31 octubre 2012

Todas las seguridades

A veces es un poco confuso entenderse con tanta "seguridad". Es un término que significa muchas cosas... y que usamos todavía para más, solo o compuesto. Así que, por si alguien se pierde, aquí hay una breve definición de todos estos conceptos:
  • Seguridad (1): La seguridad entendida en su concepto más amplio sería la que define la RAE, es decir, la cualidad de estar libre y exento de todo peligro, daño o riesgo. Aquí entraría TODO, tanto la security como la safety, es decir, todo lo relacionado con los riesgos laborales, la seguridad patrimonial (cajas fuertes, vigilantes jurado, furgones blindados), la seguridad informática... 
  • Seguridad (2): También se usa el término seguridad como traducción exclusiva del security anglosajón. En este caso dejaríamos de lado todo lo relacionado con la safety (riesgos laborales, integridad física de las personas) y nos centraríamos exclusivamente en la protección expresa. No hay forma de distinguir este uso del anterior, sólo el contexto sirve para identificar una acepción u otra. En este ámbito tenemos la seguridad física, la seguridad lógica, las medidas de seguridad organizativas y/o contractuales, etc. 
  • Seguridad de la información: Se utiliza en muchas ocasiones como sinónimo de la acepción (2) de seguridad, con el fin de que no haya errores de interpretación. Esto es así porque, en la práctica, cubre todas las disciplinas de protección que cubre el concepto security. Sin embargo, no hay que olvidar que el punto de vista de la protección física que subyace en el concepto de seguridad de la información es que se protegen los activos físicos y a las personas principalmente por el hecho de ser contenedores de información, es decir, a causa de la capacidad que tienen para tratar y/o conservar información, más que por el valor intrínseco propio en términos económicos, éticos o de otro tipo. 
  • Seguridad patrimonial: Generalmente se utiliza este término para definir la seguridad aplicada a la protección de bienes patrimoniales y/o personales especialmente valiosos, y que clásicamente ha venido desempeñando la seguridad privada (vigilantes de seguridad, sistemas de video-vigilancia, blindajes, etc.). Normalmente se suele utilizar como sinónimo de seguridad física, y en general no se suele incluir bajo este término la seguridad lógica, aunque esta exclusión es un hecho de facto más que  conceptual. A diferencia del caso anterior, la protección se debe principalmente al valor económico de los activos protegidos. 
  • Seguridad física: Este término se utiliza para definir todas aquellas medidas de seguridad de carácter físico aplicadas a la protección de activos físicos. Normalmente se incluyen tanto los sistemas de limitación y control de acceso físico (vallas, vigilancia, cerraduras, etc.) como los sistemas de control y acondicionamiento ambiental (aire acondicionado, detección de incendios, etc.). Aunque no tiene por qué ser así, se suele centrar más en la protección de activos materiales (equipos, sedes, etc.) que en la protección de personas, quedando habitualmente este último aspecto más relegado al concepto de seguridad patrimonial. 
  • Seguridad lógica o seguridad informática: Se suele utilizar este término para definir todas aquellas medidas de seguridad de carácter informático aplicadas a la protección de activos lógicos (de naturaleza informática), bien información propiamente dicha (ficheros lógicos, bases de datos, etc.) o bien servicios implementados por aplicaciones informáticas. No hay consenso en si la seguridad lógica contempla también las medidas de seguridad operativas ligadas a la informática (todas las relativas a la gestión de los sistemas informáticos) o si dicho concepto se debe limitar sólo a las medidas de seguridad técnicas, y por lo tanto es habitual encontrar ambos planteamientos al lidiar con este término.
  • Ciberseguridad: Este es un término cuya adopción generalizada es relativamente nueva (al menos en el mercado español), aunque su aparición sea mucho más vieja. En muchos casos se utiliza como otro sinónimo de seguridad lógica o seguridad informática, pero en los últimos tiempos su uso se ha extendido de forma matizada, utilizándose para definir la seguridad lógica o informática aplicada específicamente a infraestructuras críticas en particular o a sistemas de control industrial en general. Al igual que en el caso anterior, hay autores que incluyen en dicho concepto las medidas operativas y otros que no lo hacen. 
Conviviendo con los términos anteriores existen otros ámbitos (organizativo, operativo, contractual, gestión de personal) en los que a día de hoy el mundillo de la seguridad no ha acuñado un término específico. No obstante, cada día surgen nuevos usos y modas, de forma que habrá que estar atento a la evolución terminológica, no vaya a ser que este post se quede rápidamente desactualizado...

22 octubre 2012

Cumplimiento ENS

Hoy os quiero hablar de una iniciativa que me han propuesto "apadrinar" (o para ser más exactos, promover): el mini-site www.cumplimientoens.es. La idea es que esta web se vaya convirtiendo, con las aportaciones de todos, en un listado de administraciones públicas inmersas en la adecuación al Esquema Nacional de Seguridad. El objetivo es promover el despliegue del Esquema Nacional de Seguridad entre las Administraciones Públicas, y tratar de ir reflejando en una web de referencia los avances que cada administración vaya llevando a cabo, con la intención de que, cuanto más completo sea el listado, más "verguenza" les entre a todas aquellas administraciones públicas que no aparezcan en él...

Por supuesto, la web no pretende ser un listado oficial, y seguro que habrá inexactitudes, ausencias e incorrecciones... Por éso precisamente está orientada a ser un listado dinámico, de forma que cualquiera pueda aportar y/o corregir la información que aparece en ella. Aunque me temo que, mientras no haya un desarrollo más potente por detrás, el método de notificación es tan sencillo como enviar un correo electrónico a la dirección que aparece en la pantalla de colaboración.  ;-)  Espero que en un futuro la web puede ser bastante más potente, aunque principalmente dependerá del impulso que pueda recibir en forma de contenido. Así que si os gusta la iniciativa, ya sabéis...

18 octubre 2012

Publicada ISO/IEC 27013:2012 - Integración de ISO 20000 e ISO 27001

Esta semana se ha publicado la nueva norma ISO/IEC 27013:2012, una guía de implementación integrada de un SGSI (Sistema de Gestión de Seguridad de la Información) y de un SGS (Sistema de Gestión de Servicios) según las normas ISO 27001 e ISO 20000, respectivamente.

La norma sirve tanto para integrar ambos sistemas de gestión cuando ambos ya existen como para implementar uno de ellos aprovechando la existencia del otro, e incluso para la implementación inicial conjunta de ambos. Una herramienta bastante útil para organizaciones que quieren buscar la eficiencia y eficacia de la integración de ambos sistemas de gestión...

17 octubre 2012

Nos vemos en ENISE 6

El próximo martes 23 y miércoles 24 de Octubre de 2012 se celebra en León la sexta edición de ENISE, el encuentro internacional de seguridad de la información que organiza anualmente INTECO bajo el lema "La Ciberseguridad, un elemento clave para el futuro de nuestra sociedad".

Un año más estaré presente en representación de la empresa en la que trabajo, Nextel, participando en el taller T12 - Retos de ciberseguridad en la modernización de la Administración con la presentación Aprovechando oportunidades, cloud en la e-Administración. En ella contaré cómo muchas Administraciones Públicas están planteándose utilizar los servicios que ofrece el Cloud Computing como una forma de optimizar su inversión TIC, sin ser conscientes de las dificultades legales y prácticas que puede suponer el uso de estos servicios. A lo largo de la ponencia analizaré algunas de estas dificultades y presentaré posibles soluciones a ellas, para cuestionar en última instancia si estas soluciones permiten hacer uso de todos los beneficios teóricos que ofrece el Cloud Computing.

Por la tarde, como no podía ser de otra manera, también asistiré al taller T14 - Encuentro de blogueros de seguridad 2012. En este caso no participaré como ponente, aunque por supuesto estaré entre el público, tratando de aportar mi granito de arena como autor de este blog y colaborador del blog de seguridad de INTECO


Y por la noche... mi intención es disfrutar del excelente turismo gastronómico que se puede practicar por el barrio húmedo. De modo que si a alguno le apetece disfrutar de unas cervezas en compañía, ya sabe dónde puede encontrarme!   ;-)