¿Por qué la seguridad cubriría cosas como desastres naturales?

Todas las demás respuestas están bien. Te voy a ofrecer una perspectiva de seguridad clásica.

• Comenzar un incendio / inundación es un escenario de libro de texto para la penetración / exfiltración física. Las personas bajo estrés tienen menos probabilidades de desafiar a extraños.

• Se puede usar un incendio para destruir pruebas forenses, en particular cuando hay participación de información privilegiada.

• Un terremoto o, de hecho, cualquier desastre natural (como los incendios forestales) es una posible complicación para la seguridad porque la ley y el orden se rompen y el saqueo asoma su fea cabeza.

• La seguridad perimetral contra SVBIEDs es una consideración necesaria en ciertos países y entornos de amenazas. Si un terrorista suicida puede conducir cerca de las paredes de su centro de datos, es su fracaso como asesor de seguridad. De ahí los bolardos, los macizos de flores y las barreras de hormigón.

• La seguridad es una disciplina holística. Cada especialista se preocupa por los fragmentos de la empresa, y por necesidad de la vida pierde de vista el todo. Debe haber al menos una persona que piense en términos del comportamiento del adversario y no su propio casillero. Que, por cierto, es la descripción del trabajo de un consultor de seguridad.

Se trata de la tríada de seguridad clásica; Integridad, confidencialidad y disponibilidad. El último de los cuales sin duda podría sufrir cualquier tipo de desastre natural, por lo que debe incluirlo en su plan de continuidad.

CISSP es una certificación de seguridad de la información , no una certificación de seguridad de la computadora

Seguridad de la información se refiere a la protección de la confidencialidad, integridad, disponibilidad de la información en general . La información no solo se almacena en las computadoras. Se imprimen y almacenan en archivadores, se memorizan y se almacenan en el cerebro de sus empleados. Por lo tanto, además de garantizar que las redes de su computadora estén seguras, debe garantizar la seguridad física de sus instalaciones. Si esos documentos confidenciales son robados o destruidos en un desastre, también es una pérdida de disponibilidad. Si sus empleados venden la información a un competidor, entonces se considera una pérdida de confidencialidad. Es por eso que las políticas y las medidas de seguridad física son importantes.

Incluso si considera que la seguridad informática se limita a tratar con ataques maliciosos intencionales, cualquier forma en que su sistema sea vulnerable a un desastre natural también representa una forma en la que un atacante bien equipado (o inteligente) Podría interrumpir su servicio. Por ejemplo, si un centro de datos es vulnerable a las inundaciones, alguien que quiera desconectarlo podría cortar un tubo de aspersión en el edificio. Por lo tanto, tiene sentido protegerse contra situaciones de desastres naturales como parte de un plan de seguridad general.

Los desastres son tanto un problema de seguridad como mitigar los ataques de denegación de servicio. En los documentos ISC2 (CISSP), la seguridad a menudo está representada por la tríada de la CIA: confidencialidad, integridad y disponibilidad. Las estrategias de recuperación ante desastres y la mitigación de DDOS se refieren al establecimiento y mantenimiento de la disponibilidad.

Lanzaré mi 2c y mencionaré algo que otros no han mencionado específicamente: Planes de Continuidad de Negocios

BCP es una función importante del trabajo de un analista de seguridad y, como tal, el CISSP proporciona una visión general amplia de los problemas que pueden afectar los desastres y las interrupciones. Conocer estos detalles de alto nivel ayuda al CISSP a construir una base para el conocimiento y la mentalidad necesaria para hacer BCP.

Tenga en cuenta que lo que se cubre en el material de CISSP es una visión general amplia y de alto nivel de los temas. Hay mucho, mucho más que un profesional de seguridad necesita saber y considerar para crear y administrar adecuadamente un programa BCP.

Si buscamos en un diccionario uno de los significados secundarios de "seguridad" es:

  

el hecho de que es probable que algo no falle o se pierda

Si bien a menudo pensamos en la Seguridad de la información como guardias, armas y piratas informáticos en gafas oscuras, en realidad se trata de proteger la información de las amenazas. Estas amenazas podrían ser:

• atacantes externos - hackers
• Insiders maliciosos
• desastres naturales
• Problemas técnicos: fugas, cortes de energía
• Errores honestos, como perder un CD lleno de datos
• ¡Mucho más!

La razón por la que CISSP cubre todo esto es que una organización necesita que alguien cuide estos problemas. Resulta que el tipo de cosas que haces para defenderte de las amenazas son bastante similares, por lo que tiene sentido que un departamento se ocupe de ellas.

Voy a darle la vuelta:

La planificación de desastres no es parte de la seguridad, porque la seguridad es parte de la planificación de desastres.

La planificación de desastres, que se compone de prevención de desastres y recuperación de desastres, cubre una variedad de temas (por ejemplo, redundancia, copias de seguridad), incluida la seguridad.

La seguridad de la información se refiere a la protección de la integridad, la confidencialidad y la disponibilidad de la información. Sin poder proteger la información y ponerla a disposición de quienes la necesitan, incluso durante un desastre natural, podría significar el fin de un negocio.

Ayudé a desarrollar Planes de Continuidad de Negocios donde uno de los requisitos críticos era que cierta información tenía que estar (por ley) disponible las 24 horas del día, los 7 días de la semana, los 365 días del año. No se permitió tiempo de inactividad, incluso durante un desastre natural como un terremoto horrible.

No existía una solución simple: se debía realizar un análisis del impacto en el negocio. La información no solo se almacena en las computadoras. A menudo se encuentra dispersa y no solo se encuentra en una ubicación centralizada. Identificar la información crítica que es necesaria para mantener el funcionamiento del negocio es muy complicado. Una vez completada y revisada la identificación de sistemas y componentes críticos. Hay una evaluación de riesgos adicional que debe llevarse a cabo.

Durante grandes desastres naturales, como terremotos o tornados grandes, existe una alta probabilidad de que las instalaciones físicas estén fuera de servicio por algún tiempo. Incluso hubo ejemplos en los que no quedaba ningún edificio o el equipo tenía acceso limitado (de 15 a 20 minutos) para reunir lo que se necesitaba antes de que nadie pudiera volver al edificio. Además, podría planear algunos retrasos, porque tenía que determinarse que los edificios eran lo suficientemente sólidos como para que cualquiera pueda acceder a ellos.

Si es un gran desastre, a dónde va o cómo se realiza la continuidad de las operaciones. Los empleados locales seguramente también se verán afectados por el desastre. Podrían pasar semanas antes de que estén en posición de regresar al trabajo. En el caso de un BCP en el que trabajé, los empleados también se enfrentaron a que sus hogares fueron totalmente destruidos o solo tuvieron unos minutos para entrar a sus hogares y recoger sus pertenencias. Muchos me dijeron que agarraron ropa, cepillos de dientes, documentos de identificación y que tuvieron que dejar otros artículos personales.

Por lo tanto, parte de la estrategia técnica puede ser desarrollar una multitud de opciones dependiendo de la evaluación de riesgos. Puede haber planes para sitios fríos, sitios cálidos y sitios calientes según el presupuesto. Estrategias para proteger los servidores y hardware críticos identificados con RAID, agrupación en clústeres y equilibrio de carga, centrándose en la tolerancia a fallos. Por supuesto, hay protección de datos a través de copias de seguridad y planes para restaurar datos críticos y tenerlos disponibles para ser utilizados por sitios fríos, sitios cálidos y sitios calientes, asegurando que los documentos confidenciales estén protegidos y disponibles para aquellos que requieren la información en todo el tiempo.

Una vez en su lugar, todas estas estrategias, planes y políticas deben revisarse, mantenerse y verificarse. Se requiere mucho personal para estar involucrado y estar atento. Lo único constante es el cambio. Se están implementando nuevas soluciones de hardware y software. Se están modificando los requisitos comerciales y las leyes. Ciertamente puedo entender por qué se menciona. La seguridad de la información se trata de proteger la integridad, la confidencialidad y la disponibilidad de la información.