IT SECURITY MANAGEMENT IT Securiteers – Setting up an IT Security Function
Editorial: Springer
Año: 2010 – 247 páginas
ISBN: 978-90-481-8881-9
www.springer.com
En este sentido, los autores del texto, Alberto Partida –responsable de la sección “Visita Recomendada” de esta revista– y Diego Andina, dos reconocidos expertos españoles con largo recorrido en materia de seguridad de los sistemas de información, proporcionan consejos de gran utilidad a cualquier profesional involucrado en la creación o coordinación de un equipo de Seguridad de la Información.
El prólogo del libro, a cargo de Santiago Moral, actual CISO de la entidad financiera BBVA, se hace eco de las ideas que derivan de la “teoría de la co-evolución”, establecida por Daniel Hunt Janzen en 1980, que han sido aplicadas a la organización de Sistemas de Seguridad de la Información. Esta teoría afirma que los cambios evolutivos en las especies son respuestas al proceso de selección hecho por otras especies, resultado de la adaptación mutua. A partir de esta formulación, el contenido de la obra, según se apunta en el prólogo, puede resumirse en cuatro enseñanzas que son aplicables a cualquier organización humana, y no solamente a los Sistemas de Seguridad de la Información. La primera de ellas es que debemos cambiar a la misma velocidad y ritmo que el ecosistema al que pertenecemos, por lo que si el ecosistema se reorganiza debemos reorganizarnos en la misma dirección y con la misma intensidad. La segunda expresa que debemos trabajar para alcanzar objetivos, sin preocuparnos de quién tiene los medios para conseguirlos. La tercera enseñanza hace referencia a que son necesarias la determinación, la paciencia y la perseverancia para dar pequeños pasos que cada día nos acercarán un poco más a la consecución del objetivo. Por último, en cuarto lugar, se aborda el hecho de que si no conseguimos el objetivo propuesto, nuestro liderazgo desaparecerá, y otros lo asumirán para que sobreviva el negocio.
Con respecto a la estructura del texto, su orden capitular es el siguiente: 1. Vulnerabilidades, amenazas y riesgos en TI; 2. Seguridad y bagaje en TI; 3. La contratación del equipoindividuo; 4. Qué hacer: mapa de ruta de la seguridad TI; 5. Cómo hacerlo: organización del trabajo en “pasos de bebé”; 6. Dinámicas de equipo: construyendo el “sistema humano”; 7. Marketing viral; 8. Apoyo de la dirección: un ingrediente indispensable; 9. Conectividad social para profesionales de seguridad TI; y 10. Presente, futuro y belleza de la Seguridad TI.
CLOUD SECURITY A Comprehensive Guide to Secure Cloud Computing
Editorial: Wiley
Año: 2010 – 358 páginas
ISBN: 978-0-470-58987-8
www.wiley.com
Esta guía intenta ayudar a sacarle el máximo partido al cloud computing minimizando el riesgo. Para ello comienza describiendo las características de la computación en “la nube” y de su arquitectura, para después centrarse en los fundamentos de la seguridad del software en este escenario. En este sentido se hace referencia a conceptos como la confidencialidad, integridad y disponibilidad, así como a los servicios de autenticación, autorización y auditoría, sin olvidar los principios de diseño de seguridad para “la nube” más relevantes.
Asimismo, el libro profundiza en los riesgos para la infraestructura, los datos y el control de accesos en la computación en “la nube” –como el uso inapropiado del sistema, las intrusiones en la red, los ataques de denegación de servicio o el secuestro de sesión– y en los riesgos para los proveedores de servicios en “la nube” –como el ataque de hombre interpuesto o las puertas traseras–. En adición a lo anterior, la guía dedica unas páginas a la implementación de políticas de seguridad, en las que se describen los distintos tipos de políticas que existen; y otro apartado a las funciones que debe desempeñar el Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT).
En su estructura capitular hay espacio para la arquitectura de seguridad para el cloud computing; para el ciclo de vida de la computación en “la nube”; y para los consejos sobre qué servicios se deberían trasladar a “la nube”, qué preguntas se debe hacer a un proveedor de “nube”, o cuándo se debe usar una “nube” privada, una pública, y cuándo una híbrida.
QUANTUM PRIVATE COMMUNICATION
Editorial: Springer
Año: 2010 – 368 páginas
ISBN: 978-3-642-03295-0
www.springer.com
Dichos contenidos son abordados en el libro, a lo largo de nueve capítulos, tanto a partir de puras descripciones teóricas como de aplicaciones prácticas. El primero de estos capítulos intenta construir un modelo de comunicación cuántica privada, por analogía con la teoría de Shannon de comunicación privada, para después presentar una visión de conjunto de la comunicación cuántica privada. El capítulo dos construye una teoría de seguridad cuántica, considerada por el autor un fundamento importante para la comunicación cuántica privada. El capítulo tres introduce algunos preliminares desde el punto de vista de los bits cuánticos, los cuales están asociados con los principios básicos de los mecanismos cuánticos. El cuarto capítulo introduce la distribución de clave cuántica; mientras que el quinto investiga acerca de cómo proteger la confidencialidad utilizando algoritmos de criptografía cuántica. El capítulo seis demuestra principios fundamentales de la implementación de la autenticación cuántica, entre los que se incluyen la verificación de identidad, la autenticación de mensajes, la firma cuántica, y la autenticación de canal. En los dos capítulos que van a continuación, el siete y el ocho, se explica cómo implementar físicamente la comunicación privada cuántica utilizando una señal de fotón única, y valiéndose de señales cuánticas que varían continuamente. El noveno y último capítulo lleva a la práctica los sistemas de comunicación privada clásicos.
