Ingeniero
Páginas: 5 (1222 palabras)
Publicado: 11 de marzo de 2013
Ing. Carlos Ormella Meyer y Asoc.
Seguridad de la Información, Redes y Telecomunicaciones
Tel: 54-11-4371-4638 – Cel: (011) 15-6513-2751
E-mail: ciprio@ciudad.com.ar
¿Seguridad informática vs. Seguridad de la información?
© Ing. Carlos Ormella Meyer
La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta
década, muestra algunas visionesdiferenciales y en parte contrastantes en temas de gran importancia
para una empresa.
Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los "especialistas en seguridad"
basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir
del área IT, aunque una parte de ellos también consideran las cuestiones propias del"nuevo" aspecto de
las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.
Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con
vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente
para hablar de los r iesgos correspondientes.
Para un análisis o valuación de riesgos (risk assessment ,RA) aunque se refieran a lo técnico, es
necesario realizar también valuaciones de los activos, así como una identificación de las amenazas q ue
puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden
determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas,
cada uno medido en rangos apropiados de niveles(típicamente 3 para vulnerabilidades, 3 a 5 para
amenazas, y 5 a 8 o aún más para activos).
Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde
mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.
El proceso es tal que, a partir de tales riesgos de características técnicas, el enfoque más eficiente esrealizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie
800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para
establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles
aceptables.
Hasta aquí se puede hablar de seguridad informática . Si bien este término es unabuena traducción del
correspondiente en inglés, information security, el sentido que se ha venido dando a esta problemática
está mucho más cercano a algo como “computer security ” o en todo caso “network security”.
Seguridad de la Información
Últimamente se viene dando el cambio a seguridad de la información como traducción más adecuada de
information security. Pero peso a ello todavía haymuchos especialistas que siguen llamando así al puro
enfoque técnico comentado antes.
En realidad la seguridad de la información es bastante más amplia, ya que no es simplemente una
cuestión técnica sino responsabilidad de la alta gerencia y cuadros directivos de una organización.
En tal sentido hay que tener en cuenta que el ambiente ICT tiende a estar orientado al servicio y actuar
comofunción habilitante de los procesos de negocios. En esto difiere de los procesos centrales mismos de
una organización que constituyen el núcleo de los negocios de una empresa.
De hecho, sin el involucramiento activo de las unidades y líderes de negocio, ejecutivos, directorio y
steering-committee, no puede existir un plan sustentable de seguridad de la información, a partir de los
riesgosdeterminados. Y todo esto dentro del sistema de dirección y control propio de un adecuado
gobierno corporativo, como define la OECD (Organización para la Cooperación y Desarrollo Económico,
OCDE en español) al corporate governance.
Ahora se trata, entre otras cosas, de considerar también la gente, los procesos y funciones de negocio, la
protección de todos los activos/recursos de una organización....
Seguridad de la Información, Redes y Telecomunicaciones
Tel: 54-11-4371-4638 – Cel: (011) 15-6513-2751
E-mail: ciprio@ciudad.com.ar
¿Seguridad informática vs. Seguridad de la información?
© Ing. Carlos Ormella Meyer
La diversidad de ambientes que vienen formando experiencia especialmente desde principios de esta
década, muestra algunas visionesdiferenciales y en parte contrastantes en temas de gran importancia
para una empresa.
Seguridad Informática
Uno de esos temas, entre los más significativos, es que la mayoría de los "especialistas en seguridad"
basan sus conocimientos y experticia solamente en el aspecto técnico tradicional de la seguridad, es decir
del área IT, aunque una parte de ellos también consideran las cuestiones propias del"nuevo" aspecto de
las comunicaciones y que ha hecho que hoy se hable de ICT o TIC.
Pero además del enfoque básicamente técnico, dichos especialistas en realidad sólo se manejan con
vulnerabilidades y en parte también con amenazas bajo la forma de ataques, todo lo cual no es suficiente
para hablar de los r iesgos correspondientes.
Para un análisis o valuación de riesgos (risk assessment ,RA) aunque se refieran a lo técnico, es
necesario realizar también valuaciones de los activos, así como una identificación de las amenazas q ue
puedan aprovechar y explotar las vulnerabilidades de esos activos. Recién entonces se pueden
determinar los riesgos a partir de los tres factores mencionados, activos, vulnerabilidades y amenazas,
cada uno medido en rangos apropiados de niveles(típicamente 3 para vulnerabilidades, 3 a 5 para
amenazas, y 5 a 8 o aún más para activos).
Y si luego se trata de determinar qué se hace con los riesgos, en la mayoría de los casos corresponde
mitigarlos a un nivel aceptable, para lo cual habrá que implementar determinadas medidas de seguridad.
El proceso es tal que, a partir de tales riesgos de características técnicas, el enfoque más eficiente esrealizar un análisis gap contra por ejemplo estándares técnicos como los establecidos por NIST en su serie
800, o bien una norma de enfoque corporativo como la ISO 27002 (anteriormente ISO 17799), para
establecer qué controles y a qué nivel se los debe implementar para reducir aquellos riesgos a niveles
aceptables.
Hasta aquí se puede hablar de seguridad informática . Si bien este término es unabuena traducción del
correspondiente en inglés, information security, el sentido que se ha venido dando a esta problemática
está mucho más cercano a algo como “computer security ” o en todo caso “network security”.
Seguridad de la Información
Últimamente se viene dando el cambio a seguridad de la información como traducción más adecuada de
information security. Pero peso a ello todavía haymuchos especialistas que siguen llamando así al puro
enfoque técnico comentado antes.
En realidad la seguridad de la información es bastante más amplia, ya que no es simplemente una
cuestión técnica sino responsabilidad de la alta gerencia y cuadros directivos de una organización.
En tal sentido hay que tener en cuenta que el ambiente ICT tiende a estar orientado al servicio y actuar
comofunción habilitante de los procesos de negocios. En esto difiere de los procesos centrales mismos de
una organización que constituyen el núcleo de los negocios de una empresa.
De hecho, sin el involucramiento activo de las unidades y líderes de negocio, ejecutivos, directorio y
steering-committee, no puede existir un plan sustentable de seguridad de la información, a partir de los
riesgosdeterminados. Y todo esto dentro del sistema de dirección y control propio de un adecuado
gobierno corporativo, como define la OECD (Organización para la Cooperación y Desarrollo Económico,
OCDE en español) al corporate governance.
Ahora se trata, entre otras cosas, de considerar también la gente, los procesos y funciones de negocio, la
protección de todos los activos/recursos de una organización....
Leer documento completo
Regístrate para leer el documento completo.