Evaluación heurística en seguridad de la información

Question

Evaluación heurística en seguridad de la información

#1 de Jonah Benton (1 votos)

0

El término de evaluación heurística es principalmente en el dominio de usabilidad, especialmente se refiere a 10 heurísticas de usabilidad de Jakob Nielsen. En el dominio de seguridad de la información, tenemos principios de seguridad de Saltzer y Schroeder, principios de seguridad del sistema generalmente aceptados de NIST 800-14, etc. ¿Se pueden llamar estos principios de seguridad como "heurísticas" porque son generales ( Link )? ¿Y nuestra actividad que evalúa las prácticas en relación con estos principios puede denominarse "evaluación heurística"?

En función de este Link , la heurística puede tener mnemotecnia. Entonces, ¿las mnemónicas de seguridad como CIA, STRIDE, etc. pueden llamarse "heurísticas"?

audit

pregunta 21.09.2016 - 09:04

fuente

1 respuesta

Lea otras preguntas en las etiquetas audit

¿MiTM puede leer el certificado del servidor en TLS1.2? Consejo sobre cambio de carrera [cerrado]

score 1 · Answer 1

Esta no es una terminología o práctica típica en el espacio de seguridad. Los términos que uno buscaría están en la vena de "requisitos" o "estándares" o tal vez "principios" y evaluaciones contra los cuales pueden llamarse "análisis de brechas" y similares.

La diferencia en terminología coincide con una diferencia en el trabajo real. En seguridad, el trabajo en contra de esos estándares o requisitos es principalmente sobre actividades en el dominio de ejecución, mientras que en la usabilidad el trabajo es más en el dominio de descubrimiento.

Tenga en cuenta también que el sistema más seguro por definición es uno que no tiene facilidad de uso; y hasta cierto punto, la seguridad y la facilidad de uso son objetivos en conflicto. La práctica emergente de "seguridad utilizable" es aquella en la que las heurísticas para el descubrimiento de patrones más seguros desempeñan un papel más importante.