Gbitten

Este paper de Rainer Böhme e Thomas Nowey é realmente bom. A sua primeira parte resume muito habilidosamente os principais métodos de decisão financeira para investimentos em segurança da informação, tais como ALE (Annual Loss Expectancy), algumas variações de ROSI (Return on Security Investment) e NVP (Net Present Value). Além disso, ele analisa algumas da deficiências destes métodos.

A segunda parte descreve algumas métricas de segurança baseadas em mecanismos de mercado. É um assunto muito interessante que merece mais da minha atenção no futuro. A propósito, este paper é originalmente um capítulo do livro “LNCS 4909 Dependability Metrics”.

Marcadores: Economia, Gestão de segurança, Métrica, ROI

O leitor incauto não deve julgar pelo título, se assim fosse, não desperdiçaria seu tempo com aparentemente mais um artigo "à la Digg" ("5 Myths of this", "Top 10 Reasons to that", "9 Tips to this & that"). Em verdade, este é de longe o melhor artigo sobre métricas de segurança que tive oportunidade de ler.

• Seven myths about information security metrics (by Dr Gary Hinson)

Marcadores: Artigo, Métrica

O início do whitepaper "Top 10 Tangible Measures for Effective Security Risk Management", de David Lacey, é muito promissor. Porem, do meio para final é decepicionante. Somente duas das "Top 10 Measures for Effective Risk Management" propostas no paper levam em consideração os impactos causados por incidentes.

Marcadores: Métrica, Paper

Linus Torvalds escreveu recentemente sobre schedulers e segurança na lista linux-kernel:

SCHEDULERS can be objectively tested. There's this thing called "performance", that can generally be quantified on a load basis. Yes, you can have crazy ideas in both schedulers and security. Yes, you can simplify both for a particular load. Yes, you can make mistakes in both. But the *discussion* on security seems to never get down to real numbers. So the difference between them is simple: one is "hard science". The other one is "people wanking around with their opinions".

Em seguida ele completa:

ANOTHER difference is that when it comes to schedulers, I feel like I actually can make an informed decision. Which means that I'm perfectly happy to just make that decision, and take the flak that I get for it. And I do (both decide, and get flak). That's my job. In contrast, when it comes to security, I see people making IDIOTIC arguments, and I absolutely *know* that those arguments are pure and utter crap, and at the same time, I see that those people are supposed to be "experts".

Não poderia ser melhor dito. Infelizmente a métrica mais usada em segurança é o "achômetro". Basta ver o que os "especialistas em segurança" recomendam para políticas de senha: validade máxima para a senha, regras de construção de alta complexidade, validade mínima para a senha, tamanho mínimo de senha, bloqueio após n falhas, não reutilização de senhas, não compartilhamento de senhas, não escrever senhas em papel. Todas esta recomendações são colocadas de forma genérica, sem discriminação de caso, sem verificação de impacto (seja positivo ou negativo) e principalmente sem métricas palpáveis para validar o controle. Como eu disse em um "post" anterior, nossa área vive de lendas, dogmas e disputas quase religiosas. Parabéns ao Linus por apontar nossos defeitos.

Marcadores: BombaDeFumaça, Controle, Métrica

Lendo o blog de Richard Bejtlich, tomei conhecimento do conceito de "Situational Awareness" (SA). Em vez de descrevê-lo com minhas palavras, tomarei emprestado a definição na wikipedia:

SITUATION awareness or situational awareness (SA) is the mental representation and understanding of objects, events, people, system states, interactions, environmental conditions, and other situation-specific factors affecting human performance in complex and dynamic tasks.

Lembra alguma coisa? PCN, Incident Handling? Pois então, que tal medir o SA da equipe de resposta à incidentes, ou do grupo de disaster recovery. Boa métrica, não?

Marcadores: Métrica, PCN