26 maja 2010

Mierzenie bezpieczeństwa

Paweł Krawczyk opublikował ostatnio w securitystandard.pl artykuł pod tytułem "Jak w standardowy sposób zmierzyć bezpieczeństwo".

Mimo dużo znaczącego tytułu autor koncentruje się tylko na jednym z aspektów bezpieczeństwa - to co jest omawiane w sposób pełny to wyłącznie mierzenie ilości otwartych podatności w systemach informatycznych. Analiza pokazuje różne "jedynie słuszne" metodyki oznaczania popularnych "dziur", które co rusz powstają: amerykańskie i europejskie, komercyjne i wolne...

Zagadnienia systemów klasyfikacji podatności zostało potraktowane naprawdę starannie. Brakuje mi jednak reszty zagadnień z zakresu "pomiarów bezpieczeństwa". Co z ilością incydentów, co ze świadomością pracowników, co z aktualizacją SZBI, testami... Pod tym tytułem spodziewałbym się więcej.

Jeżeli w ogóle spodziewałbym się tytułu tej treści - cytowany przez autora Krzysztof Liderman w swojej pracy udowadniał, że bezpieczeństwa nie można mierzyć. Można mierzyć stan bezpieczeństwa, a to już coś trochę innego.
Ostatnią uwagę zresztą zapisałem tylko formalnie, mnie również zdarzało się kiedyś używać tego terminu.