Hablemos un poquito de la historia de la seguridad de la información. Los profesionales de seguridad de la información de hoy en día aplican estándares internacionales de seguridad como los ISO 270XX, el NIST, CIS Controls (CIS: Center for Internet Security) e inclusive PSI DSS ((Payment Card Industry Data Security Estándar), entre otros. Pero ¿todo esto de dónde viene? ¿Cuáles fueron las bases para la normatividad sobre la seguridad de la Informacion que aplicamos hoy?
Si partimos desde el siglo XX, recordemos que en la primera y segunda guerra mundial se utilizaron sistemas de cifrado, y hablo de cifrado no de encripción, donde el cifrado era tomar unos caracteres o palabras y cambiarlas por otras, para lo cual se utilizaba un libro de equivalencias. Mientras que la encripción de datos se refiere al uso de algoritmos que transforman la información con base en unas llaves de encripción. Los alemanes también inventaron el sistema Enigma para el cifrado de información durante la segunda guerra mundial.
En los años 80 el gobierno de los Estados Unidos creo la colección Arco Iris (Rainbow Series). Esta era una serie de libros y cada uno tenía una pasta o caratula de un color diferente, a través de la cual se podía identificar su objetivo o finalidad. Estos libros definían unos criterios de seguridad dependiendo de su objetivo, como podría ser software, infraestructura o instalaciones:
- El Libro Naranja (The Orange Book) definía los criterios para la evaluación de las confiabilidad y seguridad de los sistemas informáticos clasificándolos con base en unos niveles específicos de confianza a nivel de seguridad.
- El libro Rojo (The Red Book) se enfocó en los criterios para evaluar redes de computadores.
- El libro Amarillo (The Yellow Book) definió guías para mejorar la seguridad de las aplicaciones (software que soporta procesos de negocio).
- El libro Verde (The Green Book) estuvo dirigido a los criterios para evaluar bases de datos.
- El libro Gris (The Gray Book) establecía las guías para definir los requisitos de seguridad a nivel de software.
- El libro Morado o Púrpura (The Purple Book) se enfocó en la seguridad de las instalaciones donde se procesan o almacenan datos sensibles.
Ingeniero de Sistemas, Especialista en Auditoría de Sistemas, con certificaciones CISA, CISM, CSXF y CRISC; CoBiT 5 Certified Assessor y entrenador CobiT 2019. Con más de 25 años de experiencia en importantes empresas nacionales y multinacionales en las áreas de seguridad de la información y ciberseguridad, riesgos y auditoría de sistemas. Evaluador, diseñador e implementador de Gobierno de TI. Experiencia Docente y conferencista internacional. Fue Vicepresidente Internacional de ISACA y del ITGI (IT Governance Institute), miembro del IT Governance Committee de ISACA. Premio John Kuyers Best Speaker / Conference Contributor Award de ISACA.
Debe estar conectado para enviar un comentario.