(Entrada publicada originalmente en el Blog de Autores de ISACA Journal)
 
Imagine que ha decidido comprarse un coche. Y, por supuesto, la seguridad es realmente importante para usted por lo que considerará las características de seguridad en su decisión de compra.
 
La forma más directa de conocer las características de seguridad de cada modelo es preguntar cuántas estrellas NCAP tiene cada uno. El Programa de Evaluación de Nuevos Coches Global (Global NCAP, por sus siglas en inglés) realiza una investigación independiente y programas de pruebas que evalúan las características de seguridad de los vehículos a motor y su rendimiento comparado y difunde los resutlados al público. Aquellos modelos con mejores sistemas de protección frente a impactos obtienen más estrellas —siendo 5 estrellas lo mejor.
 
¿Significa esto que es imposible sufrir heridas en caso de un accidente? No, por supuesto que no. ¿Significa que tu nivel de riesgo es siempre inferior cuando conduces un vehículo de 5 estrellas? De nuevo, no. Tu riesgo también depende de otros factores (por ejemplo, tu estilo de conducción, las condiciones del tiempo, etc.).
 
Entonces, ¿por qué miramos las estrellas NCAP antes de comprar? Las miramos porque, en las mismas condiciones, es más probable que estemos más seguros / que surframos menos heridas en un coche con más estrellas.
 
El mismo principio puede aplicarse a la evaluación de la seguridad de los servicios TIC según he explicado en mi reciente artículo en el ISACA Journal.
 
El sistema de calificación descrito asigna una etiqueta a cada servicio TIC, dependiendo de las medidas de seguridad que implementa, las condiciones generales del proveedor y los mecanismos de resiliencia existentes. En mi opinión, estas etiquetas deberían proporcionar información sobre las tres dimensiones de la seguridad (confidencialidad, integridad y disponibilidad) porque los requisitos de los usuarios pueden ser completamente diferentes en cada uno de ellos y la etiqueta ha de proporcionar suficiente información a los usuarios para que realicen una buena toma de decisión sobre qué servicio utilizar (si quieren tomar en consideración la seguridad en su decisión, claro).
 
Por tanto, cuando busque un servicio TIC, debería ser sencillo echar un vistazo a su etiqueta de seguridad y saber qué servicio ofrece mejores condiciones de seguridad.
 
Lea el reciente artículo en el Journal de Antonio Ramos:
Security Labeling of IT Services Using a Rating Methodology,” ISACA Journal, volumen 6, 2013.
 
Puedes seguirnos en twitter.com/leet_security

Puedes seguirnos en twitter.com/leet_security

27 de diciembre de 2013