La gestión de la seguridad es uno de los procesos que
podemos encontrar en la mayoría de metodologías. Sin embargo el grado de
importancia que se ha ido dando a este proceso ha ido variando a lo largo del
tiempo.
-----------------------------------------
The
security management is one of the processes that can be found in most of methodologies. However, the level of importance that has been given to this process
has been changing over the time.
------------------------------------
Si nos acordamos de la versión 2 de la metodología que más
hablamos, la seguridad se encontraba dentro de otro proceso (el de
disponibilidad), y no tenía entidad suficiente para ser un proceso
independiente. Por aquel entonces la seguridad se basaba únicamente en tres
conceptos
- Confidencialidad
- Integridad
- Disponibilidad
Sin duda los tres son de vital importancia, pero claramente
no son suficientes para una buena gestión de la seguridad.
De hecho en la versión 3, se convirtió en un proceso
independiente, y nos daba ciertas pautas para mejorar las políticas, sistema
gestión, gestión de riesgos, etc. De hecho hay una referencia clara a la ISO
correspondiente, como mejor forma de gestionar la seguridad.
Y una vez que hemos contado un poco de historia, ahora toca
reflexionar cómo podemos agilizar el proceso de seguridad, si fuera posible, y
en qué medida debemos manejar el equilibrio entre seguridad y agilidad.
Para un paranoico como yo, creo que no hay equilibrio. La
seguridad puede agilizarse a través de automatismos, pero nunca reducirla para
tratar de hacerla “ágil”. De hecho, en mi opinión, debe potenciarse, dado que
cada vez más, la seguridad se está convirtiendo en el caballo de batalla (o de
Troya).
En las normas clásicas hablamos de seguridad, pero cuando se
escribieron, prácticamente no había smartphones, lo mismo ocurría con las
App’s. No existían los smartwatches, no se habían inventado los wearables, ni
se hablaba del Internet de las cosas. Es decir, nada relativo a la
ciberseguridad.
Normas actuales como PCI DSS, obligan a realizar hacking
éticos de forma periódica, a realizar escaneos de red. Normas no escritas
recomiendan tener algún soporte para analizar la Darkweb, y ver que se dice de
nosotros. Tener un SOC externo, que realice estas tareas, puede ser altamente
recomendables. Etc.
La seguridad es un proceso que tiene que estar presente en
todos los proyectos desde el inicio, para que puedan tenerse en cuenta las
necesidades desde el primer momento, y no encontrarnos con sorpresas de última
hora.
Concienciar a nuestros usuarios, e incluso a nuestros
clientes, puede ser muy útil para evitar infecciones de malware.
Ya se sabe que sólo hay dos tipos de empresas. Las que son
atacadas, y las que no son conscientes de que están siendo atacadas. Ahora nos
toca posicionarnos en una de las dos.
Aligerar los controles para ser más ágiles, puede
repercutir en consecuencias graves, así que en mi opinión, este proceso debe
estar vivo cada día, incorporando nuevos controles, aún a riesgo de ralentizar
el proceso en sí, y no esperar a una nueva versión que puede llegar entre tres
y cinco años.
Los datos son la nueva moneda de este siglo, y hay que
mantenerlos a buen recaudo y custodiados, así que aquí lo dejo con una
pregunta.
¿Estás seguro que estás seguro?
No hay comentarios:
Publicar un comentario