Cómo implementar modelos de seguridad de la información


El crecimiento en el uso de la información ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte de todo el análisis de riesgos del negocio. Lo más complicado al momento de integrar los temas de seguridad de la información es que, generalmente, no están enfocados en los objetivos del negocio y sus intereses. Para que un modelo esté en los mismos términos de los objetivos del negocio, debería tener en cuenta tres áreas principales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés.





Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve reflejado en garantizar la protección de los sistemas y la información usada en los procesos de negocio, así por ejemplo si uno de los objetivos del negocio es garantizar un servicio en línea 24/7, el modelo de seguridad debe garantizar que los sistemas estén funcionando, libres de malware que puedan interrumpir o poner lenta la operación, además de protegerlos de ataques externos. Y finalmente un análisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio.

Todos estos lineamientos, apuntan a que el sistema de gestión que se implementa garantice en la información tres características: la integridad, la disponibilidad y la confidencialidad. Estas tres características son fundamentales, y podrían complementarse con otras tres, para formar lo que se conoce cómo el Parkerian Hexad: el control de la información que se refiere a que a pesar que la información se pueda perder esta no sea revelada, la verificación del origen de los datos y la utilidad de los datos. El análisis de la seguridad de la información agregando estas tres características hacen de la gestión un modelo más específico, y puede ser el avance hacía un mayor nivel de madurez en la gestión de la seguridad de la información.

La gestión de seguridad, debe desarrollarse a partir de estrategias, procesos y métricas. La estrategia formada por políticas, estándares y guías son los lineamientos de lo que la organización va a cumplir de acuerdo a los lineamientos de seguridad definidos y adoptados; esta estrategia debe llevar a definir controles de seguridad viables para ser implementados por la organización. Los procesos deben reflejar cómo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qué forma interviene el recurso humano y la tecnología para cumplir con los controles establecidos. Finalmente las métricas van a permitir la retroalimentación de todo el sistema, y van a permitir realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los lineamientos.

La última de las áreas que debe tenerse en cuenta son los grupos de interés (stakeholders) involucrados en la gestión de la seguridad de la información. Todos deben estar al tanto de los resultados, según las métricas definidas, de tal forma que quede claro cómo la gestión de la seguridad aporta a los objetivos del negocio. Esta es quizás el área que más necesite cuidado, pues es la forma de evidenciar el cumplimiento de las expectativas que tiene la organización con la gestión de la seguridad.

Finalmente, la gestión de la seguridad debe existir para soportar las operaciones del negocio y no debe convertirse en parte de los objetivos del negocio. En otras palabras, una empresa a partir de la definición de su misión y su visión, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la información que permita alcanzarlos.

Fuente:
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
http://blogs.eset-la.com/



Otras noticias de interés:

Nuevos envíos masivos de troyanos a través de e-mail
Recientemente, se están produciendo envíos masivos de e-mails contenedores de troyanos, que tienen como principal objetivo hacerse con los datos bancarios de los usuarios. En esta ocasión, los ciberdelincuentes han adoptado la imagen de dos compa...
Las redes mal configuradas causan los mayores agujeros de seguridad
Una red mal configurada es a menudo la causa de las brechas de seguridad, según una encuesta de hábitos de hacking que se ha publicado recientemente....
Android y sus 5 peores malware
BitDefender reveló el top-5 de amenazas para dispositivos portátiles con el sistema operativo Android, la versión Google de Linux para Smartphone.....
PODER DE INTERNET EXPLORER SIGUEN DESCUBRIENDOSE BUGS PENDIENTES DE SOLUCIONAR
El bug que teóricamente había sido corregido por Microsoft en uno de sus parches para Internet Explorer, puede seguir siendo explotado en las últimas versiones del popular navegador web. El bug consiste en un supuesto fallo al interpretar archivos...
Las empresas no saben gestionar sus datos
La presión hacia las empresas para que salvaguarden la intimidad y garanticen la seguridad de los datos personales de sus trabajadores cada vez es mayor, pero la complejidad de esta tarea hace difícil que se puedan cumplir estas altas expectativas....
Versión 3.5 del kernel Linux
Esta versión lleva cambios significativos desde mejoras en el rendimiento hasta capacidad de usar SCSI sobre firewire y USB....
El software de Apple es el más inseguro
Por mucho tiempo, un argumento a favor de Apple era que sus equipos y su software eran más seguros que lo que ofrecía la competencia. Sin embargo, las cosas no están andando tan bien en este sentido para la compañía de la manzanita, después de ...
Graves vulnerabilidades en Safari 5
Se han publicado dos vulnerabilidades que afectan al navegador Safari 5 de Apple y que podrían permitir a un atacante remoto realizar un ataque de suplantación (spoofing) y ejecutar código arbitrario....
NUEVA VERSIÓN: W32/Frethem.M/N. Asunto: Re: Your password!
Cuando aún no hemos digerido el virus W32/Frethem.K., ya tenenemos el W32/Frethem.M y N ...... ...
Shumway (renderizar archivos flash) Llegó el fin de Flash?
Pronto podremos decirle adiós a Flash. Shumway es una nueva tecnología desarrollada por Mozilla para renderizar archivos flash basada en tecnologías estándar Web (HTML5 y JavaScript). El objetivo de este proyecto (que aún está lejos de estar li...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • implementar
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modelos
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra