Mientras desarrollaba esta otra entrada he llegado a la radical conclusión de que los conceptos de confidencialidad, integridad y disponibilidad, tan y tan recurrentes en esto de la seguridad, empiezan a mostrar síntomas de obsolescencia y/o falta de adaptación a la realidad. Desde que me inicié en el mundillo de la seguridad, hace ya unos añitos, llevo oyendo, leyendo, oliendo ;-), etc. que todo órbita alrededor de estos 3 factores.
Desde una óptica eminentemente técnica, arrastrada históricamente, son conceptos perfectamente aplicables a la situación actual (quizás deberíamos plantearlos en otra dimensión “jerárquica” a modo de simples indicadores). El concepto de "seguridad de la información" que todos entendemos en la actualidad creo que implica otros atributos que la definen con mayor precisión. Personalmente creo que la famosa triada está más que superada a pesar de que de vez en cuando aparece en escena algún que otro “pequeño” desliz ...... (léase caídas de servicios, pérdida de información, etc.).
Por otro lado, durante estos últimos tiempos el tratamiento de la información, en su sentido más amplio, está siendo “regulado” a marchas forzadas. Todas estas normativas a cumplir, tanto nacionales como internacionales mediante estándares, leyes, etc., cubren en mayor o menor medida el respeto y observación de nuestros tres viejos conocidos. Partiendo de esta premisa, ¿qué sentido tiene seguir hablando de estos tres conceptos de forma concreta y específica? Algunos ejemplos en los que su consideración no me cuadra demasiado:
a) Si una empresa obtiene el certificado ISO27001, entiendo que de forma implícita está cumpliendo con estos tres puntos no? Por tanto, considero que un SGSI es una capa superior que engloba estos factores y no tiene ninguna lógica seguir haciendo referencia a estas tres características (a excepción de meros indicadores pero no como aspectos fundamentales del SGSI).
b) En plena época de la más que sobada “cloud computing” no me entra en la cabeza que la disponibilidad sea algo medible o valorable. Esta modalidad de “servicio” debe caracterizarse por una disponibilidad absoluta. El ejemplo que yo pondría es el Sol, la disponibilidad ha sido, es y será del 100% con toda garantía. Alguien se cuestiona este punto?
Por último dejaré para otra entrada cuales podrían ser los substitutos de nuestros queridos objetivos de la seguridad de la información. Creo que ya deben ir pensando en la jubilación .....
Todo esto viene motivado por este estupendo spot publicitario, de lo mejorcito que he visto en los últimos años.
Desde una óptica eminentemente técnica, arrastrada históricamente, son conceptos perfectamente aplicables a la situación actual (quizás deberíamos plantearlos en otra dimensión “jerárquica” a modo de simples indicadores). El concepto de "seguridad de la información" que todos entendemos en la actualidad creo que implica otros atributos que la definen con mayor precisión. Personalmente creo que la famosa triada está más que superada a pesar de que de vez en cuando aparece en escena algún que otro “pequeño” desliz ...... (léase caídas de servicios, pérdida de información, etc.).
Por otro lado, durante estos últimos tiempos el tratamiento de la información, en su sentido más amplio, está siendo “regulado” a marchas forzadas. Todas estas normativas a cumplir, tanto nacionales como internacionales mediante estándares, leyes, etc., cubren en mayor o menor medida el respeto y observación de nuestros tres viejos conocidos. Partiendo de esta premisa, ¿qué sentido tiene seguir hablando de estos tres conceptos de forma concreta y específica? Algunos ejemplos en los que su consideración no me cuadra demasiado:
a) Si una empresa obtiene el certificado ISO27001, entiendo que de forma implícita está cumpliendo con estos tres puntos no? Por tanto, considero que un SGSI es una capa superior que engloba estos factores y no tiene ninguna lógica seguir haciendo referencia a estas tres características (a excepción de meros indicadores pero no como aspectos fundamentales del SGSI).
b) En plena época de la más que sobada “cloud computing” no me entra en la cabeza que la disponibilidad sea algo medible o valorable. Esta modalidad de “servicio” debe caracterizarse por una disponibilidad absoluta. El ejemplo que yo pondría es el Sol, la disponibilidad ha sido, es y será del 100% con toda garantía. Alguien se cuestiona este punto?
Por último dejaré para otra entrada cuales podrían ser los substitutos de nuestros queridos objetivos de la seguridad de la información. Creo que ya deben ir pensando en la jubilación .....
Todo esto viene motivado por este estupendo spot publicitario, de lo mejorcito que he visto en los últimos años.
CITA DEL DÍA: ”La integridad y la confiabilidad no son sinónimos”
No hay comentarios:
Publicar un comentario