Cómo implementar modelos de seguridad de la información


El crecimiento en el uso de la información ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte de todo el análisis de riesgos del negocio. Lo más complicado al momento de integrar los temas de seguridad de la información es que, generalmente, no están enfocados en los objetivos del negocio y sus intereses. Para que un modelo esté en los mismos términos de los objetivos del negocio, debería tener en cuenta tres áreas principales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés.





Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve reflejado en garantizar la protección de los sistemas y la información usada en los procesos de negocio, así por ejemplo si uno de los objetivos del negocio es garantizar un servicio en línea 24/7, el modelo de seguridad debe garantizar que los sistemas estén funcionando, libres de malware que puedan interrumpir o poner lenta la operación, además de protegerlos de ataques externos. Y finalmente un análisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio.

Todos estos lineamientos, apuntan a que el sistema de gestión que se implementa garantice en la información tres características: la integridad, la disponibilidad y la confidencialidad. Estas tres características son fundamentales, y podrían complementarse con otras tres, para formar lo que se conoce cómo el Parkerian Hexad: el control de la información que se refiere a que a pesar que la información se pueda perder esta no sea revelada, la verificación del origen de los datos y la utilidad de los datos. El análisis de la seguridad de la información agregando estas tres características hacen de la gestión un modelo más específico, y puede ser el avance hacía un mayor nivel de madurez en la gestión de la seguridad de la información.

La gestión de seguridad, debe desarrollarse a partir de estrategias, procesos y métricas. La estrategia formada por políticas, estándares y guías son los lineamientos de lo que la organización va a cumplir de acuerdo a los lineamientos de seguridad definidos y adoptados; esta estrategia debe llevar a definir controles de seguridad viables para ser implementados por la organización. Los procesos deben reflejar cómo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qué forma interviene el recurso humano y la tecnología para cumplir con los controles establecidos. Finalmente las métricas van a permitir la retroalimentación de todo el sistema, y van a permitir realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los lineamientos.

La última de las áreas que debe tenerse en cuenta son los grupos de interés (stakeholders) involucrados en la gestión de la seguridad de la información. Todos deben estar al tanto de los resultados, según las métricas definidas, de tal forma que quede claro cómo la gestión de la seguridad aporta a los objetivos del negocio. Esta es quizás el área que más necesite cuidado, pues es la forma de evidenciar el cumplimiento de las expectativas que tiene la organización con la gestión de la seguridad.

Finalmente, la gestión de la seguridad debe existir para soportar las operaciones del negocio y no debe convertirse en parte de los objetivos del negocio. En otras palabras, una empresa a partir de la definición de su misión y su visión, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la información que permita alcanzarlos.

Fuente:
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
http://blogs.eset-la.com/



Otras noticias de interés:

Crimen organizado mayor responsable de robo de datos corporativos
Las amenazas internas y la ingeniería social son otros dos factores que marcan las brechas digitales de las empresas según asegura un estudio de Verizon en colaboración el Servicio Secreto de EEUU....
Las empresas no son conscientes de la fuga de datos
Un estudio de Check Point sobre Personal y Seguridad de Datos revela que la mitad de los trabajadores comienzan sus nuevos empleos utilizando información confidencial procedente de su puesto de trabajo anterior. ...
Robo de usuario y contraseña en Firefox 2.0
Se ha reportado una vulnerabilidad en el navegador Firefox, la cuál puede ser explotada maliciosamente para llevar adelante ataques de phishing....
Tres vulnerabilidades en Webcams Axis
e han confirmado tres vulnerabilidades en las webcams Axis versiones 2100 y 2400. Todas están localizadas en el servidor de vídeo empotrado que utilizan (versiones 2.33 y anteriores)....
Potencial ejecución de código en enlaces de Skype
Todas las versiones clientes de Skype anteriores a la 3.8.0.139, son propensas a un error que permite la ejecución remota de código, comprometiendo el sistema del usuario que utilice una versión vulnerable de este software. ...
Vulnerabilidades en aplicaciones multimedia
Según el Informe de vulnerabilidades del 2º semestre de 2011 emitido por Inteco-CERT, entre los fabricantes más afectados por vulnerabilidades detectadas durante el año pasado se encuentran Sun/Oracle y Adobe....
El control de Internet podría pasar a manos privadas
Expertos internacionales se reúnen para debatir la gestión de la Red, al acercarse el día de vencimiento del acuerdo entre ICANN y el Departamento de Comercio de EEUU....
Exploit Microsoft IIS 5 SSL
Se ha lanzado un nuevo exploits para el Microsoft IIS 5 SSL, que permite que un atacante tenga el acceso del sistema en servidores Microsoft. El Exploits apunta la vulnerabilidad del PCT (Ms04-011) detallada en una actualización de seguridad de la s...
Mozilla a favor de la transparencia y privacidad en la web
Aza Raskin, importante desarrollador en Mozilla y creador de Panorama,ah ideado un conjunto de iconos que está compuesto por 13 imágenes que servirían para indicar si nuestros datos serán usados para otros fines diferentes a los del sitio en si, ...
Adobe publica parche de seguridad urgente
Adobe anunció que hoy 10 de junio estará publicando una actualización para la vulnerabilidad crítica en Adobe Flash, Acrobat y Reader que permite control remoto, de la cual dimos detalles hace unos días. ...

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • implementar
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modelos
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra