Hola, <\/p>\n
Una nota r?pida para daros a conocer un nuevo blog sobre Seguridad y Tecnolog?as de la Informaci?n. <\/p>\n
EDDASEC<\/a> es un blog escrito por Edgard Ansola<\/a> (si no me falla la memoria, tuve el gusto de conocerle en el curso de preparaci?n para el CISSP el a?o pasado) y por Dani<\/a>, al que no tengo el gusto de conocer. <\/p>\n El ?ltimo art??culo de EDDASEC se titula De la candidez a la segurcracia<\/a>, una reflexi?n sobre los modelos de gesti?n de la seguridad. Sobre la segurcracia<\/em>, tal y como la definen los autores, estoy de acuerdo en que la disponibilidad, integridad y confidencialidad son los pilares b?sicos de la seguridad, pero no conviene olvidar, o al menos eso es lo que creo, que conviene a?adir al menos dos aspectos m?s: coste y alineamiento. Coste por motivos obvios, ya que no podemos invertir m?s en seguridad y protecci?n de los activos que el resultante econ?mico provocado por el impacto de un riesgo. Y alineamiento porque los procesos de seguridad tienen que ir de la mano de los procesos de gesti?n organizativos de mayor entidad. <\/p>\n Aunque suene a t?pico, lo cual no me extra?a porque es una sentencia que se repite sistem?ticamente (y muchas veces sin clarificar) en cualquier manual de auditor?a y seguridad, el alineamiento entre seguridad y core business<\/a><\/em> es una realidad, ya que las unidades de una empresa tienen que hablar todas el mismo idioma, y ese idioma no es el idioma de la seguridad ni el de la tecnolog?a, sino el idioma del negocio. Si no sabemos traducir un lenguaje a otro, a duras penas conseguiremos vender<\/em> la necesidad de que haya gesti?n de la seguridad, con lo que adi?s a las dotaciones (econ?micas principalmente) y la credibilidad que la alta direcci?n debe darnos para poder gestionar. Hago este comentario con relaci?n a un fragmento del art?culo donde se dice que:<\/p>\n En algunos lugares, los CIO’s, CISO’s o como queramos llamarles (si con suerte existe esta figura), viven en un estado de casi aislamiento con poca o nula participaci?n en la definici?n de soluciones. B?sicamente se constituye como una l?nea de trabajo vertical (muy centrada en temas t?cnicos) y no transversal a toda la organizaci?n.<\/p><\/blockquote>\n Efectivamente, y por desgracia, as? pasa en muchas organizaciones, pero es precisamente a colaci?n de los factores coste y alineamiento donde la figura de un CIO\/CISO es crucial, por ser el nexo de uni?n ideal entre la direcci?n del negocio y la direcci?n de tecnolog?a. Por supuesto, el CIO\/CISO debe velar por la disponibilidad, integridad y confidencialidad de la informaci?n, pero sin dejar de lado la dif?cil tarea que supone hacer llegar estos conceptos a los que deciden en ?ltima instancia. <\/p>\n Al consejo de administraci?n ni les interesa ni les aporta nada saber si hay que invertir en consultor?a espec?fica para configurar un switch<\/em> Brocade<\/a> o si en vez del Brocade, hay que irse a uno de IBM<\/a>. Lo que les interesa es saber, en su idioma, cu?les son los riesgos y probabilidades de que la informaci?n de su negocio acabe en los rotativos de un peri?dico o en manos de la competencia, porque alguno de esos switches<\/em> est? mal configurado. Acto seguido, cuando hayan comprendido el problema, preguntar?n ?y cu?nto vale esto<\/em>? y cuando vean claramente que, adem?s de mitigar un riesgo, el retorno de la inversi?n<\/a> es positivo, dar?n el visto bueno a la inversi?n en lo que haga falta: consultor?a, equipamiento, personal, etc.<\/p>\n En fin, que al final me acabo yendo por los cerros de ?beda, y yo lo que quer?a era desearos suerte con el blog. Lo seguir? con atenci?n. Bienvenidos ambos a la blogocosa<\/em> :)<\/p>\n Un saludo,<\/p>\n","protected":false},"excerpt":{"rendered":" Hola, Una nota r?pida para daros a conocer un nuevo blog sobre Seguridad y Tecnolog?as de la Informaci?n. EDDASEC es un blog escrito por Edgard Ansola (si no me falla la memoria, tuve el gusto de conocerle en el curso de preparaci?n para el CISSP el a?o pasado) y por Leer texto completo<\/a><\/p>\n","protected":false},"author":1,"featured_media":0,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3,9],"tags":[300,299,302,303,983,301],"class_list":["post-1995","post","type-post","status-publish","format-standard","hentry","category-seguridad","category-tecnologias-de-la-informacion","tag-blog","tag-eddasec","tag-it","tag-security","tag-seguridad","tag-ti"],"_links":{"self":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/1995","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/comments?post=1995"}],"version-history":[{"count":0,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/posts\/1995\/revisions"}],"wp:attachment":[{"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/media?parent=1995"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/categories?post=1995"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.sahw.com\/wp\/wp-json\/wp\/v2\/tags?post=1995"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}