Estimados profesionales con interés en la seguridad informática, se me hace necesario establecer un concepto, del cual yo no tenia muy bien claro, antes de realizar mi investigación de tesis, un problema que quizas los interesados tampoco lo entienden, el concepto clásico , de la administración de la seguridad informática, leido en libros, en sitios en internet y sobre todo en las listas o grupos de profesionales definen los siguientes puntos:
- Confidencialidad
- Integridad
- Disponibilidad
Existen dos elementos más que no son cuantificados como básicos en un proceso de seguridad:
- Auditoria
- Identidad
Pero actualmente no basta con estas directrices en la que debemos enfocarnos, la seguridad en si es muy amplio y existen muchos puntos donde debemos enfocarnos.
Despues de tanto leer e investigar lo que me quedó como un super concepto considero que para tratar este tema, se debería revisar y tener en cuenta el concepto de Gobierno de la Seguridad de la Información, como el conjunto de directrices estratégicas, controles operacionales y formación de personal, donde se especifiquen las necesidades de la gerencia sobre el tema de seguridad, para así generar valor en sus procesos de negocio.
En este sentido, establecer un gobierno de la seguridad de la información, no es solamente aplicar el ISO17799 (Estándar Internacional, define la información como un activo que posee valor para la organización y requiere por tanto de una protección adecuada. El objetivo de la seguridad de la información es proteger adecuadamente este activo para asegurar la continuidad del negocio, minimizar los daños a la organización y maximizar el retorno de las inversiones y las oportunidades de negocio.)
No basta con el estándar ISO17799, sino precisamente apalancar la función de seguridad de la información en el contexto de las inquietudes de la gerencia y expectativas de los individuos de la organización, y así, a partir de la misión que se le defina al área de seguridad, se pueda contextualizar las buenas prácticas sugeridas por los estándares y guías.
Un tema interesante del cual hay mucho que hacer, realmente ahora no solo basta que la gerencia o el area de sistemas o de seguridad, personal involucrado en el problema, deba tener conocimiento, de los riesgos, amenazas, etc.; si no que se debería hacer de conocimiento a toda la organización con esto quiero decir a todo el personal fomentando la cultura de seguridad, la disciplina en seguridad que ayuden a la buena gobernabilidad de la seguridad de la información.
Espero que estos comentarios sirvan y cualquier pregunta del tema con todo gusto. Y si hay mas por aclarar no duden en comentarlo…