La sicurezza delle informazioni è una zona di sicurezza informatica o il contrario?

Questa non è una risposta molto seria, ma non è neanche stupida. L'articolo su CCIS non è molto buono in quanto ha cercato di operare su concetti parziali in un contesto non ben definito.

Dal seguente diagramma puoi vedere che:

• Posso rompere il software, ad es. mettici una backdoor. Il software è essenzialmente formule astratte. Il che significa che posso eseguire altre devastazioni algoritmiche, ad es. forza bruta nel database e bypassare la sicurezza del software.
• Posso entrare nel database, che è fondamentalmente dati, quindi posso semplicemente entrare nella costruzione e prendere il controllo della console.
• Posso usare l'ingegneria sociale, quindi posso eseguire un attacco MITM, ad esempio, posso fare osservazioni passive dai movimenti delle gambe ecc.

Quindi, in sostanza, ci sono varie teorie, ma nella teoria finale ce n'è solo una, e quello che possiamo vedere qui è solo una discussione su un'altra mentre in realtà fanno parte della stessa cosa.

Sicurezza delle informazioni e sicurezza informatica sono pensati per essere la stessa cosa. È solo una visione incompleta di entrambe le parti allo stesso problema, mentre nessuno di loro riesce a fornire un'immagine reale del problema e mentre cerca di farlo argomenta in modi molto sciocchi come "fisico", "virtuale", "dati" e presto. L'immagine qui sotto cerca di risolverli in un'unica immagine, penso che sia un buon esempio che questi due problemi possano essere portati come uno solo.

Portarlo come uno può ridurre significativamente il problema in modo molto più semplice (e l'immagine sotto rende più facile pensarci su), ridurre i costi generali e renderlo molto più versatile.

Ciò che è scritto su Computer Security e InfoSec è solo un mucchio di cose ridondanti, molto spesso sovrapposte o che cercano di affrontare lo stesso problema da un lato diverso mentre ancora non tocca le cose più importanti in quanto non sarebbe a nessuno di essi, con il miglior esempio del processo di sviluppo del software.

Supponendo che InfoSec e Computer Security abbiano solo a che fare con "Difendere" è un errore semplice e sciocco del settore. Ha molto tempo a che fare con la creazione di software e hardware. Questo è stato anche uno dei più grandi errori fatti da Microsoft in passato, che è stato affrontato a un certo punto. E gli sviluppatori di software sono lontani dal sapere tutto. Di solito hanno bisogno dell'aiuto dei Team di sicurezza su queste cose per essere aggiornati con le cose. Questo è solo uno degli esempi.

Quindi è noto che la sicurezza oggi è molto scarsa e continua a incolpare molti fattori mentre non riesce ad affrontare anche le esigenze più elementari e ignora i problemi più importanti, pensaci come un comportamento passivo-aggressivo.

Ciò significa che gli attuali approcci sono per lo più cattivi e ciò che la comunità può ottenere finora è di confondersi ancora di più.

Cattive "situazioni di sicurezza" derivano in genere da un uso errato della tecnologia, quindi una delle migliori opzioni è tornare al tavolo da disegno invece di cercare di sovvertire la situazione senza uscita.

Dove lavoro, il nostro team ha appena svolto l'esercizio di come definire noi stessi e ciò che facciamo. Leggo il tuo articolo e mentre sono d'accordo sul punto in cui sta arrivando, non vuole definire un paradigma generale, perché hanno interesse non troppo.

Ma ti darò il nostro contesto ...

Sebbene il nostro CISO non sia d'accordo, ci piace riferirci a noi stessi come esperti di Cybersecurity.

Dal Wiki :

Cyber- is derived from "cybernetic," which comes from the Greek word κυβερνητικός meaning skilled in steering or governing.

Dato che il nostro ruolo principale è governare tutte le cose relative alla sicurezza nell'organizzazione, questo ha senso. Altre descrizioni (InfoSec, DataSec, ecc.) Sono tutte estensioni di questa governance.

Ad esempio, il team di Cyber Security ha sviluppato una politica in merito a chi può vedere NPI (Information Security), chi può accedere a NPI (sicurezza dei dati) e come trasferirlo (Communication Security). Il team di Cyber Security applica ciò assicurando che il team di provisioning (sicurezza delle informazioni) abbia fornito controlli adeguati per un ruolo di persone, i dati siano archiviati crittografati, controllati, ecc. DBA e Server Team (Data Security) e TLS sono configurati dalla rete Team (Communication Security).

La maggior parte dei miei post parla di questo, ma quello che i Security Team fanno principalmente, è Risk Governance. Penso che questo sia dove l'articolo va male. È sexy sapere di vulnerabilità e exploit, ma non è Sicurezza. Qualsiasi tecnico può farlo con un po 'googling. È nel modo in cui gestisci il tuo ambiente e in che modo si connette dove entra in gioco la vera definizione di sicurezza.

Per quanto mi riguarda, essendo nel settore dell'Information Security per gli ultimi 17 anni, possono essere assolutamente la stessa cosa, solo adesso, Cyber è la parola d'ordine della scelta, per di cui do la colpa Mr Gibson!

Il settore si occupa ancora di sicurezza fisica, resilienza, controllo degli accessi, disponibilità, sicurezza delle informazioni, integrità e riservatezza e tutta una serie di altri domini, e il cambiamento del nome non ha aggiunto nulla, oltre all'attenzione dei media, FUD e un intero molto divertimento per quelli di noi al di sopra di una certa età che ricordano che Cyber significa qualcosa di completamente diverso.