Doce principios de seguridad de la información para el éxito

La seguridad de la información parece una tarea complicada, pero en realidad no lo es. Saber qué necesita protegerse y cómo protegerlo son las claves del éxito de la seguridad.

Doce principios de seguridad de la información para el éxito

  1. No existe la seguridad absoluta. Con suficiente tiempo, herramientas, habilidades e inclinación, un hacker puede romper cualquier medida de seguridad.
  2. Los tres objetivos de seguridad son: Confidencialidad, integridad y disponibilidad. La confidencialidad significa prevenir el acceso no autorizado. Integridad significa mantener los datos puros y sin cambios. Disponibilidad significa mantener los datos disponibles para uso autorizado.
  3. Defensa en profundidad como estrategia. Medidas de seguridad en capas. Si uno falla, las otras medidas estarán disponibles. Hay tres elementos para asegurar el acceso: prevención, detección y respuesta.
  4. Cuando se los deja solos, las personas tienden a tomar las peores decisiones de seguridad. Los ejemplos incluyen caer en las estafas y tomar el camino más fácil.
  5. La seguridad informática depende de dos tipos de requisitos: funcionales y de garantía. Los requisitos funcionales describen lo que un sistema debería hacer. Los requisitos de garantía describen cómo se debe implementar y probar un requisito funcional.
  6. La seguridad a través de la oscuridad no es una respuesta. La seguridad a través de la oscuridad significa que ocultar los detalles del mecanismo de seguridad es suficiente para proteger el sistema. El único problema es que si ese secreto alguna vez sale a la luz, todo el sistema se verá comprometido. La mejor forma de evitar esto es asegurarse de que ningún mecanismo sea responsable de la seguridad.
  7. Seguridad = Gestión de riesgos. El trabajo de seguridad es un equilibrio cuidadoso entre el nivel de riesgo y la recompensa esperada de gastar una cantidad determinada de recursos. Evaluar el riesgo y presupuestar los recursos en consecuencia ayudará a mantenerse al tanto de la amenaza a la seguridad.
  8. Tres tipos de controles de seguridad: Preventivo, Detective y Responsivo. Básicamente, este principio dice que los controles de seguridad deben tener mecanismos para prevenir un compromiso, detectar un compromiso y responder a un compromiso, ya sea en tiempo real o después.
  9. La complejidad es el enemigo. Hacer una red o un sistema demasiado complejo hará que la seguridad sea más difícil de implementar.
  10. El miedo, la incertidumbre y la duda no funcionan. Tratar de «asustar» a la gerencia para que gaste dinero en seguridad no es una buena manera de obtener los recursos necesarios. Explicar qué se necesita y por qué es la mejor manera de obtener los recursos necesarios.
  11. Se necesitan personas, procesos y tecnología para asegurar un sistema o instalación. Se necesitan personas para utilizar los procesos y la tecnología para asegurar un sistema. Por ejemplo, se necesita una persona para instalar y configurar (procesos) un firewall (tecnología).
  12. La divulgación de vulnerabilidades es buena. Informe a la gente sobre parches y correcciones. No informar a los usuarios sobre los problemas es malo para los negocios.

Estos no son de ninguna manera una solución para la seguridad. El usuario debe saber a qué se enfrenta y qué se necesita para proteger su sistema o red. Seguir los doce principios ayudará a lograr el éxito.

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *