El termino Security 2.0 lleva casi 10 años que se dio a conocer y está relacionado con orientar la seguridad informática a servicios integrales de seguridad. Esto nos permite tener métricas y mediciones con respecto a la seguridad en las organizaciones.

Para Symantec el Security 2.0 no es una aplicación o un servicio nuevo. Es la integración de software, servicios y alianzas que permiten proteger nuestro activo más preciado, la información, así como nuestras interacciones.

Según Thompson de Symantec, lograr esta confianza supone un nuevo enfoque, como el que presenta Security 2.0:
“En el corazón de este nuevo producto se encuentra el concepto de que el campo de batalla de la seguridad ya no está formado solamente por el dispositivo (como era el caso en Security 1.0), sino que ahora lo forman la información y las interacciones,”

Pete Herzog también comparte su punto de vista respecto: Security 2.0 tiene que ver con el cumplimiento (compliance) y la auditoría. Son las diferentes maneras de estar seguros de que algo es seguro, pero los medios en su mayoría son pobres. Gran parte del cumplimiento (compliance) se centra en la aplicación de la Seguridad 1.0.

En la actualidad el poder cumplir con los estándares y mejores prácticas, que leyes o instituciones marcan y rigen se ha convertido en la fuerza motriz que mueve la seguridad en el mundo. Cuando hablamos de ser ITIL Compliance, SOX Compliance, PCI Compliance o el estar certificados en algunos de los dominios del ISO 27001, etc, nos referimos a una manera de medir la seguridad 2.0. Esto es muy ambiguo y peligroso, si la preocupación por la seguridad se basa en pasar una auditoria y/o certificación estamos perdiendo el espíritu mismo de la seguridad y por lo tanto de la seguridad 2.0.

La seguridad 2.0 se basa en llevar el aseguramiento de la información no solo en tecnología como pueden ser firewalls, IDP/IPS, antivirus etc, si no verlo en tres grandes aspectos:

• Procesos y Procedimientos
• Gente(Personas)
• Tecnología

Procesos: Son grupos de actividades repetitivas e interrelacionadas encaminadas a producir mediante una o más transformaciones, una salida de mayor valor que las entradas.

Tecnología: Todo dispositivo de hardware, software que se implementa como controles para salvaguardar la confidencialidad, disponibilidad e integridad de la información.

Gente: Se refiere al personal que opera la tecnología basada en los procesos de la organización.

Para explicar este concepto usare un ejemplo real. Un servidor es comprometido por falta de un parche de seguridad ¿De quién es responsabilidad?, de la tecnología, si vemos este problema desde el punto de vista de seguridad 1.0, la tecnología fallo, esa visión es un poco limitada

Con la visión de la seguridad 2.0 se trataría de resolver las siguientes preguntas:

Procesos: ¿existe un proceso de administración de parches de seguridad?
Tecnología: ¿Existe un servidor de administración y distribución de parches de seguridad?
Gente: Se llevo a cabo el proceso de administración de parches de seguridad.

La seguridad informática, debe verse en los tres rubros anteriores.

La seguridad 2.0 trata de enseñar que la seguridad no es simplemente tecnología, es también educar a los administradores y los usuarios de la misma, todo esto mediante procesos y procedimientos marcados por las mejores prácticas y/o leyes, estándares etc.

Seguridad 2.0 no es un término nuevo y posiblemente no sea el mejor ya que con lleva muchos paradigmas como son seguridad en profundidad o manejo de identidades. Sin embargo los proveedores de servicios de seguridad informática actualmente manejan este concepto muy bien, y cuando ofrecen sus servicios, tienen una gama de productos integrales, que permiten abarcar gradualmente los aspectos antes mencionados. Se ofrecen servicios, de análisis y reingeniería de procesos y procedimientos, proyectos de difusión de seguridad, análisis de brechas, proyectos de certificación de cumplimiento de estándares. Todos ellos basados en las mejores prácticas, niveles de servicio y muchas otras cosas.

Para algunas personas como Pete Herzog Seguridad 2.0 debe morir ya, y recobrar fuerza Seguridad 3.0 y surgir seguridad 4.0, si esto es posible solo el tiempo lo dirá.

Referencias:
Security 2.0
http://www.symantec.com/es/mx/business/library/article.jsp?aid=security_20

Pete Herzog A Year-End Commentary

Seguridad 2.0
http://www.informationweek.com.mx/articulos.php?id_sec=46&id_art=4473&num_page=17959

Del security 1.0 al 2.0
http://www.redusers.com/noticias/del-security-10-al-security-20