¿Cómo lograr la seguridad de la información?
Al igual que el desarrollo de la seguridad de la información, la tecnología de seguridad de la información también muestra diferentes características en diferentes etapas. En la etapa de seguridad de las comunicaciones, en respuesta a los requisitos de confidencialidad de la comunicación de datos, la investigación y la aplicación de la teoría y la tecnología de la criptografía por parte de las personas han madurado gradualmente. Con el rápido desarrollo de la tecnología informática y de redes, los requisitos técnicos en la etapa de seguridad de la información se centran en los diversos mecanismos de seguridad especificados en la norma ISO 7498-2. La característica común de estos mecanismos de seguridad es la protección estática de la confidencialidad, integridad y disponibilidad de los sistemas de información. Hoy en día, a medida que Internet se ha extendido por todo el mundo, los estándares y especificaciones representados por IATF (Information Assurance Technology Framework) nos han delineado un marco de tecnología de seguridad de la información más completo y extenso. En este momento, la tecnología de seguridad de la información ya no se basa en una única protección, sino en un sistema completo que combina vínculos clave como protección, detección, respuesta y recuperación. En definitiva, las tecnologías de seguridad de la información típicas incluyen:
1). Tecnologías de seguridad física: seguridad ambiental, seguridad de equipos, seguridad de medios;
2). bases de datos Seguridad del sistema;
3). Tecnología de seguridad de red: aislamiento de red, control de acceso, VPN, detección de intrusiones, evaluación de escaneo;
4). seguridad de acceso, filtrado de contenidos, seguridad del sistema de aplicaciones;
5). Tecnología de cifrado de datos: cifrado de software y hardware para lograr la autenticación de identidad y las características CIA de la información de datos;
6). y tecnologías de autorización: autenticación de contraseña, autenticación SSO (como Kerberos), autenticación de certificados, etc.
7). Tecnología de control de acceso: firewall, lista de control de acceso, etc.
8) Tecnología de seguimiento de auditoría: detección de intrusiones, auditoría de registros, detección y recopilación de pruebas.
9) Tecnología antivirus: la tecnología antivirus independiente se ha desarrollado gradualmente; en un sistema antivirus general;
10). Tecnología de copia de seguridad y recuperación ante desastres: tecnología de continuidad del negocio, la premisa es la copia de seguridad de datos.
Resolver los problemas de seguridad de la información y los sistemas de información no se limita a la tecnología, sino más importante aún, a la gestión. La tecnología de seguridad es sólo un medio de control de la seguridad de la información. Para que la tecnología de seguridad desempeñe el papel que le corresponde, debe estar respaldada por los procedimientos de gestión correspondientes. De lo contrario, la tecnología de seguridad sólo puede volverse rígida y fallar. Si la tecnología de seguridad es el material de construcción de la seguridad de la información, entonces la gestión de la seguridad de la información es el verdadero pegamento y catalizador. Sólo mediante la implementación de una gestión de seguridad eficaz en todos los aspectos de la construcción de la seguridad, de principio a fin, se puede garantizar la estabilidad y el largo plazo de la seguridad de la información.
En el mundo real, la mayoría de los incidentes y riesgos de seguridad se deben a una mala gestión más que a razones técnicas. Comprender y prestar atención al papel clave de la gestión en la seguridad de la información es particularmente importante para lograr los objetivos de la seguridad de la información. A menudo decimos que la seguridad de la información consta de tres partes de tecnología y siete partes de gestión, lo que muestra la importancia de la gestión para la seguridad de la información.
Conceptualmente hablando, la gestión de la seguridad de la información, como parte importante del sistema completo de gestión de la organización, constituye la parte activa de la seguridad de la información, es una actividad coordinada para guiar y controlar los riesgos de seguridad de la información de la organización. son los activos de información de la organización.
La gestión de la seguridad implica la evaluación, desarrollo y registro de información por parte de una organización, y la aplicación de políticas, estándares, procedimientos y directrices para lograr la confidencialidad, integridad y disponibilidad. La gestión de la seguridad requiere identificar amenazas, clasificar activos e implementar eficazmente controles de seguridad basados en la clasificación de vulnerabilidades.
La gestión de la seguridad, al igual que otras cuestiones de gestión, también necesita resolver los problemas de organización, sistema y personal. Específicamente, significa establecer una estructura organizacional para la gestión de la seguridad de la información y aclarar responsabilidades, establecer y mejorar un sistema de gestión de la seguridad, fortalecer la conciencia de seguridad del personal y llevar a cabo capacitación y educación en seguridad. Sólo así la gestión de la seguridad de la información podrá incluir planificación de seguridad, gestión de riesgos, planes de emergencia, capacitación en concientización, evaluación de seguridad, certificación de seguridad y otros aspectos.
Cabe señalar que la comprensión de la gente sobre la gestión de la seguridad de la información se profundizó y desarrolló gradualmente después de que la tecnología de seguridad de la información no existiera tantos estándares y especificaciones para la gestión de la seguridad de la información como los que existen para la tecnología de seguridad.
Las más representativas son BS 7799 e ISO 13335.