Monday, November 10, 2008

Hay que blogear, eso dicen

Perdón por haberte dejado mi querido amigo blog. No tengo excusas así que a contar en qué andamos:

Hace casi dos años estoy abocado a tareas relacionadas con la Seguridad de la Información un término que voy a repetir hasta el cansancio de acá en más y que no se confunda con un el subconjunto o subsistema denominado Seguridad Informática. Lejos está ya el tiempo en el que la seguridad pasaba por la tecnología únicamente (Firewalls, Antivirus, IDSs, IPSs, entre otros), hoy debemos pensar no solo en ello sino también en Procesos (Documentación, Cumplimientos normativos, Buenas Prácticas, Estándares) y Personas (Conciencia de Seguridad y riesgos inherentes propios yo diría de la era de la información).

Pero pensemos en un pequeño ejemplo, para aclarar de qué estamos hablando:
En una empresa X se decide dar cierto grado de seguridad a la información considerada crítica o sensible y para ello deciden contratarnos como profesionales de seguridad.
Surgen muchas preguntas pero listemos algunas:
Cómo saber cuándo estamos en presencia de información crítica o sensible?. Esto nos hace pensar que necesitamos alguna metodología para clasificarla.
Dónde se encuentra dicha información? De aquí surge, que sería conveniente contar con algún mecanismo de registro, un inventario tal vez que nos permita saber dónde está esa información, qué sistemas la procesan, en qué medios se almacenan y demás.
Quién maneja / administra / transporta o hace algún uso de esa información? Debemos también identificar a los propietarios de esa información para poder posteriormente definir un control de acceso acorde a sus necesidades.
A qué tipo de amenazas está sometida dicha información? Si es información digital por ej. se realizar copias de resguardo (backups)? Si fuese información impresa por ej. está almacenada en un área o lugar seguro?
El estudio detallado de los riesgos a los cuales está expuesta la información de una organización se conoce como Análisis de Riesgo, el cual puede realizarse de manera cuantitativa y/o cualitativa y sirve como herramienta de gestión para obtener el nivel de seguridad global existente, justificar inversiones, aplicar controles de seguridad acorde y facilitar el arduo trabajo de quienes estamos relacionados con la Seguridad de la Información, entre otras utilidades.
Podemos continuar con esta lista de preguntas, pero me interesa que noten que nunca hablamos de ningún tipo de tecnología. Es que así debe ser, primero debemos VALORAR la información para posteriormente decidir si vamos a asumir el riesgo, trasladarlo o implementar Tecnología, mejorar los Procesos o capacitar a las Personas o las tres cosas.
Espero como siempre haber sido claro y que este post les resulte práctico. Para quien quiera comenzar a transitar el camino de la Seguridad de la Información les aconsejo visitar los siguientes sitios:
http://secugest.blogspot.com/
http://www.iso27000.es/
http://seguridad-de-la-informacion.blogspot.com/
http://blog.infosecman.com/
http://www.segu-info.com.ar/
Además de temas como:
SGSI (ISMS), Gestión de Riesgos, ISO familia 27000, MAGERIT, entre otros.

5 comments:

Marcos said...

Bienvenido de nuevo al ruedo papá! Vuelve un grande a la Blogósfera.

Che Matts, decile a Agustin que agregue tu blog al Planet-Nea que es una agregador de los blogs de SI/TI de la región.

Nos leemos.

Casiva Agustin said...

Mati forma parte de planet-nea desde sus comienzo......

Un abrazo

Unknown said...

Welcome back Ing. Silvero!
Creo que hoy en día está claro que es fundamental que todos (profesionales y no profesionales de IT) conozcamos de seguridad de la información, asi que esperamos leerte seguido.
Saludos cordiales.

Matías Silvero said...

Para los que no conocen a Marcos, Agustín y Hernán, es gente muy grosa en lo suyo y me enorgullece que lean mi olvidado blog. Gracias esto me obliga a escribir.

Saludos.

pelin said...

vieja,volviste a aparecer!. un abrazo grande y a difundir el tema seguridad de la informacion que es importantisimo y que generalmente se deja de lado.