Si no tienes claridad en qué requiere el negocio para operar, está difícil que definas la seguridad requerida porque no sabes exactamente lo que hay que proteger. Hasta aquí es algo obvio.
También necesitas saber qué va a pasar "arriba de los fierros", para entender al negocio y no solo estar protegiendo bits y bytes sin saber qué está pasando "arriba". De otra forma puedes proteger de más o al contrario: de menos.
Así pues, el primer paso es que se tenga una definición de lo que un área de negocio necesita para que una TI le funcione, y ya luego el área de seguridad puede evaluar ese requerimiento y definir los controles de seguridad para proteger esa nueva infraestructura tomando en cuenta diversos factores como riesgo, políticas internas y cumplimiento de un tercero, controles existentes, etc.
Al final hay que tener un balance entre el requerimiento de negocio y la seguridad definida, y ante un choque entre ambos mundos, tener identificado a alguien o un área que asuma el riesgo por tener algo que le funcione al negocio con baja seguridad, o un esquema que no cumple al 100 con los requerimientos del negocio pero con una seguridad adecuada.
lunes, 4 de mayo de 2020
Suscribirse a:
Enviar comentarios (Atom)
No hay comentarios:
Publicar un comentario