos a Evaluar NIVEL DE CONFIANZA DE LA Admon de riesgos, ORGANIZACIÓN cumplimiento y Gobierno objetivos de negocio de S.I EFECTIVIDAD DE LA ARQUITECTURA DE Administración de Perímetro, Aplicaciones SEGURIDAD la S.I y servicios GESTIÓN DE INCIDENTES DE Operación de la Confidencialidad, SEGURIDAD S.I Integridad y Disponibilidad
  • 28. Parte 5. Modelo Estratégico de g Métricas en Seguridad de la Información - MEMSI
  • 29. Fundamentos del Modelo • Reconoce las diferentes culturas de la organización en diferentes niveles. • Exige análisis (top down) y un diagnóstico (bottom up) (top-down) (bottom-up) • Establece las preguntas que integran las expectativas, los acuerdos y acciones de los diferentes actores de la organización • Reconoce que la seguridad es un fenómeno dual (circular) y no dualista (causa-efecto). • Sugiere una manera de integrar los principios de seguridad informática, informática las tecnologías de seguridad y los incidentes incidentes. • Vincula los objetivos del negocio como parte fundamental para el desarrollo de las métricas.
  • 30. Modelo Estratégico de Métricas en Seguridad de la Información Admon de Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la ESTRATÉGICO organización en temas de seguridad Objetivos de Obj ti d informática? i f áti ? negocio Perímetro Aplicaciones p ? ¿Qué tan efectivas son las ´TÁCTICO tecnologías de seguridad informática Servicios disponibles en la organización? Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan OPERATIVO en la organización? Disponibilidad Di ibilid d
  • 31. Modelo Estratégico de Métricas en Seguridad de la Información Admon de g Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la ESTRATÉGICO organización en temas de seguridad Objetivos de informática? negocio Admon de Objetivos de Cumplimiento Riesgos negocio -Identificación de activos a - Relaciones con los clientes - Ajuste con buenas proteger - Expectativas de la gerencia prácticas internacionales en - Ejercicios de análisis de sobre la confianza de los el tema riesgos y controles sistemas - Revisión y análisis de - Planes de actualización y - Significado de la seguridad regulaciones nacionales e seguimiento en los procesos de negocio internacionales - Pruebas de - Generación de valor - Estándares de debido vulnerabilidades agregado a los clientes cuidado en seguridad - Mapas de riesgos y - Responsabilidad y agilidad informática controles ante incidentes - Auditorías y pruebas de cumplimiento
  • 32. Modelo Estratégico de Métricas en Seguridad de la Información Perímetro Aplicaciones ? ¿Qué tan efectivas son las ´TÁCTICO TÁCTICO Tecnologías de seguridad informática Servicios Disponibles en la organización? Perímetro Aplicaciones Servicios - Efectividad del antivirus - Defectos identificados en el - Administración de parches - Efectividad del AntiSpam software - Aseguramiento de equipos - Efectividad del Firewall - Vulnerabilidades - Copias de respaldo - Efectividad del IDS/IPS identificadas - Recuperación ante fallas - Efectividad del Monitoreo - Revisión de código fuente - Control de cambios 7x24 - Utilización de funciones no documentadas - Pruebas de vulnerabilidades al software
  • 33. Modelo Estratégico de Métricas en Seguridad de la Información g Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan OPERATIVO en la organización? g Disponibilidad Confidencialidad Integridad Disponibilidad - Accesos no autorizados - Eliminar, borrar u manipular - Negación del servicio - Configuración por defecto datos - Inundación de paquetes - Suplantación de IP o datos - Virus informáticos - Eliminar, borrar u manipular - Monitoreo no autorizado datos - Contraseñas débiles - Suplantación de IP o datos
  • 34. Modelo Estratégico de Métricas en Seguridad de la Información Admon de Riesgos Cumplimiento ? ¿Cuál es el nivel de confianza de la organización en temas de seguridad Objetivos de Obj ti d informática? i f áti ? negocio Efectividad de la Arquitectura de Seguridad Perímetro Aplicaciones p ? ¿Qué tan efectivas son las Tecnologías de seguridad informática Servicios Disponibles en la organización? Efectividad de la Administración de Incidentes Confidencialidad Integridad ? ¿Qué tipo de incidentes se presentan en la organización? Disponibilidad Di ibilid d
  • 35. Modelo Estratégico de Métricas en Seguridad de la Información -% de nuevos empleados que completaron Admon de su entrenamiento de seguridad/Total de Riesgos Cumplimiento nuevos ingresos ¿Cuál es el nivel de confianza de la ? organización en temas de seguridad - % de cuentas inactivas de usuario deshabilitadas / Total de cuentas inactivas informática? Objetivos de - Valor total de los incidentes de seguridad g negocio Informática / Total del presupuesto de Seg. Inf -No. Mensajes de spam detectados / No. Perímetro Aplicaciones Total de mensajes ignorados j g ¿Qué tan efectivas son las Q é efecti as ? Tecnologías de seguridad informática - No. de mensajes salientes con virus o spyware Disponibles en la organización? - No de spyware detectados en servidores Servicios o estaciones de trabajo - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo Confidencialidad Integridad - No. de incidentes asociados con la ? ¿Qué tipo de incidentes se presentan confidencialidad / Total de incidentes en la organización? - No. de incidentes asociados con la disponibilidad / Total de incidentes Disponibilidad - No de incidentes asociados con la No. confidencialidad / Total de incidentes
  • 36. Modelo Estratégico de Métricas en Seguridad de la Información PREGUNTA EJEMPLO DE MÉTRICA PROPÓSITO -% de nuevos empleados que completaron su entrenamiento de seguridad/Total de nuevos ingresos - % de cuentas inactivas de usuario Desempeño de personas ¿Cuál es el nivel de confianza de la deshabilitadas / Total de cuentas inactivas y procesos ESTRATÉGICO organización en temas de seguridad - Valor total de los incidentes de seguridad informática? Informática / Total del presupuesto de SegSeg. Inf -No. Mensajes de spam detectados / No. Total de mensajes ignorados - No de mensajes salientes con virus o No. Desempeño de las ¿Qué tan efectivas son las spyware ´TÁCTICO Tecnologías de seguridad informática - No de spyware detectados en servidores tecnologías Disponibles en la organización? o estaciones de trabajo de seguridad informática - No. de Estaciones de trabajo parchadas / Total de las estaciones de trabajo - No. de incidentes asociados con la confidencialidad / Total de incidentes OPERATIVO ¿Qué tipo de incidentes se presentan - No. de incidentes asociados con la Desempeño de la en la organización? administración disponibilidad / Total de incidentes - No. de incidentes asociados con la de incidentes confidencialidad / Total de incidentes
  • 37. Algunas consideraciones del modelo propuesto • El modelo se puede utilizar bottom-up o Top Down. – Esto significa que las preguntas son complementarias entre si: responder una es soportar la respuesta de la otra una, otra. • Es viable tomar decisiones más concretas sobre aspectos de seguridad informática según el nivel. • Sugiere una estrategia para justificar los presupuestos de seguridad • Establece un índice de confianza (nivel de inseguridad permitido) • No es una propuesta disyunta de las prácticas internacionales. Es una iniciativa complementaria y operacional. p p • Se ajusta a la dinámica de negocios y cultural de la organización. • Integra las buenas prácticas de la industria: Cobit, ISM3, ITIL, entre otras.
  • 38. Reflexiones finales • Medir en seguridad informática es “meditar y plantear en las preguntas adecuadas” • Medir en seguridad informática es “contextualizar las expectativas contextualizar de la alta gerencia” • Medir en seguridad informática “no es ajustarse a lo expresado por las buenas prácticas”, es ajustarse a su propia dinámica de riesgos. p , j p p g • Medir en seguridad informática “es evidenciar el nivel de riesgo permitido” para desarrollar y potenciar los objetivos de negocio • Medir en seguridad informática “no es pensar en los datos”, sino en no datos lo que dicen y lo que significan los mismos para la gerencia.
  • 39. ¿Han cambiado las respuestas? • Declaraciones sobre las métricas de seguridad de la información – Las métricas debe ser objetivas y tangibles – (F o V) – Las métricas deben tener valores discretos – (F o V) – Se requieren medidas absolutas y concretas – (F o V) – Las métricas son costosas – (F o V) – Ud no puede administrar lo que no puede medir; por tanto no puede mejorar lo que no puede administrar – (F o V) j q p ( ) – Es esencial medir los resultados – (F o V) – Necesitamos los números para expresarnos – (F o V) p p ( ) Tomado y traducido de: Hinson, G. 2006
  • 40. Para concluir … • “Recuerde que un buen sistema de métricas en seguridad i f id d informática, no b áti busca d l mejores dar las j respuestas o indicadores, sino la capacidad organizacional para avanzar en la conquista de la “falsa sensación de seguridad” ”.
  • 41. Referencias • Information Security Forum (2006) Information security metrics. Disponible: https://www.securityforum.org/index.htm https://www securityforum org/index htm • Chew, E., Clay, A., Hash, J., Bartol, N. y Brown. (2006) Guide for developing performance metrics for information secuity. NIST. Disponible en: http://csrc.nist.gov/publications/drafts/draft-sp800-80-ipd.pdf • Grandison, T., Bilger, M., O’Connor, L., Graf, M., Swimmer, M. y Schunter, M. (2007) Elevating the discussion on security management. Proceedings IEEE Business-Driven IT Management. Management • Vaughn, R., Henning, R. y Siraj, A. (2003) Information assurance measures and metrics. State of practice and proposed taxonomy. Proceedings of the 36th Hawaii International Conference on System Sciences (HICSS’03) • Longstaff, T. y Haimes, Y. (2002) A holistic roadmap for survivable infrastructure systems. IEEE Transactions on systems, Man and cybernetics- Part A: Systems and Humans. Vol 32, No.2. March. N 2 M h • Bellovin, S. (2008) On the brittleness of software and the infeasibility of security metrics. IEEE Security & Privacy. Janary/February. • Savola, R. (2007) Towards a security metrics taxonomy for the information and communicationtechnology industry. IEEE International Conference on Software Engineering Advances(ICSEA 2007) d a ces( CS 00 ) • Gottlieb, R. y Iyer, B. (2004) The four-domain architecture: An approach to support enterprise architecture design. IBM System Journal. Vol.43 No.3 • ISACA (2007) Cobit 4.1. • Rice, D. (2008) Geekonomics. The real cost of insecure software. Addison Wesley. • Cano, J. (2008) Entendiendo la inseguridad de la información. Editorial. Revista SISTEMAS. No.105. ACIS. No 105 ACIS
  • 42. Referencias • Hinson, G. (2006) Seven myths about information security metrics. IsecT Ltd. Disponible en: http://www.isect.com http://www isect com • Koetzle, L., Yates, S., Kark, K. y Bernhardt. (2006) How to measure what matters in security. Forrester Research. • Kark, K. y Stamp, P. (2007) Defining an effective security metrics program. Forrester Research. • Kark, K. y Nagel, B. (2007) The evolving security organization. Forrester Research. , g , ( ) g y g • Stamp, P (2008) M ki d S P. Making data-centric security real. F i i l Forrester RResearch. h • Kark, K. (2008) Seven habits of effective CISOs. Forrester Research. • Stakhanova, N., Basu, S. y Wong, J. (2007) A taxonomy of intrusion response systems. International Journal Information and Computer Security. Vol.1 No.1/2. • Lee, J. y Lee, Y. (2002) A holistic model of computer abuse within organizations. Information Management & Computer Security. Vol.10. No.2/3. • Foltz, C. B. (2004) Cyberterrorism, computer crime and reality. Information Management & Computer Security. Vol.12. No.2/3. • Kovacich, G. y Halibozek, E. (2006) Security metrics management. How to manage the cost of an assets protection program. Butterworth-Heinemann. • Jaquith, A. (2007) Security metrics: Replacing fear, uncertainty, and doubt. Adisson Wesley. • Herrmann, D. Herrmann D (2007) Complete guide to security and privacy metrics Auerbach metrics. Auerbach. • Shostack, A. y Stewart, A. (2008) The New School of Information Security. Addison Wesley.
  • 43. Métricas en Seguridad Informática: Una revisión académica Jeimy J Cano, Ph.D, CFE J i J. C Ph D GECTI Facultad de Derecho Universidad de los Andes jcano@uniandes.edu.co