¿Qué es un objetivo de seguridad?
Un objetivo de seguridad (ST) es el nombre de un documento creado por una empresa o empresa de seguridad de tecnología de la información (TI) con respecto a una aplicación o empresa en particular con la que está trabajando. Por ejemplo, un desarrollador de software en particular que crea programas antivirus podría proporcionar un ST para un programa específico para documentar los tipos de amenazas de seguridad que está diseñado para detectar y tratar con un cliente. Un servicio de seguridad de TI también puede emitir un objetivo de seguridad para una empresa en particular con la que está trabajando, en el que detalla formas específicas en que esa empresa es vulnerable a ataques y proporciona información sobre cómo se podría aumentar la seguridad para esa empresa.
El nombre "objetivo de seguridad" se refiere al documento real elaborado por una compañía de seguridad de TI para detallar las formas en que esa compañía puede ayudar a proteger a otros. La información específica que se proporciona en este tipo de documento puede variar según los tipos de amenazas a las que se enfrenta una empresa o los servicios que la empresa puede proporcionar. Sin embargo, en general, un objetivo de seguridad generalmente proporciona información extensa sobre las necesidades de seguridad de un individuo o empresa y cómo se pueden satisfacer esas necesidades.
Un desarrollador de software puede, por ejemplo, elaborar un objetivo de seguridad para indicar los tipos de amenazas que puede enfrentar un nuevo programa de seguridad. El objetivo de seguridad para un nuevo programa antivirus podría indicar los tipos de virus y otro malware que el software puede encontrar y tratar para un cliente. Si hay algún problema específico que este programa tenga con falsos positivos o no encuentre ciertas formas de malware, esto puede incluirse en el documento. Toda esta información generalmente se proporciona en referencia al objetivo de evaluación (TOE), que generalmente es una compañía en particular que podría usar un producto o servicio dado.
El objetivo de seguridad generado por un servicio de seguridad de TI también puede abordar las necesidades y amenazas específicas para una empresa en particular. En este caso, el TOE no es solo la compañía en sí, sino también archivos específicos y tipos de información que tiene la compañía. Una vez que se nombra y detalla el TOE, el objetivo de seguridad generalmente proporciona información sobre cómo se pueden manejar las amenazas, aunque de una manera bastante general que no proporciona asistencia de seguridad sin el uso de los servicios de esa compañía. Toda esta información generalmente se crea y se proporciona utilizando Criterios comunes para la evaluación de seguridad de la tecnología de la información o "criterios comunes", que se refiere a un conjunto de estándares utilizados en la industria de TI y seguridad.