Seguridad en América | Post

La Seguridad de la Información como Herramienta de Gestión en una Organización

La seguridad de la información (SI) no se concibe sin un sistema de gestión y éste sin un gobierno efectivo. Dicho gobierno no debe presentarse meramente desde una perspectiva teórica, sino desde el punto de vista de su implementación. Será fundamental que un gerente de Seguridad de la Información comprenda los amplios conocimientos para un gobierno de la  seguridad efectivo, así como los elementos y las acciones que se requieren para desarrollar una estrategia de seguridad de la información y un plan de acción para una puesta en práctica exitosa. Intentaremos entonces, desarrollar esos desafíos respecto a qué y cómo realizarlos.

¿Qué se entiende por información o activo de información?

La información puede ser definida como “el conjunto de datos dotados de algún significado y propósito”. Ésta desempeña actualmente una función de gran importancia en todos los aspectos de nuestras vidas. La información se ha tornado un componente indispensable para la realización de procesos en todas las formas empresariales y organizacionales. 

En nuestros días, existen innumerables compañías en las que la información es el negocio, que incluye a participantes de importancia relevante como, por ejemplo, Microsoft, Google, Yahoo!, y otros. En varias organizaciones el término “información” se suele considerar de forma aislada.

Se le trata y utiliza prescindiendo de todo activo sin el que ésta no tendría sentido y sería casi imposible de gestionar.

Generalmente no se concibe el software como información, sin embargo, se trata de información para las computadoras, sobre cómo procesar lo que entendemos por información.

Aun así, los medios en los que se resguarda, se opera, se extrae y los equipos que la procesan, parecen no intervenir en la gestión de la información. 

¿Qué sería de la información si no dispusiéramos de tangibles para almacenarla, equipos que la soporten, programas que la procesen y que hagan funcionar esos equipos?

He ahí entonces donde resulta fundamental vincular lo que conocemos como información, un activo, con el resto de los activos necesarios para gestionarla.

Las organizaciones tradicionales han sufrido transformaciones radicales al llegar a la era de la información. Las artes gráficas, la industria de la imprenta, las obras de arte, incluso obras maestras, ya no son trazos físicos sino bloques de información almacenados digitalmente. Parece difícil considerar que exista empresa u organización que haya permanecido ajena a este avance de la tecnología de la información.

Cualquier daño a la confidencialidad o integridad de la información puede resultar devastador. También puede serlo el hecho de no contar con la información en forma oportuna. 

Se estima que en menos de 10 años las organizaciones trabajarán mucho más basadas en información que ahora. 

Sin dudas, la falta de protección de este activo llevaría inevitablemente a situaciones de caos absoluto al medio empresarial y organizacional y, cada vez más, es de vital importancia su gestión y su gobierno y sobre todo, su control.

El gobierno de la seguridad de los activos de información (en adelante gobierno de la seguridad de la información) debe ser una parte integrante y transparente del gobierno global de las empresas y organizaciones, con el fin de sostener continuidad en sus negocios. 

¿Cuál es entonces la importancia en el gobierno de la seguridad de la información? La creciente dependencia y los sistemas que la procesan, junto con los riesgos, beneficios y oportunidades que esos recursos representan, han transformado al gobierno de la seguridad de la información en una función vital en todo ámbito. Máxime si se tienen en cuenta que las tecnologías de la información mejoran sensiblemente las posibilidades de negocio, con lo cual su seguridad añade un valor significativo al momento de minimizar riesgos y consecuentemente, disminuir pérdidas derivadas de eventos relacionados a la seguridad.

Es decir, no es suficiente con comunicar a los empleados de las organizaciones los objetivos, misiones y visiones y pautar las condiciones que conllevan al éxito, sino que además es necesario comunicar cómo se va a proteger la propia existencia de su negocio. Esto indica que una estrategia organizacional clara en materia de preservación tiene igual importancia que una estrategia organizacional de negocio.

Según conceptualiza Julia Allen, autora de la Guía de CERT (Computer Emergency Response Team), en su tratado The cert guide to system and network security practices: “Gobernar para la seguridad de una empresa significa ver una seguridad adecuada como un requerimiento no negociable de permanecer en el negocio. Para lograr una capacidad sustentable, las organizaciones deben hacer que la seguridad de la empresa sea responsabilidad de los niveles directrices”. Existen varios conceptos básicos que se espera sean de dominio del gerente de Seguridad de la Información para que éste pueda implementar un gobierno efectivo y que contemple el conjunto de las funciones que se requieren. 

Entre los principales conceptos que debe conocer y manejar un gerente de Seguridad de la Información, se encuentran los siguientes:

Confidencialidad: preservación de la información dentro de los ámbitos de conocimientos definidos y autorizados. Integridad: permite asegurar que la información no es modificada sin autorización.

Disponibilidad: tan importante como cuidar de su confidencialidad e integridad. Contar con la información en forma oportuna puede llegar a transformarse en la diferencia entre la continuidad y discontinuidad del negocio. Asimismo, deben manejarse preceptos de auditabilidad, autorización, identificación, autenticación, no repudio, gestión de riesgos, exposiciones, amenazas, vulnerabilidades, impacto, criticidad, sensibilidad, controles, contramedidas, políticas, estándares, procedimientos, clasificación y ataques, entre otros. En cuanto a las tecnologías de seguridad, el gerente de Seguridad de la Información debe conocer en profundidad:

  • Firewalls.

  • Administración de cuentas de usuarios.

  • Sistema antivirus.

  • Herramientas anti spam.

  • Sistemas de identificación (biometría, tarjetas de proximidad y otros).

  • Encriptación.

  • Accesos remotos seguros.

  • Firma digital.

  • Redes privadas virtuales.

  • Análisis forense.

  • Tecnologías de monitoreo.

  • Estrategias de prevención.

En la década de 1990, las organizaciones comenzaron a crear servicios dedicados a la gestión de la Seguridad de la Información y nombraron los respectivos gerentes de SI. En muchos casos se crearon estructuras insertas en otras existentes y generalmente se inclinaba a incluirlas dentro de las áreas de tecnologías de la información. Si bien no era del todo extraño que así fuese, esa estrategia no permitía realizar una adecuada segregación de tareas ni una adecuada oposición de intereses. Ocurría que la seguridad cedía terreno a las urgencias de la gestión tecnológica y al estar subordinada a la misma jerarquía se imponía el concepto de productividad al de seguridad. En ocasiones, ni siquiera se llegaban a complementar. Las prácticas de desarrollo de sistemas prescindían durante la creación y ciclo de vida de un sistema de los requerimientos en materia de seguridad. Con el tiempo se fue comprendiendo que para lograr que ambas áreas se complementasen debían encontrarse en diferentes líneas de dependencia jerárquica. Fue entonces cuando se comenzó el proceso de independencia de la SI de TI. Se crearon unidades independientes de estructura muy simple hasta otras de estructuras más complejas, dependiendo del tamaño de la empresa y organización.

Un concepto preponderante y que debe ser muy bien gestionado por el gobierno de la seguridad de la información es que dicha seguridad debe tratar todos los aspectos de la información. Es decir, se trate de contenido escrito, oral, impreso, electrónico o constituida en cualquier otro medio sin importar si ha sido creada, vista, transportada, almacenada o desechada, siempre debe custodiarse. Obsérvese que no se está tratando la información solamente dentro del alcance de los límites o dominios tecnológicos. Un simple comentario en un pasillo podría estar divulgando información confidencial a personas no autorizadas para su conocimiento. 

Para gestionar correctamente los activos de información es necesario que un buen gobierno de SI realice evaluaciones por lo menos anuales de la seguridad que los protege.

Deben realizarse continuos análisis de riesgos y existir políticas que sean revisadas periódicamente. Los procesos y procedimientos deben estar basados en esas evaluaciones de riesgos. Es preciso entender que la seguridad de los activos de información forma parte integral del ciclo de vida de los sistemas; probar los sistemas de control y protección de esos activos, y prevenir para asegurar una continuidad de las operaciones y, por ende, la continuidad de la organización en el negocio. Para ello resulta de orden aplicar las mejores prácticas en materia de seguridad de la información, como puede ser alinearse a la norma internacional ISO/IEC 27001, la cual ha sido elaborada para constituir un sistema o modelo para la implementación, operación, seguimiento, revisión, mantenimiento y mejora continua de un sistema de gestión de la seguridad de la información. 

La norma ISO/IEC 27002 (nueva versión de la ISO/ IEC 17799) constituye un código de buenas prácticas para la gestión de la seguridad de la información; complementaria de la anterior, aporta los requisitos para la implantación de aquella. La norma ISO/IEC 27004 provee guías para el desarrollo y uso de medidas y mediciones, con el objetivo de evaluar la efectividad de un sistema de gestión de seguridad de la información. La norma ISO/IEC 27005 proporciona directrices para la gestión de riesgos de la seguridad de la información en una organización en apoyo a la aplicación de los requisitos planteados en la ISO/IEC 27001. En particular, esta última adopta un enfoque basado en procesos para el desarrollo de un sistema de gestión de seguridad de la información. 

Dicho modelo denominado PDCA (Plan, Do, Check, Act) es aplicado para estructurar todos los procesos del sistema de gestión. La aplicación de las normas mencionadas requiere el diseño

de una estrategia de seguridad de la información. Existen varias definiciones de estrategia. En particular, Kenneth Andrews en su obra denominada El concepto de estrategia corporativa, propone que: “La estrategia corporativa es el patrón de decisiones en una compañía que determina y revela sus objetivos, propósitos y metas, genera sus políticas y planes para alcanzar sus objetivos, define su alcance en materia de seguridad de la información, el tipo de organización con que va a estructurarse y la naturaleza de contribución que aportará a toda la organización”. 

Por mucho tiempo se ha considerado erróneamente como un buen enfoque de una estrategia de seguridad el basado en la suposición que un camino predecible al futuro puede estar sustentado en las experiencias del pasado. En cambio, la estrategia que está marcando la realidad debe basarse en una cartera coherente y evolutiva de iniciativas que permitan agregar valor y desempeñarse a largo plazo. Valiéndose de experiencias, pero no basándose en ellas. Esto evidencia que las organizaciones se definen por las iniciativas que priorizan y gestionan y no sólo por sus declaraciones de misión y visión.

Cualquiera que sea la estrategia de seguridad adoptada, los objetivos fundamentales deben consistir en:

  • Alineación estratégica a la organización.

  • Eficaz administración de riesgos.

  • Entrega de valor.

  • Administración de recursos.

  • Medición del desempeño.

  • Mejora continua.

Generalmente, en toda organización lo más complejo de establecer en cuanto a la seguridad de la información es la meta. ¿Por qué es difícil esa definición? En verdad lo es porque, paradójicamente, resulta por demás obvio que lo que hay que proteger son los activos de información, pero aunque esto resulte extremadamente simple, no lo es la determinación de los dos siguientes factores: el primero, que los activos de información deben conocerse con un alto

grado de precisión, y esto generalmente no ocurre en la mayoría de las organizaciones. 

El segundo factor es que se supone es de conocimiento común lo que significa proteger un activo de información; dado que este concepto es entendido por cada persona en términos generales, resulta mucho más complejo cuantificar qué activos necesitan protección, cuánta y contra qué. 

La mayoría de las organizaciones no cuentan con inventarios de información ni de los procesos que la gestionan. No se tiene idea en muchos casos de la información no utilizada, desactualizada o potencialmente riesgosa no controlada. No existen procesos de eliminación. No tienen eficientes procesos de guarda. Todo se protege, ya que el almacenamiento es menos costoso que la clasificación de la información. No se distingue lo importante de lo que no lo es. Si suponemos que la información relevante que existe en la organización está debidamente identificada y catalogada, entonces no queda mejor alternativa que clasificarla. Ello se hará en función a su sensibilidad y criticidad. Se considera que una información es sensible cuando su divulgación no autorizada pueda ocasionar un severo impacto en la organización. En cambio, el concepto de su criticidad puede relacionarse más a la integridad y disponibilidad de la información. Sin lugar a dudas, un gran volumen de información en las organizaciones no es ni crítico ni sensible en el sentido dado. Tal vez sólo sea importante o medianamente importante. Por tanto, sería un derroche de recursos el resguardo igualitario de todo ese volumen. En fin, se invertirían demasiados recursos para protegerla. 

En las grandes organizaciones clasificar los activos de información significa una tarea de enormes proporciones y un esfuerzo sustancial de muchos recursos. De no hacerlo, los costos asociados a la protección de esos activos crecerán de manera exponencial, al tiempo que aumenta la dependencia de la información. Por lo tanto, no hay mejor estrategia que realizar dicha clasificación. En síntesis, el gerenciamiento de la seguridad de los activos de información no será efectivo y no tendrá la posibilidad de desarrollar una buena estrategia de protección según la demanda del negocio si antes no determina precisamente sus objetivos, si no localiza e identifica los activos y los evalúa, si no los clasifica y si no los protege de acuerdo a esa clasificación. 

¿Cómo implementar un sistema de gestión de seguridad de la información y gobernarlo de acuerdo al paradigma propuesto? Para que ello sea posible, la implementación del sistema de controles previsto por las normas mencionadas (familia ISO/IEC 27000), es de absoluta necesidad, por lo que realizar una breve reseña de ellas, en particular de las ISO/IEC 27001 e ISO/IEC 27002 dotará a quien gobierne la seguridad de los activos de una organización de una aproximación a herramientas y estrategias fundamentales.

ISO/IEC 27001 y su aplicación en el contexto de una organización

El gobierno de la seguridad de la información requiere la implementación de directivas que ayuden a gestionar la seguridad de la información. Para ello es importante la aplicación de normas que garanticen el establecimiento, la implementación, la supervisión, la revisión y la mejora de la gestión de Seguridad de la Información. Muchas veces nos encontramos con sistemas de información diseñados que no son seguros, ¿por qué sucede esto? Porque las organizaciones no establecieron claramente los requisitos de seguridad. 

La necesidad de implementar un Sistema de Gestión de Seguridad de la Información (SGSI) que contemple la protección de sus activos contra amenazas, la confiabilidad, seguridad y disponibilidad de la información para asegurar la continuidad del negocio, se hace imprescindible para las organizaciones. 

La norma ISO/IEC 27001 contempla los requisitos que se deben cumplir para la gestión de la seguridad de la información. Dicha norma es aplicable a todo tipo de organización, desde industrias alimenticias, empresas desarrolladoras de software, estudios jurídicos o empresas públicas. 

Como primer paso la organización debe definir el alcance del SGSI. Es uno de los requisitos que la misma haya definido las metas y la dirección de la organización en lo que respecta a la seguridad de la información. Cabe destacar que no es suficiente con que la organización haya definido sus metas sino que también debe tener en cuenta las políticas adoptadas en relación a la seguridad de la información, los requisitos contractuales, normativos y el marco legal en el cual está inmersa. 

En ciertos casos, las organizaciones definen los activos, pero no se identifican las amenazas a éstos, ni las debilidades que pudieran ser aprovechadas por dichas amenazas. En este sentido, otro requisito de seguridad es el realizar un análisis de riesgos. Por medio del uso de herramientas para este análisis se logra realizar una evaluación completa de los riesgos, incluyendo la estimación del nivel de riesgos, así como los criterios de aceptación de los mismos. 

Al realizar el análisis de riesgo tenemos una gran cantidad de información que muchas veces no es bien interpretada, por ello la importancia de la herramienta a usar. Para que el proceso de tratamiento de los riesgos sea efectivo, debe estar basado en un completo análisis de riesgo. Con la información debemos ser capaces de decidir cuál es el nivel de riesgo que vamos a aceptar, cuáles vamos a tratar y cuál será el tratamiento para dichos riesgos. 

Esto implica la necesidad de definir un paquete de medidas que permitan controlar y tratar los riesgos. La norma ISO/IEC 27001, en su anexo A, define objetivos de control y controles que se deben tomar para el tratamiento de los riesgos. 

Estos controles no serán suficientes si no cubren todos los requisitos que definió la organización como requisitos de seguridad de la información, por lo tanto que es responsabilidad de la organización verificar si debe definir controles adicionales. 

Todas estas medidas no serían válidas si no se obtuviese la aprobación y consentimiento de la dirección para la implementación del SGSI. Es asimismo responsabilidad de la dirección la aprobación de una política de seguridad de la información que definirá el ámbito de referencia para la fijación de los objetivos de seguridad de la información. 

Siguiendo el modelo PDCA no alcanza sólo con definir controles si no se realizan un monitoreo y revisión del SGSI, que permitan la detección de errores de proceso para luego tomar acciones que corrijan dichos desvíos, así como también poder implementar mejoras que se fueron detectando durante el proceso. La importancia fundamental de este modelo aplicado a un SGSI es que al planificar estamos previniendo, algo decisivo en lo que hace a la seguridad de la información.

banner