McCumber cubo

En 1991, John McCumber creó un modelo marco para establecer y evaluar información seguridad (Aseguramiento de la información) programas, ahora conocidos como El cubo McCumber. Este modelo de seguridad es representado como un tridimensional Cubo de Rubik-como red.

El concepto de este modelo es, en el desarrollo Aseguramiento de la información sistemas, las organizaciones deben considerar la interrelación de todos los diferentes factores que afectan a los. Idear un robusto Aseguramiento de la información programa, uno debe considerar no sólo los objetivos de seguridad del programa (véase abajo), pero también cómo estos objetivos se refieren específicamente a los diferentes Estados en que la información puede residir en un sistema y toda la gama de las salvaguardas de seguridad disponibles que deben ser considerados en el diseño. El modelo McCumber nos ayuda a recordar a considerar todos los aspectos de diseño importantes sin ser demasiado concentrado en alguno en particular (es decir, depender exclusivamente de los controles técnicos a expensas de las políticas necesarias y formación del usuario final).

Dimensiones y atributos

Objetivos deseados

• Confidencialidad:: garantía de que información sensible no es intencional o accidentalmente revelada a personas no autorizadas individuos.
• Integridad:: aseguramiento de que información no intencional o accidentalmente se modifica de tal manera en cuanto a poner en entredicho su fiabilidad.
• Disponibilidad de:: asegurar que las personas autorizadas tengan acceso oportuno y confiable a los datos y otros recursos cuando sea necesario.

Estados de información

• Almacenamiento: Datos en reposo (DAR) en un sistema de información, como el que se almacena en memoria o en una cinta magnética o disco.
• Transmisión: transferencia de datos entre sistemas de información - también conocido como datos en tránsito (DIT).
• Proceso: realizar operaciones de datos con el fin de lograr un objetivo deseado.

Salvaguardias

• Políticas y prácticas: controles administrativos, como directivas de gestión, que proporcionan una base para saber cómo Aseguramiento de la información debe ser implementado dentro de una organización. (ejemplos: las políticas de uso aceptable o procedimientos de respuesta a incidentes) - también conocido como operaciones de.
• Factores humanos: garantizar que los usuarios de sistemas de información son conscientes de sus roles y responsabilidades en materia de protección de sistemas de información y son capaces de las siguientes normas. (ejemplo: para el usuario final de formación sobre evitando infecciones por virus de computadora o reconocer tácticas de ingeniería social) - también conocido como personal
• Tecnología:: software y soluciones basadas en hardware diseñadas para proteger los sistemas de información (ejemplos: antivirus, firewalls, sistemas de detección de intrusos, etc..)

Motivación

Por el sitio web de John McCumber, la idea es retrasar el avance de la seguridad como un arte y apoyarlo con una metodología estructurada que funciona independientemente de la evolución de la tecnología. La base de esta metodología es la interrelación entre la confidencialidad, integridad y disponibilidad con almacenamiento, transmisión y procesamiento mientras aplica las políticas, procedimientos, lado humano y tecnología.

Véase también

• Tríada CIA
• Defensa en profundidad (informática)

Referencias

• Evaluación y gestión de riesgos de seguridad en sistemas informáticos: una metodología estructurada por John McCumber (autor) [Editor: publicaciones Auerbach; 1ª edición (15 de junio de 2004).

Enlaces externos

• Sitio web de John McCumber
• McCumber cubo Parody

Otras Páginas

• Estereocilios
• NationsUniversity