¿Qué es un objetivo de seguridad?

Un objetivo de seguridad (ST) es el nombre de un documento creado por una empresa o empresa de seguridad de tecnología de la información (TI) con respecto a una aplicación o empresa en particular con la que está trabajando. Por ejemplo, un desarrollador de software particular que crea programas antivirus podría proporcionar un ST para que un programa específico documente los tipos de amenazas de seguridad que está diseñada para detectar y tratar para un cliente. Un servicio de seguridad también puede ser emitido por un servicio de seguridad de TI para una empresa en particular con la que está trabajando, en el que detalla formas específicas en que esa compañía es vulnerable a atacar y proporciona información sobre cómo se puede aumentar la seguridad para esa empresa.

El nombre "objetivo de seguridad" se refiere al documento real que se realiza una compañía de seguridad de TI a las formas detalladas en las que esa compañía puede ayudar a asegurar a otros. La información específica proporcionada en este tipo de documento puede variar según los tipos de amenazas que puede enfrentar una empresa o los servicios que las empresas pueden proporcionar.En general, sin embargo, un objetivo de seguridad generalmente proporciona información extensa sobre las necesidades de seguridad de un individuo o empresa y cómo se pueden satisfacer esas necesidades.

Un desarrollador de software puede, por ejemplo, elaborar un objetivo de seguridad para indicar los tipos de amenazas con los que puede tratar un nuevo programa de seguridad. El objetivo de seguridad para un nuevo programa antivirus podría indicar los tipos de virus y otros malware que el software puede encontrar y tratar para un cliente. Si hay problemas específicos que este programa tiene con falsos positivos o no encontrando ciertas formas de malware, esto puede incluirse en el documento. Toda esta información generalmente se proporciona en referencia al objetivo de la evaluación (TOE), que generalmente es una compañía en particular que podría usar un producto o servicio dado.

El objetivo de seguridad generado por un servicio de seguridad de TI también podría tratar las necesidades y amenazas específicas parauna empresa en particular. En este caso, el dedo del pie no es solo la empresa en sí, sino también archivos y tipos específicos de información que tiene la compañía. Una vez que el dedo del pie es nombrado y detallado, el objetivo de seguridad generalmente proporciona información sobre cómo se pueden manejar las amenazas, aunque de una manera bastante general que no proporciona asistencia de seguridad sin el uso de los servicios de esa compañía. Toda esta información se crea y proporciona típicamente utilizando criterios comunes para la evaluación de seguridad de la tecnología de la información o "criterios comunes", que se refiere a un conjunto de estándares utilizados en la industria de TI y seguridad.