Métrica

¿QUE ES UNA METRICA?

Las métricas de seguridad tradicionales son, en el mejor de los casos, fortuitas; en el peor, dan una falsa sensación de seguridad, que lleva a una implantación ineficiente o insegura de medidas de seguridad. Este artículo presenta un enfoque donde se combinan madurez y calidad para proporcionar una imagen más completa y ordenada del estado de seguridad de una organización. Nos referiremos a este enfoque como Modelo de Madurez del Programa de Seguridad.

Las métricas de seguridad -la medida de la eficacia de los esfuerzos en seguridad de una organización a lo largo del tiempo- han sido siempre difíciles de evaluar. ¿Cómo puede determinar una organización si se encuentra segura? La medida de la calidad del programa de seguridad sólo puede probarse realmente cuando la organización se ve agobiada por una crisis. Pero para evitar esa situación es precisamente para lo que se realiza el esfuerzo en seguridad.

CUADRO COMPARATIVO:

ISPEC

HTTP SOBRE SSL

Es un conjunto de protocolos cuya función es asegurar las comunicaciones sobre la suite de protocolos TCP/IP autenticando y/o cifrando cada paquete IP en un flujo de datos. *IPSec funciona encriptando la información contenida en los datagramas IP mediante encapsulamiento. * Proporciona integridad, confidencialidad, autenticación y protección ante repetición.  * Se puede utilizar para proteger conexiones remotas. IPSec posee dos modos de operación, túnel y transporte. Modo Transporte En este modo de trabajo, solamente la información del paquete es cifrada y/o autenticada. La información de enrutamiento, o encabezamiento no es alterada. Modo Túnel En este modo, todo el paquete es cifrado, lo cual incluye la información de encabezamiento. Considerando todas las facilidades que provee IPSec, es sensato primeramente determinar cuales métodos de seguridad son necesarios implementar.

Secure Sockets Layer (SSL; en español «capa de conexión segura») y su sucesor Transport Layer Security (TLS; en español «seguridad de la capa de transporte») son protocolos criptográficos que proporcionan comunicaciones seguras por una red, comúnmente Internet. *SSL proporciona autenticación y privacidad de la información entre extremos sobre Internet mediante el uso de criptografía. *El servidor es autenticado (es decir, se garantiza su identidad) mientras que el cliente se mantiene sin autenticar. SSL implica una serie de fases básicas: Negociar entre las partes el algoritmo que se usará en la comunicación Intercambio de claves públicas y autenticación basada en certificados digitales Cifrado del tráfico basado en cifrado simétrico Durante la primera fase, el cliente y el servidor negocian qué algoritmos criptográficos se van a usar. Las implementaciones actuales proporcionan las siguientes opciones: Para criptografía de clave pública: RSA, Diffie-Hellman, DSA (Digital Signature Algorithm) o Fortezza. Para cifrado simétrico: RC2, RC4, IDEA (International Data Encryption Algorithm), DES (Data Encryption Standard), Triple DES y AES (Advanced Encryption Standard). Con funciones hash: MD5 o de la familia SHA.