Principios
para la gestión de la seguridad de los sistemas:
·
No se puede decir nada útil
respecto de la seguridad de un sistema si no es en un contexto concreto de
aplicación.
·
Nunca se debe gastar más dinero en
proteger una vulnerabilidad que el gasto que supondría un ataque a través de la
misma.
o
Corolario 1: la seguridad perfecta
tiene un coste infinito.
o
Corolario 2: no existe el riesgo
cero.
·
No hay soluciones técnicas a los
problemas de gestión; pero se pueden encontrar soluciones basadas en la gestión
para problemas técnicos.
(N) Principles for managing
system security that were stated by Robert H. Courtney, Jr.
Tutorial: Bill Murray
codified Courtney's laws as follows: [Murr]
·
Courtney's
first law: You cannot say anything interesting (i.e., significant) about the
security of a system except in the context of a particular application and
environment.
·
Courtney's
second law: Never spend more money eliminating a security exposure than
tolerating it will cost you. (See: acceptable risk, risk
analysis.)
o
First
corollary: Perfect security has infinite cost.
o
Second
corollary: There is no such thing as zero risk.
·
Courtney's
third law: There are no technical solutions to management problems, but there
are management solutions to technical problems.
[RFC4949:2007]