Definitivamente, no.

Elegir el servicio con el nivel de calificación más elevado (AAA) es una tentación, sobre todo para los profesionales de la seguridad, que siempre buscan (instintivamente) asumir el menor riesgo posible. Sin embargo, no es, en absoluto, la decisión óptima.

¿Y cuál es entonces la mejor decisión? Pues algo que nos posibilita la calificación: elegir el servicio con las medidas de seguridad (o en otras palabras, con la calificación) que mejor se adecuen a nuestras necesidades. Es decir, deberemos entender para qué queremos usar el servicio TIC que vamos a subcontratar para identificar qué requerimientos de seguridad le son exigibles (en función de las normativas o las políticas internas que le sean de aplicación) y, en consecuencia, qué calificación es la más acorde a nuestras necesidades.

Gracias a los niveles de calificación en las distintas dimensiones (confidencialidad, integridad y disponibilidad) podemos elegir un servicio con diferente grado de exigencia en cada una de ellas y, por tanto, más ajustada a nuestra situación.

De esta forma, seremos más eficientes, puesto que elegir un servicio con un nivel excesivo implica un gasto excesivo, mientras que seleccionar uno insuficiente, supone pagar menos por el servicio, pero también tener un grado de exposición mayor al deseado.

Por lo tanto, debemos evitar la tentación de buscar los servicios con mayor nivel de calificación y realizar un pequeño análisis (leet security lo ofrece de manera gratuita) que nos permita sabes qué calificación es la más acorde a nuestra realidad.

Puedes seguirnos en twitter.com/leet_security

16 de mayo de 2012