SECURITY METRICS MANAGEMENT
How to Manage the Costs of an Assets Protection Program
Autores: Dr. Gerald L. Kovacich, Edward P. Halibozek
Editorial: Elsevier
Año 2006 – 323 páginas
ISBN: 0–7506–7899-2
www.elsevier.com
Como es sabido, las métricas de seguridad son las aplicaciones de análisis cuantitativos, estadísticos y/o matemáticos para medir las tendencias funcionales de la seguridad y el volumen de trabajo. En otras palabras, estas aplicaciones rastrean y analizan lo que cada función realiza en términos de nivel de esfuerzo (LOE), costes y productividad. Por ello, la gestión de las métricas de seguridad implica la administración de un programa de protección de activos y funciones de seguridad relacionadas mediante el empleo de métricas. Esto se puede utilizar allí donde las tareas administrativas deben ser apoyadas para tales objetivos, como la ayuda a los profesionales de seguridad en cuestiones de presupuesto, la justificación de la rentabilidad de decisiones, determinar el impacto de la reducción de servicios y soporte a clientes, etc.
En este contexto, la obra Security Metrics Management provee de instrumentos básicos para que los profesionales de la seguridad puedan medir el coste de su programa de protección de activos a la vez que evaluar sus éxitos y fallos. El volumen, elaborado con acierto y granularidad por Gerald Kovacich y Edward P. Halibozek -especialistas con un gran bagaje en contrainteligencia, contraespionaje y seguridad corporativa-, está dividida en cinco partes: Introducción al rol de los profesionales de seguridad y gestión de métricas de seguridad; Métricas de seguridad administrativa; Métricas de seguridad física; Métricas de operaciones de seguridad; y La profesión de seguridad y la gestión de métricas en el futuro.

NINE STEPS TO SUCCESS
An ISO 27001 Implementation Overview

Autor: Alan Calder
Editorial: IT Governance Publishing
Año 2005 – 81 páginas
ISBN: 1-905356-10-2
www.itgovernance.co.uk
Desde el pasado mes de octubre de 2005, el estándar internacional ISO 27001:2005 para la implementación de un Sistema de Gestión de Seguridad de la Información ha sustituido a la norma británica BS 7799-2. Tradicionalmente, la Seguridad de la Información siempre ha sido una cuestión de carácter internacional y, ahora, con esta evolución del estándar se permite a las organizaciones de todo el mundo asegurar que cumplen y aplican las mejores prácticas en este ámbito. Por ello, esta obra se presenta como una interesante guía práctica para abordar el proceso de certificación contra la norma ISO 27001 y los nueve pasos esenciales que hay que seguir para la implantación efectiva de un Sistema de Gestión de Seguridad de la Información (SGSI).
Nueve pasos críticos que marcan la diferencia entre un proyecto exitoso y otro fallido: desde la aproximación inicial, el soporte de gestión, el alcance, la planificación, la comunicación, la gestión del riesgo, la selección de controles, la documentación, y las pruebas, hasta la certificación. Cabe señalar que el autor de Nine Steps To Success, Alan Calder, es en la actualidad director fundador de IT Governance, una firma consultora que ayuda a las empresas a abordar las tareas de gobierno de TI y el cumplimiento y riesgo en el ámbito de la seguridad de la información.


SOFTWARE SECURITY
Building Security In
Autor: Gary McGraw
Editorial: Pearson Educación
Año 2006 – 408 páginas (incluye CD-Rom)
ISBN: 0-321-35670-5
www.awprofessional.com
Software Security se presenta como una obra con el propósito de enseñar al lector cómo poner en práctica la seguridad del software. De este modo, las mejores prácticas en este campo descritas en el libro tienen su base en una buena ingeniería de software e implica considerar explícitamente la seguridad a través de todo el ciclo de desarrollo del mismo. Esto conlleva conocer y comprender los riesgos comunes (incluyendo los bugs de implementación y los defectos de arquitectura), diseñar para la seguridad, y someter al software a pruebas objetivas de análisis de riesgo.
La obra expone con tino estas buenas prácticas para el beneficio de los lectores y a modo de propuesta de métodos sin la necesidad de realizar cambios radicales en la forma de trabajo. Durante la lectura, se ofrecen explicaciones detalladas sobre: procesos y sistemas de gestión del riesgo, revisión del código mediante herramientas de análisis estático, análisis de riesgos de arquitectura, pruebas de penetración, pruebas de seguridad, y desarrollo de casos de abuso.
Además de las buenas prácticas de seguridad, Software Security aborda la gestión del conocimiento, la formación y la concienciación, y los programas de seguridad del software en el ámbito empresarial. La estructura de esta obra está formada por 13 capítulos repartidos en tres partes diferenciadas: Fundamentos de seguridad en el software; Siete buenas prácticas para la seguridad en el software; y El crecimiento de la seguridad del software.

THE DATABASE HACKER’S HANDBOOK
Defending Database Servers
Autores: David Litchfield, Chris Anley, John Heasman, Bill Grindlay
Editorial: Wiley
Año 2005 – 500 páginas
ISBN: 0-7645-7801-4
www.wiley.com
Cada vez es más patente que las bases de datos se constituyen como el centro neurálgico de nuestras economías. De hecho, la práctica totalidad de las informaciones personales se almacenan en ellas, desde los informes médicos a cuentas bancarias, pasando por la historia laboral, las pensiones, matriculaciones de coches, etc. Con el fin de mostrar cómo atacar y defender los siete servidores de bases de datos más populares hoy en día, se ha realizado este libro-guía, en el que han participado cuatro expertos en este segmento de la protección TI.
Los autores tienen el propósito de indicar cómo detectar vulnerabilidades, cómo se realizan los ataques y cómo evitar los daños que pueden llegar a ocasionar. Entre otros aspectos, el libro proporciona ayuda para identificar y reparar los agujeros en los servidores Oracle y Microsoft SQL Server; conocer las mejores defensas para los servidores DB2 de IBM, PostgreSQL, Sybase ASE y MySQL; descubrir cómo acceden los hackers a través de ataques buffer overflow, las escaladas de privilegios a través de SQL, o inyección SQL; reconocer las vulnerabilidades peculiares de cada base de datos, y lo que los atacantes ya conocen.
La obra está dividida en ocho secciones, que comprenden 26 capítulos y 3 apéndices. La primera parte es introductoria y expone porqué es necesaria la seguridad en las bases de datos, mientras que los siguientes capítulos se dedican cada uno a un tipo de sistema y arquitectura de base de datos en concreto: Oracle, DB2, Sybase ASE, MySQL, SQL Server y Postgres SQL.




Documento en PDF
 

<volver