¿Es la seguridad de la información un área de ciberseguridad o lo contrario?

Esta no es una respuesta seria, pero tampoco es estúpida. El artículo sobre CCIS no es realmente bueno, ya que trató de operar con conceptos parciales en un contexto no bien definido.

En el diagrama de abajo, puedes ver que:

• Puedo romper el software, por ejemplo. poner una puerta trasera en ella. El software es esencialmente fórmulas abstractas. Lo que significa que puedo realizar otros estragos algorítmicos, por ej. Fuerza bruta en la base de datos y eludir la seguridad del software.
• Puedo irrumpir en la base de datos, que es básicamente datos, así que simplemente puedo entrar en la construcción y tomar el control de la consola.
• Puedo usar ingeniería social, así que puedo realizar un ataque MITM, por ejemplo, puedo hacer observaciones pasivas de los movimientos de las piernas, etc.

En esencia, hay varias teorías, pero al final la teoría es solo una, y lo que podemos ver aquí es solo una discusión sobre otra, mientras que de hecho son parte de la misma cosa.

La seguridad de la información y la ciberseguridad están destinadas a ser una y la misma cosa. Es solo una vista incompleta de cada lado en el mismo problema, mientras que ninguno de ellos logra proporcionar una imagen real del problema y al intentar hacerlo, argumenta de manera muy tonta como "físico", "virtual", "datos" y pronto. La imagen de abajo trata de abordar esto en una sola imagen, lo cual creo que es un buen ejemplo de que estos dos problemas se pueden resolver como uno solo.

Traerlo como uno puede reducir significativamente el problema a uno mucho más simple (y la imagen de abajo lo hace más fácil de pensar), reducir grandes gastos generales y también hacerlo mucho más versátil.

Lo que actualmente está escrito en Computer Security e InfoSec es solo un montón de cosas redundantes, que a menudo se superponen o tratan de abordar el mismo problema desde un lado diferente, mientras que todavía no toca las cosas más importantes ya que no pertenecen a cualquiera de ellos, con el mejor ejemplo del proceso de desarrollo del software.

Suponiendo que InfoSec y Computer Security solo tienen que ver con "Defender" es un error simple y tonto de la industria. Tiene mucho que ver con hacer software y hardware. Ese fue también uno de los mayores errores cometidos por Microsoft en el pasado, que se ha abordado en algún momento. Y los desarrolladores de software están lejos de saberlo todo. Normalmente necesitan la ayuda de los equipos de seguridad para estar al día con las cosas. Ese es solo uno de los ejemplos.

Por lo tanto, se sabe que la seguridad hoy en día es muy deficiente, y sigue culpando a muchos factores, mientras que no responde a la mayoría de las necesidades básicas y sigue ignorando los principales problemas, piénselo como un comportamiento pasivo-agresivo.

Esto significa que los enfoques actuales son en su mayoría malos y lo que la comunidad puede lograr hasta ahora es confundirse aún más.

Las malas "situaciones de seguridad" generalmente provienen del uso incorrecto de la tecnología, por lo que una de las mejores opciones es volver al tablero de dibujo en lugar de tratar de pensar demasiado en una situación sin salida.

Donde trabajo, nuestro equipo acaba de pasar por el ejercicio de cómo definirnos y lo que hacemos. Leí tu artículo y, si bien estoy de acuerdo con el punto al que me refiero, no quiere definir un paradigma general, porque no tienen intereses creados también.

Pero te daré nuestro contexto ...

Si bien nuestro CISO no está de acuerdo, nos gusta referirnos a nosotros mismos como expertos en ciberseguridad.

De la Wiki :

  

Cyber- se deriva de "cybernetic", que proviene de la palabra griega   κυβερνητικός significa experto en dirección o gobierno.

Dado que nuestra función principal es gobernar todo lo relacionado con la seguridad en la organización, esto tiene sentido. Otras descripciones (InfoSec, DataSec, etc.) son todas extensiones de este gobierno.

Como ejemplo, el equipo de seguridad cibernética ha desarrollado una política sobre quién puede ver NPI (Seguridad de la información), quién puede acceder a NPI (seguridad de datos) y cómo transferirla (Seguridad de comunicación). El equipo de seguridad cibernética hace cumplir esto asegurándose de que el equipo de aprovisionamiento (seguridad de la información) haya proporcionado los controles adecuados para el rol de una persona, los datos se almacenen encriptados, auditados, etc. Equipo (Seguridad de la comunicación).

La mayoría de mis publicaciones hablan de esto, pero lo que principalmente hacen los Equipos de Seguridad es la Gobernanza del Riesgo. Creo que aquí es donde el artículo va mal. Es sexy saber acerca de las vulnerabilidades y las vulnerabilidades, pero eso no es seguridad. Cualquier técnico puede hacer eso con un poco de google. Está en la forma en que gestiona su entorno y cómo se conecta donde entra la verdadera definición de seguridad.

En lo que a mí respecta, estando en la industria de la seguridad de la información durante los últimos 17 años, pueden ser absolutamente lo mismo, solo que ahora mismo, Cyber es la palabra de moda, para a lo que culpo Mr Gibson!

La industria aún se ocupa de la seguridad física, la resistencia, el control de acceso, la disponibilidad, el aseguramiento de la información, la integridad y la confidencialidad, y una gran cantidad de otros dominios, y cambiar el nombre no ha agregado nada, excepto la atención de los medios, FUD y todo. mucha diversión para aquellos de nosotros mayores de cierta edad que recordamos que Cyber significa algo completamente diferente.