relatoria
Páginas: 19 (4582 palabras)
Publicado: 23 de abril de 2014
Journal Online
David Eduardo Acosta R.,
CISA, CISM, CRISC,
BS25999 LA, CCNA Security,
CHFI Trainer, CISSP, PCI
QSA, OPST, es consultor en
seguridad de la información.
Pertenece al cuerpo de
Oficiales Profesionales de
Reserva del Ejército Nacional
de Colombia como Teniente.
Trabaja actualmente con
Internet Security Auditors en
Barcelona (España). Puede
ser contactado endacosta@ieee.org.
“Posición Estratégica Defensiva”
en el Campo de Seguridad de la Información
La invencibilidad es una cuestión de
defensa, la vulnerabilidad, una cuestión
de ataque.
—Sun Tzu
Also available in English
www.isaca.org/currentissue
los diferentes conflictos desde un punto de vista
Mucho tiempo lleva hablándose de la
militar: asedio, guerra de trincheras, guerra
aplicabilidad delos pensamientos militares en
convencional, guerra asimétrica, terrorismo,
el ámbito de la seguridad de la información.
guerra de desgaste, etc. (figura 1).
Desde las teorías de Sun Tzu, pasando por la
Figura 1, el asedio de Tiro por parte de
doctrina militar de Clausewitz, se han equiparado
Alejandro Magno (332 a.C.), mostrado en este
los conceptos militares de estrategia, operacióndibujo de 1696, es un claro ejemplo del uso
y táctica con las actividades propias de la
de estrategias de defensa y ataque por parte de
protección y gestión de riesgos de la información.
ambos bandos.1
Igualmente, estos conceptos han sido aplicados
de forma efectiva en áreas tan diversas como la
En este artículo se presentará una revisión
política, el mercadeo, la estrategia empresarial
alconcepto de actitud estratégica defensiva en
y en cualquier escenario donde se presente la
seguridad de la información en una organización.
necesidad de obtener ventaja entre actores con
Bajo esta óptica, se explicará el por qué una
intereses enfrentados.
organización siempre tendrá que asumir la figura
Desde una perspectiva de análisis de
defensiva al estar continuamente expuesta aconflictos, cualquier situación que rompa
potenciales ataques, debido a la limitante de no
un equilibrio de tranquilidad previo o statu
poder desarrollar acciones contraofensivas por
quo (necesidades satisfechas) siempre tiene
cuestiones legales. Se replanteará el uso de los
dos componentes:
Figura 1—El Asedio de Tiro por Alejandro Magno
un componente
ofensivo y un
componente defensivo.Precisamente la
estrategia militar nos
indica cómo emplear
el uno y el otro frente
a determinadas
situaciones con el fin
lograr la consecución
de los objetivos que
motivaron dicha
confrontación. En
función de dichas
estrategias y tácticas,
así como de las
capacidades defensivas
y ofensivas de los
actores involucrados,
se pueden catalogar
©2013 ISACA. All rights reserved. www.isaca.orgISACA JOURNAL Volume 6, 2013
1
controles defensivos actuales y su integración dentro de una
estrategia corporativa, con el fin de poder reaccionar ante una
potencial agresión de forma contundente.
Defensiva y ofensiva en el contexto de seguridad de la
información organizacional
Tal como se ha descrito al inicio de este artículo,
cualquier confrontación cuenta con un agente queactúa
como ofensivo y otro que actúa como defensivo, pudiendo
cambiar sus papeles a lo largo del desarrollo del conflicto.
En una actitud ofensiva siempre se toma la iniciativa y se
desarrollan acciones orientadas a atacar al otro, mientras que
en la actitud defensiva se renuncia a la iniciativa y se espera al
ataque para contenerlo y repelerlo. Cuando el actor defensivo
encuentra laoportunidad de atacar, torna su estrategia en
una defensa activa, mientras que el actor que ataca—al
ser atacado—convierte su ofensiva en ofensiva pasiva. En
palabras de Carl von Clausewitz, la defensiva es “la más
fuerte, con objeto negativo,” y la ofensiva, es “la más débil,
con objeto positivo”.2 Aunque hay bastantes análisis respecto
a cuál de las dos es más efectiva, lo que es cierto es que...
David Eduardo Acosta R.,
CISA, CISM, CRISC,
BS25999 LA, CCNA Security,
CHFI Trainer, CISSP, PCI
QSA, OPST, es consultor en
seguridad de la información.
Pertenece al cuerpo de
Oficiales Profesionales de
Reserva del Ejército Nacional
de Colombia como Teniente.
Trabaja actualmente con
Internet Security Auditors en
Barcelona (España). Puede
ser contactado endacosta@ieee.org.
“Posición Estratégica Defensiva”
en el Campo de Seguridad de la Información
La invencibilidad es una cuestión de
defensa, la vulnerabilidad, una cuestión
de ataque.
—Sun Tzu
Also available in English
www.isaca.org/currentissue
los diferentes conflictos desde un punto de vista
Mucho tiempo lleva hablándose de la
militar: asedio, guerra de trincheras, guerra
aplicabilidad delos pensamientos militares en
convencional, guerra asimétrica, terrorismo,
el ámbito de la seguridad de la información.
guerra de desgaste, etc. (figura 1).
Desde las teorías de Sun Tzu, pasando por la
Figura 1, el asedio de Tiro por parte de
doctrina militar de Clausewitz, se han equiparado
Alejandro Magno (332 a.C.), mostrado en este
los conceptos militares de estrategia, operacióndibujo de 1696, es un claro ejemplo del uso
y táctica con las actividades propias de la
de estrategias de defensa y ataque por parte de
protección y gestión de riesgos de la información.
ambos bandos.1
Igualmente, estos conceptos han sido aplicados
de forma efectiva en áreas tan diversas como la
En este artículo se presentará una revisión
política, el mercadeo, la estrategia empresarial
alconcepto de actitud estratégica defensiva en
y en cualquier escenario donde se presente la
seguridad de la información en una organización.
necesidad de obtener ventaja entre actores con
Bajo esta óptica, se explicará el por qué una
intereses enfrentados.
organización siempre tendrá que asumir la figura
Desde una perspectiva de análisis de
defensiva al estar continuamente expuesta aconflictos, cualquier situación que rompa
potenciales ataques, debido a la limitante de no
un equilibrio de tranquilidad previo o statu
poder desarrollar acciones contraofensivas por
quo (necesidades satisfechas) siempre tiene
cuestiones legales. Se replanteará el uso de los
dos componentes:
Figura 1—El Asedio de Tiro por Alejandro Magno
un componente
ofensivo y un
componente defensivo.Precisamente la
estrategia militar nos
indica cómo emplear
el uno y el otro frente
a determinadas
situaciones con el fin
lograr la consecución
de los objetivos que
motivaron dicha
confrontación. En
función de dichas
estrategias y tácticas,
así como de las
capacidades defensivas
y ofensivas de los
actores involucrados,
se pueden catalogar
©2013 ISACA. All rights reserved. www.isaca.orgISACA JOURNAL Volume 6, 2013
1
controles defensivos actuales y su integración dentro de una
estrategia corporativa, con el fin de poder reaccionar ante una
potencial agresión de forma contundente.
Defensiva y ofensiva en el contexto de seguridad de la
información organizacional
Tal como se ha descrito al inicio de este artículo,
cualquier confrontación cuenta con un agente queactúa
como ofensivo y otro que actúa como defensivo, pudiendo
cambiar sus papeles a lo largo del desarrollo del conflicto.
En una actitud ofensiva siempre se toma la iniciativa y se
desarrollan acciones orientadas a atacar al otro, mientras que
en la actitud defensiva se renuncia a la iniciativa y se espera al
ataque para contenerlo y repelerlo. Cuando el actor defensivo
encuentra laoportunidad de atacar, torna su estrategia en
una defensa activa, mientras que el actor que ataca—al
ser atacado—convierte su ofensiva en ofensiva pasiva. En
palabras de Carl von Clausewitz, la defensiva es “la más
fuerte, con objeto negativo,” y la ofensiva, es “la más débil,
con objeto positivo”.2 Aunque hay bastantes análisis respecto
a cuál de las dos es más efectiva, lo que es cierto es que...
Leer documento completo
Regístrate para leer el documento completo.