Ofertas en tecnología

Seguridad de la información: vulnerabilidades comerciales

Altavoz inteligente Echo Dot

Entre los puntos de el intelecto humana que me encanta es la educación. El hombre es con la capacidad de hacer conceptos y concepciones desde sus vivencias y medites; y con eso llega a comprender cosas que, instantes antes, no sabía. ¡Los humanos creamos conocimiento! No obstante, la cabeza trabaja en niveles diferentes, con mayor o menor nivel de conciencia de sus pensamientos, y el saber asimismo sucede en niveles diferentes de conciencia.

Hay un conocimiento racional, intelectual y consciente, que conseguimos reiterar y argumentar, pero que raramente no es muy efectivo. En este campo están aquellas posiciones que entendemos que son adecuadas pero que en la práctica nos cuesta bastante hacer, pues en el fondo no suponemos bastante en ellas.

Por otra parte, hay un conocimiento sensible, algo ilógico y también inconsciente, pero muy efectivo pues radica en un nivel considerablemente más profundo de la cabeza. Este es el saber interiorizado, donde se registran los conceptos que realmente suponemos. El auténtico estudio empieza con la adquisición de conocimiento a nivel consciente, pero unicamente se completa en el momento en que este conocimiento se interioriza.

Pues uno de estos entendimientos, que está en desarrollo de interiorización en mi cabeza, es algo que he ido oyendo y repitiendo durante mi carrera:

La Seguridad de la Información debe estar cerca del negocio, por el hecho de que lo esencial es resguardar el negocio y no la tecnología que lo aguanta.

Siento que solo últimamente estoy comenzando a opinar verdaderamente esto y deseo enseñar aquí una app práctica de este término en entre los temas mucho más áridos en Seguridad de la Información para esos que no están en el área: Análisis de puerta de inseguridad.

El Análisis de Puerta de inseguridad habitual empieza con la decisión del alcance: una compilación de activos tecnológicos esenciales, que comunmente conforman el ambiente productivo de la compañía, apartando lo que está expuesto a Internet de lo que no lo está.

Entonces, con el apoyo de alguna herramienta, estos activos se escanean para detectar elementos obsoletos de los sistemas y configuraciones permisivas que de alguna forma abren brechas para un Ingreso no autorizado o por un corte de servicio no autorizado.

El próximo paso, normalmente automatizado, es clasificar todas y cada una de las fallas de seguridad encontradas en una escala que cambia entre tres y cinco escenarios de criticidad. En la situacion de un análisis mucho más elaborado, asimismo se identifica qué inseguridades se demostró que son explotables por las herramientas libres en Internet y cuáles son inseguridades sin prueba de explotabilidad. ¡Merece la pena rememorar que la sepa de prueba no significa prueba de sepa!

El último paso es priorizar la corrección de las inseguridades, empezando por las explotables de internet, provocando números para todo ello, adjuntado con una sucesión de gráficos con notas de prioridad y objetivos de corrección, para por último llevarlo a nivel ejecutivo y afinar la oratoria. para conseguir patrocinio para el desarrollo de remediación.

Este procedimiento marcha, pero marcha muy mal por el hecho de que lo que describí arriba no resguarda el negocio, sino más bien la tecnología. Desde el comienzo, escogemos la llegada pensando en activos tecnológicos esenciales, sin siquiera meditar exactamente en qué procesos comerciales se ejecutan allí.

El nivel ejecutivo se preocupa por el negocio mucho más que por la tecnología; y es inútil de vincular el peligro tecnológico con el peligro empresarial. Sin esta conexión, toda la oratoria pierde relevancia y el patrocinio del emprendimiento cede a la primera disputa por los elementos con un hecho en la producción o con un emprendimiento empresarial que da retorno económico a la compañía.

Lo que presento ahora es un enfoque realmente basado en el negocio del alcance. Los pasos sugeridos son:

  1. arrimarse a ciertos partes con intereses de negocios. Esta es la piedra angular pues, tal como el ejecutivo no tiene entendimientos sobre la tecnología, carece a ti conocimiento sobre el negocio. ¡La humildad es clave para crear puentes!
  2. Identifique, adjuntado con estos partes con intereseslos macroprocesos de negocio que son críticos y que se ejecutan en sistemas o infraestructura tecnológica.
  3. Cuente, con ellos, los peligros de negocio derivados de desviaciones en estos procesos críticos que tengan la posibilidad de acontecer en los sistemas. Ejemplos serían: «Pago engañoso para malversar dinero de la compañía” o «Cerrar una planta productiva a lo largo de 40 y ocho horas” o todavía «poner predisposición de un contrincante la Chato de los recientes artículos que aún se están construyendo”.
  4. Mapear exactamente en qué sistemas, bases de datos, servidores y equipos de red ejecutan los macroprocesos críticos determinados en el paso [2] y de esa forma determinar la llegada de su análisis de puerta de inseguridad.
  5. Efectuar el análisis técnico y producir el catálogo de inseguridades tecnológicas clasificadas y priorizadas.
  6. Edifique el vínculo entre los conceptos, o sea, enlace cada puerta de inseguridad grave y/o explotable con entre los peligros de negocio mapeados en el paso [3]cruzando el activo de puerta de inseguridad con el activo sobre el que se ejecuta el macroproceso de negocio y conciliando el género de explotación de la puerta de inseguridad con el peligro de negocio del macroproceso respectivo.
  7. Enseñar a nivel ejecutivo exactamente los mismos gráficos, misiones y notas de prioridad, mudando la descripción de inseguridades por la descripción del peligro de negocio que podría producir la explotación de inseguridades.

conexión

Con esto, vas a estar sustituyendo un alegato del tipo:

“Podemos encontrar 3 inseguridades graves que dejan manejar la banco de información del sistema de reembolso de costos”

por algo como:

“Podemos encontrar 3 formas distintas de desviar dinero de la compañía mediante reembolsos de costos fraudulentos que tienen la posibilidad de producirse y realizarse sin la aprobación del gerente, utilizando las debilidades del sistema”.

Semeja ser un mero cambio de alegato, pero no es así. Es un cambio de pensamiento, lo que hace un cambio de lenguaje. En él se deja el lenguaje técnico y se adopta el lenguaje empresarial que, al final de cuenta, es el único que charla y comprende el nivel ejecutivo.

En el momento en que vivimos la experiencia de meditar en la Seguridad de la Información como un Negocio y charlar de la Seguridad de la Información como un Negocio, somos presentes de un resultado tan fantásticamente diferente, que el sentimiento de logro impulsa la interiorización de este término tan esencial: Las inseguridades solo importan en el momento en que están Inseguridades comercialespor el hecho de que la Seguridad de la Información solo es importante en el momento en que establece Seguridad para el Negocio.

Anunciado inicialmente en Blog Ticiano Benetti

Tommy Banks
Estaremos encantados de escuchar lo que piensas

Deje una respuesta

TecnoBreak | Ofertas y Reviews
Logo
Enable registration in settings - general
Shopping cart