Gestionando los Riesgos
Nota de Segu-Info: todos los documentos de NIST pueden descargarse de nuestra sección de Guías de Seguridad.
En este apartado quiero compartir distintos conceptos que cada día van tomando mayor importancia, entre otros factores, debido a la importancia que asignan las distintas regulaciones en torno a la seguridad de la información y la transparencia de su utilización.
Muchas personas consideran que "hacer seguridad" es instalar un firewall, un antivirus, o cualquier otra aplicación destinada a una función particular.
La actualidad está demostrando que la seguridad se debería profundizar desde el marco metolodólogico de un plan integral. Esto no quiere decir que las aplicaciones no sean necesarias, sino que las aplicaciones ayudan en la gestión, pero la gestión debe basarse en el marco de un programa de seguridad con un objetivo claro, alineado con los objetivos estratégicos de la Compañía.
En sintesis, hacer seguridad es "gestionar los riesgos", y les voy a dar mi opinión acerca de esta reflexión:
En cada decisión que tomamos estamos evaluando riesgos y decidiendo distintas medidas para remediarlo, transferirlo, aceptarlo o evitarlo. En estas decisiones cotidianas estamos gestionando riesgos, desde la definición de un sistema de control de accesos, hasta la correcta segregación de funciones en los roles de una aplicación, pasando por la definición de distintos ambientes para las distintas tareas que se deban realizar sobre una aplicación. Siempre estamos evaluando riesgos, y producto de las decisiones, gestionándolos.
Entiendo que esta debería ser la forma de interpretarlo, porque he conocido casos en los cuales la seguridad "se busca" a través de análisis aislados, de problemas aislados, con soluciones independientes entre si, cada una de ellas con diferentes criterios, y realmente este escenario lo único que genera es que no exista un verdadero plan integral.
Para quienes quieran consultar documentación al respecto de como gestionar los riesgos a través de un programa de seguridad, recomiendo el siguiente documento:
Information Security Handbook - A Guide For Managers / NIST :http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
Fuente: http://securetech-informacion.blogspot.com/2007/11/gestionando-los-riesgos.html
En este apartado quiero compartir distintos conceptos que cada día van tomando mayor importancia, entre otros factores, debido a la importancia que asignan las distintas regulaciones en torno a la seguridad de la información y la transparencia de su utilización.
Muchas personas consideran que "hacer seguridad" es instalar un firewall, un antivirus, o cualquier otra aplicación destinada a una función particular.
La actualidad está demostrando que la seguridad se debería profundizar desde el marco metolodólogico de un plan integral. Esto no quiere decir que las aplicaciones no sean necesarias, sino que las aplicaciones ayudan en la gestión, pero la gestión debe basarse en el marco de un programa de seguridad con un objetivo claro, alineado con los objetivos estratégicos de la Compañía.
En sintesis, hacer seguridad es "gestionar los riesgos", y les voy a dar mi opinión acerca de esta reflexión:
En cada decisión que tomamos estamos evaluando riesgos y decidiendo distintas medidas para remediarlo, transferirlo, aceptarlo o evitarlo. En estas decisiones cotidianas estamos gestionando riesgos, desde la definición de un sistema de control de accesos, hasta la correcta segregación de funciones en los roles de una aplicación, pasando por la definición de distintos ambientes para las distintas tareas que se deban realizar sobre una aplicación. Siempre estamos evaluando riesgos, y producto de las decisiones, gestionándolos.
Entiendo que esta debería ser la forma de interpretarlo, porque he conocido casos en los cuales la seguridad "se busca" a través de análisis aislados, de problemas aislados, con soluciones independientes entre si, cada una de ellas con diferentes criterios, y realmente este escenario lo único que genera es que no exista un verdadero plan integral.
Para quienes quieran consultar documentación al respecto de como gestionar los riesgos a través de un programa de seguridad, recomiendo el siguiente documento:
Information Security Handbook - A Guide For Managers / NIST :http://csrc.nist.gov/publications/nistpubs/800-100/SP800-100-Mar07-2007.pdf
Fuente: http://securetech-informacion.blogspot.com/2007/11/gestionando-los-riesgos.html
0 Comments:
Publicar un comentario
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!