Seguridad: ¿Por donde empezar? (I)

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************

Categoría: Seguridad de la Información
Seguridad Informática

Cuando uno se plantea definitivamente que esto de la seguridad le mola de verdad y quiere que pase de ser su hobby a que forme parte de su vida cada día pasando a ser su trabajo comienza a bucear y tras 15 googleminutos da con ISACA, quizá antes. Uno piensa, mmm esto parece un buen punto de partida y realmente lo es, pero no os confundáis, sacar el certificado CISA no te enseña a auditar. CISA te provee de un conjunto consistente de conceptos que te permiten afrontar con los conocimientos suficientes las diferentes áreas de la seguridad de la información y la seguridad informática a nivel conceptual. Y por qué digo lo de la seguridad de la información y la seguridad informática?, pues porque aunque suenan parecido se parecen en bien poco. La seguridad de la Información se entiende desde un punto de vista global a nivel de negocio mientras que la seguridad informática se decanta por el lado técnico. Haciendo una puesta en común con la ISO 27001, la seguridad de la información iría en consonancia con la norma al completo mientras que la seguridad informática equivaldría a profundizar en algunos controles puntuales de los puntos 10,11 y 12 de la norma. Un ejemplo bien claro lo supone el control 12.6.1 "Control de las vulnerabilidades técnicas" en el que se enmarcaría un Hacking ético.

Cuando uno da con ISACA además de CISA descubre CISM y el recientemente creado CGEIT que se situan en diferentes niveles de conocimientos como el propio desglose de sus siglas muestra (CISA tiene un enfoque de auditor, CISM de Manager de Seguridad de la Información, lo que se conoce como CSO y CGEIT una visión a nivel estratégico que podemos considerar emparejada a ISO 38500, y con emparejada me refiero a que tratan conceptos a nivel de Gobierno de las Tecnologías de la Información cada uno desde su lado). Tras unos googleminutos más uno encuentra (ISC)2 y su certificado CISSP que estando más orientada al plano técnico no deja de lado aspectos importantes del plano organizacional tal como muestran sus secciones "Business Continuity and Disaster Recovery Planning" e "Information Security and Risk Management".

Siguiendo en el plano de seguridad de la información pero adentrándonos en las normas y estándares internacionales podemos encontrar la bien conocida ISO 27001 (de la familia 27000 la norma que regula los conceptos es de descarga libre y esta disponible a partir de aquí) que regula los requisitos de certificación para un Sistema de Gestión de Seguridad de la Información, ISO 19011 que supone las directrices de auditoría para cualquier sistema de gestión.

Profundizando en el apartado 14 de ISO 27001 podemos encontrar BS 25999, que consta de dos partes: BS25999-1 donde se describen un conjunto de buenas prácticas (el equivalente a ISO 27002 pero para continuidad de negocio) y BS25999-2 donde se definen los requisitos para un BCMS (Business Continuity Management System) y que equivaldría a ISO 27001, la parte certificable. Lo cierto es que podemos perdernos si nos vamos por los laterales puesto que podemos encontrar normas de ámbito más específico como la ISO 15408 muy bien descrita en este post y cuyo cometido es clasificar el desarrollo seguro de un software en 7 niveles dando un significado claro del nivel de seguridad ofrecido por una solución comercial. O el estándar ANSI/TIA 942 sobre ubicación del CPD y niveles de disponibilidad.

No quiero enredar más, en la siguiente parte del post os ofreceré las conclusiones que yo he podido sacar hasta el momento de forma más clara pero, en lo que respecta a seguridad de la información lo descrito hasta el momento es un buen comienzo.

******************************************************
Seguridad: ¿Por donde empezar? (I)
Seguridad: ¿Por donde empezar? (II)
******************************************************