Por un lado "safety" se refiere a los riesgos derivados de eventos accidentales o aleatorios; desastres naturales, errores humanos, accidentes, fallos no intencionados, etc.
Y por otro lado "security" se refiere a los riesgos derivados de un oponente o atacante intencionado; sabotajes, robos, fraudes, etc.
En el mundo de la ciberseguridad es importante tener claras las diferencias, ya que las herramientas y las estrategias son distintas. Por desgracia en castellano el termino "seguridad" es ambiguo y es habitual que las organizaciones confundan sus 2 vertientes.
Muchas organizaciones meten en el mismo saco ambos tipos de riesgos, por ejemplo a la hora de realizar un análisis de amenazas. Lo que suele derivar en una estimación de riesgos no adecuada, sobre todo de cara a prevenir los ataques intencionados.
Me resultan chocantes los análisis de riesgos que determinan bien de forma subjetiva o bien de forma objetiva (pretendidamente), el riesgo de determinados sucesos. Por ejemplo el riesgo de "ataques con malware" (visto en varios análisis de riesgos reales).
Primero estamos metiendo en el mismo cajón todos los tipos de malware, que son muchos. Pero lo peor es que estamos agrupando amenazas muy diferentes; aquellas que provienen de atacantes oportunistas y aquellas que provienen de atacantes dirigidos.
Podemos intentar realizar una aproximación mas o menos acertada de la probabilidad de un ataque oportunista, aunque sea una variable que esta continuamente evolucionando y además depende en gran medida del sector y de la tecnología utilizada.
Pero no podemos evaluar en términos de probabilidad los ataques por parte de un oponente decidido y persistente. Bueno, si podemos dar una cifra, la probabilidad de un ataque de este tipo (si tenemos enemigos dentro de esta categoría) es de un 100% ya que sabemos que van a atacar tarde y temprano. Además sabemos que elementos van a atacar: todos los activos que tengamos expuestos o accesibles de algún modo y principalmente aquellos mas vulnerables.
Es mas, un atacante dirigido va a modificar su estrategia dependiendo de la que tomemos nosotros. Si protegemos un determinado frente, va a tacar por otro lado, de forma que un análisis de riesgos estático quedara rápidamente invalidado.
Si metemos todos los riesgos o todos los atacantes dentro de una misma categoría, vamos a realizar una estimación muy poco acertada de las amenazas reales a las que se va a enfrentar una organización y por tanto no vamos a dimensionar correctamente nuestra estrategia de defensa.
Si queréis ver una "evaluación de riesgos" realmente practica y completa, en el caso de ataques dirigidos, os recomiendo el visionado del siguiente vídeo de Rob Joyce, director del TAO de la NSA:
Os recomiendo apuntar todas sus recomendaciones y evaluar si vuestra organización las lleva a cabo. Si la respuesta es negativa y os enfrentáis a oponentes dirigidos, probablemente alguien no ha hecho un análisis adecuado.
Es cierto que la cosa tiene migas. Mira que el español es rico linguisticamente hablando y el inglés no lo es tanto pero en afinar nos ganan muchas veces. Acabo de descubrir tu página y me parece muy interesante aunque tecnológicamente hablando sea un poco limitado. Un saludo.
ResponderEliminarMuy bueno, excepto por la parte donde dices el significado de los términos "safety" y "security" (en especial el primero), y no das referencias de dónde diablos sacaste el significado de ese término.
ResponderEliminarLo más cercano que he visto a lo que planteas sobre el término Safely es Seguridad Operacional, aplicable al campo de la aviación. No a la informática.
https://es.wikipedia.org/wiki/Seguridad_operacional
Así las cosas, te sugeriría que cuando vayas a asegurar algo, usa referencias bibliograficas, ya que tu post, a pesar de tener un contenido bueno, te encargaste tu mismo de quitarle legitimidad por esta razón.
Claro está. Puedes no hacerlo. Es tu blog. En internet todo el mundo habla M... y no pasa nada.