Qual è il vantaggio dell'utilizzo di un framework di implementazione specifico rispetto all'utilizzo dei passaggi generici presentati nella maggior parte dei framework di sicurezza sviluppati?

2

Informazioni di base: questo post è per alcune ricerche a cui sto lavorando per un corso che sto frequentando all'Università di Advancing Technology come studente di Network Security. Sto ricercando alcuni framework di implementazione per la sicurezza. Un articolo che utilizziamo come riferimento nella classe è link . Uno dei framework di implementazione menzionati in questo articolo è chiamato Security Knowledge in Practice o il metodo SKiP. Ora, uno dei motivi per cui ho scelto di approfondire questo è dovuto a come l'articolo menzionato in precedenza ne parlava. Una delle prime cose che l'articolo fa risalire a questo metodo sono i venditori e la ricerca di quell'appliance che fa tutto. L'articolo prende nota delle implicazioni sulla sicurezza che portano un certo numero di appliance a fare un po 'di servizio, incluso introdurre i propri servizi scarsamente (a volte) configurati che introducono più vulnerabilità, solo ora direttamente collegate alle misure di sicurezza dell'azienda. Ad ogni modo, ho sempre pensato che la sicurezza dovesse essere raggiunta rafforzando ciò che esiste prima, prima di cercare di trovare qualcosa che affermi che porterà sicurezza con esso. Detto questo, non ho nulla contro gli apparecchi, anche se generalmente preferisco le soluzioni open source in quanto sono più una tecnologia hands-on e in realtà mi piace l'aspetto DIY che viene fornito con l'open source. Quello e il fatto che posso guardare il codice me stesso, se necessario, al fine di fissare o adattare la soluzione alle mie esigenze.

Domanda: ora, questo incarico è più di un compito basato sulla discussione che non si adatta in linea con i siti di tipo Q & A, là fuori, quindi vado a provare e chiedere un domanda specifica al fine di rispettare le regole di pubblicazione, ma chiunque voglia condividere la propria esperienza con i quadri di attuazione sarebbe il benvenuto. Ora, non ho dubbi sull'efficacia di SKiP, ma alcuni di essi mi sembravano molto simili alla maggior parte degli altri approcci. Proteggi ciò che hai e poi inserisci il ciclo di preparazione, rilevamento, risposta e miglioramento che la maggior parte di tutti i framework di sicurezza sembrano seguire. Quindi la mia domanda è: quanto è necessario anche seguire qualcosa che è più o meno lo stesso ciclo della maggior parte degli altri framework? Non aderire alle basi e mantenerlo semplice funziona altrettanto bene? Certo, il ciclo deve essere appreso da qualche parte, ma ha davvero bisogno di un nome per renderlo efficace? Oppure questi quadri di fantasia sono solo modi per placare i rialzi con un processo graduale, indipendentemente da come è la taglierina?

Apprezzo qualsiasi feedback.

    
posta Patrick 20.05.2012 - 05:08
fonte

1 risposta

1

Sei familiare, spero, con la prima regola del club della sicurezza delle informazioni; non tirare la tua cripto. Risulta che questa regola ha implicazioni più ampie; non dovresti davvero creare i tuoi quadri di sicurezza.

Un framework ben consolidato ha avuto un sacco di persone intelligenti che lo guardavano per le lacune, e su un livello più pratico è stato implementato molto nel mondo reale e ha portato benefici. ( In realtà non penso che SKIP sia un framework ben consolidato, ma non è proprio il punto della tua domanda .)

Inoltre, non è una critica a un framework che ricorda altri framework: le buone pratiche di sicurezza sono buone pratiche di sicurezza. SKIP sembra essere un tentativo di applicare un processo PDCA alle apparecchiature fornite dal fornitore; naturalmente assomiglierà molto agli altri framework basati su PDCA.

Inoltre, l'uso di un framework standard rende molto più facile (e quindi più economico) effettuare audit esterni, perché puoi assumere un auditor che già conosce il framework.

    
risposta data 30.10.2012 - 12:30
fonte

Leggi altre domande sui tag