Aplicación de la estrategia militar de defensa en profundiad a las TI

Definición de sistema de gestión de eventos de seguridad de la información y lista de productos que implementan SIEM.

Mis conclusiones tienen tres partes:
- Enfoque organizado a la hora de buscar información
- Mis conclusiones sobre la información
- Mis conculsiones sobre DIIGO

He recopilado 7 documentos que se pueden organizar en:
- Conceptos: clarificar el objeto QUE:
- Buenas Prácticas: recabar distintos enfoques del COMO
- Estándares: profundizar en el COMO de una manera más formal y completa

Considero que siempre hay partir de una buena definición(la de la Wiki). Particularmente, antes de entrar en los estándares, que puede resultar pesados, prefiero ilustrarme con artículos(los dos enlaces de "Buenas Prácticas") que recojan los conceptos de una manera más asequible para una primera toma de contacto. Para luego entrar en los aspectos más formales( ISO 27001, IT BASELINE PROTECTION). Estudiar los distintos enfoques resulta enriquecedor y permite adoptar una perspectiva más completa.

Mis conclusiones sobre la seguridad de la información en una empresa y, en general, en cualquier organización: Dicha seguridad se asienta sobre tres pilares, la alta dirección, los usuarios y las infraestructura TIC. Las amenazas pueden provenir de estos tres niveles. Los estándares permiten sustentar la seguriad informática, haciendo que la alta dirección la valore como un activo del negocio, facilitando a los usuarios unas prácticas seguras con arreglo a su nivel de acceso y que las tecnologías TIC se implanten de manera segura(física y lógicamente). Otra cuestión importante es la Cultura de la Seguridad, que debe de estar integrada en la cultura de la empresa guiando el comportamiento de los recursos humanos.

Diigo me parece una herramienta muy práctica a la hora de realizar investigaciones tanto individuales como en grupo. Resuelve con elegancia el dilema de "adquirir" la información localmente, con le riesgo de que se quede obsoleta. E incluso permite demorar la lectura, ya que un riesgo es del de dispersarse y salirse del tema central de la investigación.
De momento, parece una herramienta más adecuadad para el mundo académico o el ámbito privado. Pues la experiencia me dice que las empresas aún no valoran lo suficiente el tiempo dedicado a la búsqueda de conocimiento en Internet.

Un saludo,
Manuel

"Risk management is the process of identifying vulnerabilities and threats to the information resources used by an organization in achieving business objectives, and deciding what countermeasures, if any, to take in reducing risk to an acceptable level, based on the value of the information resource to the organization"

Esta página habla de la Gestión del Riesgo en las TIC así como sus marcos de trabajo más aceptados: ISO 27005 y NIST SP 800 30.

En inglés. Catálogos con la línea base de la protección TIC elaborados por la Oficina Federal de la Seguridad de la Información Alemana.

Algo que me gusta de esta página es que ofrece enlaces a documentos elaborados por organizaciones aplicando ISO27001. Como la guía ANIXTER para cableado o directrices del ISACA. Estas aportaciones pueden ser un punto de partida a la hora de aplicar el estándar.

"el decálogo de las mejores prácticas recomendadas actualmente para un manejo más integral, estratégico y proactivo de la seguridad"

Es un seminario que comenta "Buenas prácticas" y "Malas prácticas", en materia de seguridad informática en las organizaciones, desde el punto de vista de la gobernanza TIC, las personas y las teconologías.