Cómo implementar modelos de seguridad de la información


El crecimiento en el uso de la información ha llevado a que los temas relacionados con su seguridad cobren gran relevancia dentro de las organizaciones, llevándola a ser parte de todo el análisis de riesgos del negocio. Lo más complicado al momento de integrar los temas de seguridad de la información es que, generalmente, no están enfocados en los objetivos del negocio y sus intereses. Para que un modelo esté en los mismos términos de los objetivos del negocio, debería tener en cuenta tres áreas principales: los lineamientos de seguridad, la gestión de la seguridad y los grupos de interés.





Lo primero que es importante tener en cuenta son los lineamientos que se van seguir. Es decir, considerar las leyes o regulaciones que aplican a la realidad de la compañía y que deben cumplirse dependiendo de las normatividades vigentes en los países donde se desarrolla la actividad de la empresa. Por otra parte alinear la estrategia de seguridad con los objetivos de negocio, lo cual se ve reflejado en garantizar la protección de los sistemas y la información usada en los procesos de negocio, así por ejemplo si uno de los objetivos del negocio es garantizar un servicio en línea 24/7, el modelo de seguridad debe garantizar que los sistemas estén funcionando, libres de malware que puedan interrumpir o poner lenta la operación, además de protegerlos de ataques externos. Y finalmente un análisis de riesgos que permita conocer las principales vulnerabilidades que pueden afectar el negocio.

Todos estos lineamientos, apuntan a que el sistema de gestión que se implementa garantice en la información tres características: la integridad, la disponibilidad y la confidencialidad. Estas tres características son fundamentales, y podrían complementarse con otras tres, para formar lo que se conoce cómo el Parkerian Hexad: el control de la información que se refiere a que a pesar que la información se pueda perder esta no sea revelada, la verificación del origen de los datos y la utilidad de los datos. El análisis de la seguridad de la información agregando estas tres características hacen de la gestión un modelo más específico, y puede ser el avance hacía un mayor nivel de madurez en la gestión de la seguridad de la información.

La gestión de seguridad, debe desarrollarse a partir de estrategias, procesos y métricas. La estrategia formada por políticas, estándares y guías son los lineamientos de lo que la organización va a cumplir de acuerdo a los lineamientos de seguridad definidos y adoptados; esta estrategia debe llevar a definir controles de seguridad viables para ser implementados por la organización. Los procesos deben reflejar cómo se implementa lo que fue definido en la estrategia, por lo tanto deben reflejar de qué forma interviene el recurso humano y la tecnología para cumplir con los controles establecidos. Finalmente las métricas van a permitir la retroalimentación de todo el sistema, y van a permitir realizar ajustes sobre la estrategia y los procesos de tal forma que se cumpla con lo definido en los lineamientos.

La última de las áreas que debe tenerse en cuenta son los grupos de interés (stakeholders) involucrados en la gestión de la seguridad de la información. Todos deben estar al tanto de los resultados, según las métricas definidas, de tal forma que quede claro cómo la gestión de la seguridad aporta a los objetivos del negocio. Esta es quizás el área que más necesite cuidado, pues es la forma de evidenciar el cumplimiento de las expectativas que tiene la organización con la gestión de la seguridad.

Finalmente, la gestión de la seguridad debe existir para soportar las operaciones del negocio y no debe convertirse en parte de los objetivos del negocio. En otras palabras, una empresa a partir de la definición de su misión y su visión, debe establecer estrategias de negocio coherentes que la lleven a alcanzar sus objetivos, y como parte de esta estrategia definir el sistema que garantice la seguridad de la información que permita alcanzarlos.

Fuente:
H. Camilo Gutiérrez Amaya
Especialista de Awareness & Research
http://blogs.eset-la.com/



Otras noticias de interés:

Ataques de inyección SQL acaparan interés
Cada vez son más los piratas informáticos que muestran su interés por llevar a cabo sus acciones delictivas a través de ataques de inyección SQL. Así lo desvela el Informe Hacker Intelligence Initiative realizado por Imperva....
Los criminales explotan sitios legítimos. Que hacer para evitar caer en el engaño de los phishers.
Probablemente usted ha leído muchas advertencias sobre phishing, y se ha vuelto cuidadoso con cualquier correo electrónico que parece venir de su banco o tienda favorita en Internet. Pero si el enlace en él utiliza un dominio legítimo del sit...
Actualización de Adobe Flash Player soluciona 10 vulnerabilidades
Adobe a liberarado una nueva e importante actualización para Flash Player que se caracteriza por resolver 10 vulnerabilidades de seguridad que afectan a todas las versiones del reproductor en Windows, Mac OS X y Linux....
Microsoft publicará trece boletines este martes
En su ciclo habitual de actualizaciones los segundos martes de cada mes, Microsoft ha anunciado que en esta ocasión se esperan trece boletines de seguridad. Afectan a toda la gama de sistemas operativos Microsoft, Internet Explorer, Office, Silverli...
¿Es procedente el despido por navegar en horas de trabajo?
Se convierte esta en la pregunta del millón ya que, a día de hoy, no existe una respuesta única y excluyente que nos permita saber si el uso de Internet y del correo electrónico en el trabajo puede ser causa de despido....
Descubierta una vulnerabilidad en Gmail mediante un email
Un usuario de Gmail, el servicio de correo de Google, ha detectado una vulnerabilidad en el sistema. Este fallo fue descubierto cuanto el matemático Zachary Harris recibió una oferta de trabajo de la propia Google. El problema de Gmail radicaba en ...
Los expertos en seguridad quieren acabar con PDF
Durante la conferencia Virus Bulletin 2010 los expertos en seguridad han votado para abolir el estándar PDF y reemplazarlo por un formato más seguro....
Google y otras 104 compañías te rastrean
Alexis Madrigal realizó un artículo bastante interesante sobre el rastreo que es llevado a cabo por decenas de compañias cuando un usuario navega en la red. A continuación el texto:...
Oracle publica 59 parches críticos
Oracle lanzará hoy 59 parches para cubrir brechas de seguridad que afectan a cientos de sus productos. Del total de vulnerabilidades resueltas mediante esta actualización, 21 se encuentran en productos relacionados con Solaris, el sistema operativo...
El gusano Sober ataca de nuevo
Win32/Sober.L, la última versión de una de las familias de virus de mayor reproducción del 2004, fue detectada este lunes 7 de marzo. NOD32 fue capaz de detectarlo automáticamente a través de su Heurística Avanzada....

Brindanos
un o una


Redes Sociales

Publicidad


Gana Bitcoins desde tu casa

Categorías


Planeta Vaslibre

Blog Roll




Nube de tags

  • anonimato
  • anonimo
  • antivirus
  • apache
  • blog
  • bsd
  • bug
  • centos
  • chrome
  • cifrado
  • computer
  • debian
  • exploits
  • fedora
  • fice
  • firefox
  • forense
  • freebsd
  • gentoo
  • github
  • gnome
  • gnu
  • gpl
  • gtk
  • hack
  • hacking
  • hosting
  • implementar
  • informacion
  • informatica
  • internet
  • isos
  • libre
  • licencias
  • linux
  • linuxmint
  • lxde
  • micros
  • mint
  • mit
  • modelos
  • mozilla
  • mysql
  • noticia
  • opensource
  • pgp
  • php
  • sabayon
  • seguridad
  • system
  • tecnologia
  • thunar
  • thunderbird
  • tor
  • troyanos
  • tware
  • ubuntu
  • underground
  • vaslibre
  • virus
  • viserproject
  • vivaldi
  • vulnerabilidades
  • web
  • website
  • windows
  • xanadu
  • xfce
  • xombra