Perdón por haberte dejado mi querido amigo blog. No tengo excusas asà que a contar en qué andamos:
Hace casi dos años estoy abocado a tareas relacionadas con la Seguridad de la Información un término que voy a repetir hasta el cansancio de acá en más y que no se confunda con un el subconjunto o subsistema denominado Seguridad Informática. Lejos está ya el tiempo en el que la seguridad pasaba por la tecnologÃa únicamente (Firewalls, Antivirus, IDSs, IPSs, entre otros), hoy debemos pensar no solo en ello sino también en Procesos (Documentación, Cumplimientos normativos, Buenas Prácticas, Estándares) y Personas (Conciencia de Seguridad y riesgos inherentes propios yo dirÃa de la era de la información).
Pero pensemos en un pequeño ejemplo, para aclarar de qué estamos hablando:
En una empresa X se decide dar cierto grado de seguridad a la información considerada crÃtica o sensible y para ello deciden contratarnos como profesionales de seguridad.
Surgen muchas preguntas pero listemos algunas:
Cómo saber cuándo estamos en presencia de información crÃtica o sensible?. Esto nos hace pensar que necesitamos alguna metodologÃa para clasificarla.
Dónde se encuentra dicha información? De aquà surge, que serÃa conveniente contar con algún mecanismo de registro, un inventario tal vez que nos permita saber dónde está esa información, qué sistemas la procesan, en qué medios se almacenan y demás.
Quién maneja / administra / transporta o hace algún uso de esa información? Debemos también identificar a los propietarios de esa información para poder posteriormente definir un control de acceso acorde a sus necesidades.
A qué tipo de amenazas está sometida dicha información? Si es información digital por ej. se realizar copias de resguardo (backups)? Si fuese información impresa por ej. está almacenada en un área o lugar seguro?
El estudio detallado de los riesgos a los cuales está expuesta la información de una organización se conoce como Análisis de Riesgo, el cual puede realizarse de manera cuantitativa y/o cualitativa y sirve como herramienta de gestión para obtener el nivel de seguridad global existente, justificar inversiones, aplicar controles de seguridad acorde y facilitar el arduo trabajo de quienes estamos relacionados con la Seguridad de la Información, entre otras utilidades.
Podemos continuar con esta lista de preguntas, pero me interesa que noten que nunca hablamos de ningún tipo de tecnologÃa. Es que asà debe ser, primero debemos VALORAR la información para posteriormente decidir si vamos a asumir el riesgo, trasladarlo o implementar TecnologÃa, mejorar los Procesos o capacitar a las Personas o las tres cosas.
Espero como siempre haber sido claro y que este post les resulte práctico. Para quien quiera comenzar a transitar el camino de la Seguridad de la Información les aconsejo visitar los siguientes sitios:
http://secugest.blogspot.com/
http://www.iso27000.es/
http://seguridad-de-la-informacion.blogspot.com/
http://blog.infosecman.com/
http://www.segu-info.com.ar/
Además de temas como:
SGSI (ISMS), Gestión de Riesgos, ISO familia 27000, MAGERIT, entre otros.
5 comments:
Bienvenido de nuevo al ruedo papá! Vuelve un grande a la Blogósfera.
Che Matts, decile a Agustin que agregue tu blog al Planet-Nea que es una agregador de los blogs de SI/TI de la región.
Nos leemos.
Mati forma parte de planet-nea desde sus comienzo......
Un abrazo
Welcome back Ing. Silvero!
Creo que hoy en dÃa está claro que es fundamental que todos (profesionales y no profesionales de IT) conozcamos de seguridad de la información, asi que esperamos leerte seguido.
Saludos cordiales.
Para los que no conocen a Marcos, AgustÃn y Hernán, es gente muy grosa en lo suyo y me enorgullece que lean mi olvidado blog. Gracias esto me obliga a escribir.
Saludos.
vieja,volviste a aparecer!. un abrazo grande y a difundir el tema seguridad de la informacion que es importantisimo y que generalmente se deja de lado.
Post a Comment