09 noviembre 2007

La función de seguridad

Cuando una referencia es buena, no es necesario comentarla demasiado. Ese es el caso de este post, en el que el autor describe cómo se puede articular la función de seguridad. Inicialmente describe su composición, posteriormente analiza sus posibles ubicaciones en el organigrama y finalmente estudia las ventajas e inconvenientes de su desarrollo en modo centralizado o distribuído. La verdad es que el análisis es muy completo, y creo que sólo es necesario hacer una puntualización.

La puntualización es, sencillamente, el título del artículo. En él se hace referencia a la función de seguridad informática, aunque en el desarrollo del mismo en muchos casos se excede este alcance. Este es un aspecto que a mí, personalmente, me fastidia bastante. Es cierto que la seguridad de la información recae en buena medida en el ámbito informático, pero si realmente se desarrolla por completo esta función, una parte importante de su actividad debería desarrollarse también fuera de él. Por eso en el título de mi post me he "comido" la última palabra. Porque en caso contrario los conflictos de intereses no sólo se producirían dentro del área de sistemas, sino sobre todo en el exterior, ya que desde un área técnica se deberían realizar prescripciones de aspectos que en absoluto tienen que ver con los ámbitos técnicos.

4 comentarios:

José Manuel dijo...

Creo que el peor enemigo de la SEGURIDAD con mayúsculas es atomizarla en familias. Los beneficios de combatir las amenazas de una forma integral son evidentes. Nada peor que cuando cada persona de una organización gestiona "pequeños trocitos" de seguridad. Quiero también dejar claro que la seguridad física es denominada así SOLAMENTE por los informáticos. Los especialistas en Seguridad preferimos llamar a todas estas familias Seguridad Patrimonial porque el objetivo último es gestionar los riesgos para el patrimonio estratégico de la Entidad, entre los que ocupa un lugar muy importante la información, pero no exclusivo. Piénsese en todos los riesgos patrimoniales de carácter antisocial como el atraco, robo, hurto, vandalismo, estafas, falsificaciones, etc. También se olvida el autor de otros riesgos como el riesgo para las personas: VIP's, riesgo para los clientes o riesgos laborales para los trabajadores.NO es verdad que las medidas de seguridad sean siempre de carácter informático y tampoco es verdad que los responsables de la mal llamada seguridad física por el autor no estén cualificados en tecnología de protección de carácter informático. Y tampoco olvide que una de las funciones más importantes de los responsables de Seguridad de una Entidad es la prevención, pero también la protección, o lo que es lo mismo detener a los delincuentes y pornerlos disposición judicial, función para la que obviamente no están nada cualificados los informáticos.

José Manuel García es Director de Seguridad Integral de una Entidad finaciera española.

Anónimo dijo...

Coincido totalmente con el comentario del post referenciado.
Creo que lo correcto es decir "Seguridad de la Información" y no “seguridad informática” de esa forma se incluye a toda la información, objetivo principal a proteger, lo de informática es limitar la seguridad, en muchas organizaciones hay información que no esta en un medio digital y puede ser confidencial y critica para el negocio.



http://seguridad-informacion.blogspot.com

Joseba Enjuto dijo...

Es cierto que en muchas ocasiones la seguridad está fragmentada. Precisamente por eso me parece fundamental estructurar adecuadamente la función de seguridad, ya que en muchas ocasiones se vertebra con personas de distintas áreas cuya coordinación no siempre es óptima. Sin embargo, lo importante es empezar a dar pequeños pasos, porque creo que la mayor parte de las empresas (grandes o pequeñas) están todavía lejos de llegar a una gestión de la seguridad que contemple desde seguridad informática hasta riesgos laborales (safety) o acciones judiciales. Y como primer paso creo que es importante que el término security empiece a estar realmente ligado a información, y no sólo a informática.

Anónimo dijo...

Honestamente como Encargado de TI manifiesto que le personal de Seguridad de la Información esta muy desprestigiada, ya que en su mayoria son una tropa de imeptos que quieren criticar tooooodo lo que que pueden sin embargo cunado se les pregunta y que sugieren, no tiene idea y ademas se empeñan en gastar miles de dolares en soluciones que simplemente les muestran los logs en formatos bonitos por que no entienden un ápice de lo que los equipos generan nativamente.