Founder of MalwareIntelligence, a site dedicated to research on all matters relating to anti-malware security, criminology computing and information security in general, always from a perspective closely related to the field of intelligence.

miércoles, 26 de diciembre de 2007

VERBOS EN SEGURIDAD DE LA INFORMACIÓN
En las ultimas dos semanas he dedicado algunas horas a conformar una lista de verbos
En el blog de ISSA ArBA http://issaarba.blogspot.com/ he publicado un documento llamado :

Verbos usados en Seguridad de la Información v06.

En este documento he listado 1590 Verbos en infinitivo que habitualmente son utilizado por profesionales de seguridad de la información ya sea durante la expresion escrita, oral, formal o informal (aunque no llevado al extremo, claro).

Por que y Para que?

La necesidad surgio a partir de la idea del mapa entidad-relacion de seguirdad de la informacion y este a su vez a partir de pensar segun el modelo de unificacion de ITIL.
En fin, luego de armar la primera version de entidades (que esta en revision) habia que determinar la relacion entre estas y por supuesto, cuando hablamos de relacion, estamos hablando de verbos.
Las primeras relaciones, surgieron naturalmente del modelo ITIL, pero como solo fue una idea generadora, no tenia sentido limitarse a ellas.
La pregunta era, cuales y como no olvidar ninguna realacion importante.
Entonces comence a pensar que hacemos y que sucede en seguridad de la informacion. (lista interminable, que siempre me recuerda a los superheroes de Ezequiel Sallis y Claudio Caracciolo)
Pense en los 10 dominios del examen CISSP, la ISO 27001 ( y sus anexos), la BCRA 4609 y las listas de discusion en las que estoy subscripto.
Tambien pense que esto puede ayudar luego a la definicion de roles y en consecuencia de perfiles tambien.... Asi como de las habilidades y conocimientos para poder realizar estas acciones.
Asi, todo tiene que ver con todo pero no por ello imposible de organizar con alguna jerarquia (mindmaps)
Por otro lado, este proyecto, como los otros, que esperan ser cooperativos, no tienen mayor apuro, y de hecho los estoy pensando para todo el 2008.

Como?

El proceso de elección no fue sencillo.
Primero comencé haciendo una lista a mano alzada, pero suponía que no era capaz de evocar todos los verbos (en su momento me imaginaba unos 300 verbos especifico)
Como esto no funcionaba, sali a buscar una herramienta de extracción de texto, que me permitiera tomar un documento y extraer de alli todas las palabras y la frecuencia de las mismas.
El principal problema aqui fue el idioma, la mayoria de las herramientas no responde muy bien en idiomas diferentes al ingles, pero encontre una herramienta que funciono muy, pero muy aceptablemente : http://www.cro-code.com/textanz.jsp , asi que con esta herramienta comence a analizar algunos textos.

Avance en tres lineas diferentes.

1) Del website de segu-info : http://segu-info.com.ar/terceros/ elegi algunos documentos y consolide su informacion en un documento unico sobre el cual se hizo el analisis:

acorletti_analisis_iso_27001.txt
acorletti_iso-27001-los-controles2.txt
acorletti_iso-27001-los-controles.txt
guia-elaboracion-politicas.txt
Heuristica.txt
iso-27001_e_iso-27004.txt
jmieres_seguridad- de-la-informacion.txt
mmartinez_proteccion- datos-iso-17799.txt
oschmitz_activo-informacion2.txt
oschmitz_iso17799.txt
psicologia-seguridad.txt
+
A4609
Norma ISO 17799 Castellano VERSION PUBLICADA A DEBATIR

El resultado del analisis arrojo: 10400 palabras únicas para un total de 129.000 palabras.
A raiz de que la cantidad de palabras no era un numero razonable, para poder trabajar con esta cantidad de palabras, aplique un filtro para quedarme únicamente con las palabras terminadas en: "r", "aba", "ara","ia" y "on" que totalizaron 1200 registros unicos. (volumen asi manejable)

http://es.wikipedia.org/wiki/Modo_gramatical

Un ejemplo de esto puede ser que frente a las palabras
Auditoría - auditar
Consultor - consultar
Seguridad - asegurar
Vulnerabilidad - vulnerar
etc.

2) documentos en ingles (esta linea esta en progreso) pero se obtuvo un documento de análisis con: 15.000 palabras únicas) los textos usados fueron:
ISO 27001
Cobit v4
Incident_and_Problem_Management_Green_Book
CISSP Prep Guide from Krutz and Russell

La lista de palabras esta disponible, pero no publicada asi que los interesados pueden solicitarla enviandome un mail directamente a mi. reconozco que me esta superando la dificultad (por desconocimiento del idioma)

3) análisis de mails enviados a la lista forosi@googlegroups.com, sobre 1900 mails que totalizaron 20.900 "palabras unicas" para uno total de 700.000 "palabras". (en este caso las comillas corresponden a que no todas son palabras, propiamente dichas, ya que al ser extractos de mails, en muchos casos hay malformaciones y además en muchos casos también, se incluye la pregunta original en la respuesta)
A raiz de que la cantidad de palabras no era un numero razonable, para poder trabajar con esta cantidad de palabras, aplique un filtro para quedarme únicamente con las palabras terminadas en: "r", "aba", "ara","ia" y "on" que totalizaron 2550 registros únicos. (volumen asi manejable)

La lista resultante considero que no corresponde hacerla publica, ya que surge de un grupo de discusion en el que a veces se ha volcado información sensible.

Datos de color:

del analisis de frecuencia de FOROSI, rescato lo siguiente (curiosidades)

No 6003
Si 4791
favor 2036
pero 1621
porque 2292
Hola 1365
Cristian 1346
Gracias 1229
yo 687
ni 580
Miércoles 472
Jueves 422
Martes 412
Viernes 380
Lunes 206

Fuente: http://issaarba.blogspot.com

0 comentarios:

Publicar un comentario en la entrada