Términos comúnmente utilizados de forma incorrecta en ciberseguridad

Las palabras son duras. Inglés es difícil. Cómo logramos comunicar cualquier cosa es casi un milagro.

A veces desearía ser Oscar Wilde o Mark Twain o cualquiera de los otros grandes autores que parecen ser capaces de describir sin esfuerzo un personaje o un escenario para que el lector pueda imaginar perfectamente lo que quieren decir.

En cambio, me temo que soy más como Shakespeare, que inventó palabras y tergiversó a otros para que encajaran en su loco metro, de modo que la gente promedio como yo lucha por comprender los significados pretendidos (por cierto, amo a Shakespeare).

Desafortunadamente, mi campo elegido parece estar lleno de compañeros de Shakespeare:personas que usan palabras arrojando sopa de letras a la pared y leyendo los resultados como se leerían hojas de té, solo que con menos precisión.

¿Qué significa eso realmente?

Cuando creé la base de datos de términos de ciberseguridad, que es la columna vertebral del Glosario de ciberseguridad del NIST, me sorprendió la cantidad de confusión que había incluso sobre términos ubicuos como "riesgo" y "seguridad". ¡Todavía no existe un consenso real sobre lo que significa la palabra "ciberseguridad"!

Por lo tanto, he compilado una lista de algunos términos que se usan comúnmente de manera incorrecta en el campo de la ciberseguridad (estas son descripciones no oficiales que están destinadas a ser informativas):

Datos frente a información frente a conocimiento

Datos generalmente se considera los bits y bytes de los que se compone la información. Información convierte varios bits y bytes en algo útil. Por ejemplo, un sensor de temperatura puede leer "102", pero información nos dice que hace 102 grados Fahrenheit en un sensor de temperatura que estaba en la boca de un humano. Conocimiento es lo que permite información para convertirse en acción. Dice que 102 grados Fahrenheit para un ser humano es demasiado calor. Las líneas entre datos , información y conocimiento son borrosos, pero hay algunos que discuten ferozmente esas líneas.

Amenaza frente a riesgo

Una amenaza se usa para referirse a algo malo que podría suceder o una entidad que puede causar que suceda algo malo (también llamado "actor de amenaza"). Riesgo incluye la probabilidad de que suceda algo malo y los resultados potenciales. La gente a menudo (incorrectamente) usa estas palabras indistintamente.

Gestión de riesgos

El proceso de responder a la posibilidad de que suceda algo malo. Generalmente hay cuatro opciones:aceptar el riesgo, transferirlo, evitarlo o mitigarlo. Dependiendo de con quién hable, hay al menos ocho opciones, pero estas son las cuatro tradicionales. Cuando una persona de ciberseguridad habla de gestión de riesgos, es posible que se esté refiriendo al proceso establecido en el Marco de gestión de riesgos.

Ciberseguridad

Básicamente, la protección de los sistemas informáticos (incluidas las redes, Internet y cualquier cosa "inteligente"). Sin embargo, se ha utilizado como un término general que también abarca el aseguramiento de la información, la protección de datos y la privacidad. Es probable que este término siga cambiando hasta que alguien pueda explicar adecuadamente qué es "ciber".

Garantía (o seguridad) de la información

La protección de cualquier hecho, noticia, conocimiento o, a veces, datos, en cualquier forma:papel, electrónico, tableta de piedra, señales, memorizados, etc. A menudo se confunde y se pone bajo el paraguas de la ciberseguridad.

Estándar

Muchas personas llaman erróneamente las publicaciones especiales del NIST como estándares, pero es un poco más complicado que eso. El NIST desarrolla estándares formales:estándares federales de procesamiento de información (FIPS), como FIPS 200 y FIPS 140-3, por ejemplo. NIST también participa en el desarrollo de estándares internacionales y de la industria. La palabra estándar también se puede utilizar para referirse a un nivel de calidad o una norma aceptada. En este último caso, las publicaciones del NIST se utilizan a menudo como estándar . Es una diferencia sutil, pero importante. Aún así, en general, es mejor abstenerse de llamar a las publicaciones especiales (SP) del NIST, informes internos / interinstitucionales (IR), documentos técnicos o cualquier otra cosa que no sea FIPS como estándar y en su lugar utilice los términos "publicación", "documento" u "orientación".

Requisitos frente a controles

Ambos términos se pueden utilizar para identificar actividades, procesos, prácticas o capacidades específicas que una organización puede tener o hacer para gestionar su riesgo de ciberseguridad. Controles puede ser obligatorio o no, mientras que los requisitos generalmente lo son. Siempre es mejor comprobar qué término utiliza un documento. Por ejemplo, muchas personas se refieren a los requisitos de NIST SP 800-171 como controles , que es incorrecto.

Auditoría frente a evaluación

En ciberseguridad, el término auditoría a menudo tiene un trasfondo más formal y negativo que en otras disciplinas. Auditorías se realizan después de un incidente, como una violación de datos (generalmente una auditoría interna), a solicitud de un cliente (generalmente una auditoría externa realizada por el cliente) o para obtener una certificación (una auditoría de terceros). Evaluaciones son típicamente, pero no siempre, más como un chequeo de salud amigable. Abarcando cualquier número de actividades, las evaluaciones pueden ser limitadas o amplias, con tanto rigor como la empresa que se evalúa desee o sea apropiada para la situación. Una excepción a esta regla general es el programa de Certificación del Modelo de Madurez de Ciberseguridad (CMMC), que usa la palabra evaluación como el método formal por el cual se evalúa una empresa.

Cumplimiento

Cumplimiento generalmente se refiere al cumplimiento de un requisito (interno o externo, a veces reglamentario) y, a menudo, se muestra con una certificación o atestación de algún tipo. La gente suele utilizar frases como "compatible con NIST". Esto puede ser engañoso, ya que muchos lo interpretan en el sentido de que el NIST hace cumplir un requisito o certifica o da fe de la seguridad de los productos o procesos de una empresa. Lo que normalmente se entiende por “compatible con NIST” es que la empresa ha utilizado las prácticas y procedimientos de las publicaciones de NIST, a menudo para cumplir con algún requisito. Si bien esto puede verse como un cumplimiento actividad, generalmente es mejor evitar confusiones indicando en su lugar qué regla o requisito es objeto del cumplimiento. Por ejemplo, se puede seguir NIST SP 800-171 para cumplir con DFARS. Una excepción a esto son los algoritmos y módulos criptográficos, en cuyo caso la terminología correcta se valida y cumple indica que el producto en general no ha sido evaluado formalmente.

Las palabras en inglés evolucionan casi tan rápido como los memes en Internet:un millón de habitantes de Shakespeare que llevan el idioma inglés para ser masacrado, manipulado y doblado en un guión apenas reconocible. En el campo de la ciberseguridad, parece que esto se hace con un abandono imprudente. Pero comprender algunos de estos términos clave y cómo se utilizan lo ayudará a comprender y comunicar sus necesidades de ciberseguridad.