Cuando se asume la responsabilidad de gobernar las tecnologías de la
información a nivel corporativo, inmediatamente se aceptan muchos retos
particularmente interesantes. Estar al tanto de vulnerabilidades,
parches, virus, gusanos, troyanos y ese largo etcétera de amenazas que
golpean una y otra vez los sistemas de la información.
En circunstancias normales, los responsables de seguridad actúan
proactivamente para prevenir los efectos perniciosos de los ataques, y
cuando no hay más remedio, porque la prevención ha fallado, se actúa a
posteriori. Pero, ¿se plantean los responsables antes de cualquier otra
cosa de medir el riesgo que conllevan estas amenazas?
Difícil balanza la que representa colocar en un platillo la cantidad de
riesgo que estamos dispuestos a asumir, y el otro platillo la cantidad
de recursos financieros de los que disponemos para mitigar los riesgos
en materia de seguridad de la información.
La gestión del riesgo se ha convertido en un escollo para la dirección
estratégica de las organizaciones que confían en metodologías
reconocidas para alimentar sus sistemas de gestión. Especialmente duro
se hace gestionar el riesgo en aquellas empresas cuyos procesos críticos
reposan en tecnologías de la información, sobre todo, cuando la
seguridad de esos procesos es igualmente crítica: banca,
telecomunicaciones, proveedores de acceso, y muchas otras organizaciones
donde un fallo crítico puede suponer, en el mejor de los casos, una
ruptura de la continuidad del negocio.
En estos casos la gestión del riesgo deja de ser algo opcional para
convertirse en algo obligatorio. Desde hace tiempo, en Hispasec Sistemas
hemos tomado nota de éstos cambios en las tendencias de gestión y hemos
aplicado en nuestra cartera de clientes metodologías avanzadas de
gestión de riesgos para conseguir controlar y administrar el riesgo,
proporcionando al mínimo coste, la máxima integridad, disponibilidad y
confidencialidad de la información corporativa. Tarea compleja, sin
duda, teniendo en cuenta las muchísimas variables de las que depende el
riesgo.
La gestión de la seguridad de la información es muy extensa, pero sin
duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo.
Equilibrar los dos platillos de la balanza de los que hablamos es, la
gran mayoría de las veces, difícil de abordar, y la incertidumbre de los
resultados es muy elevada, especialmente cuando no hay datos anteriores
que permitan proyectar una posible tendencia. Para más inri, hay riesgos
incontrolables y que por tanto escapan a toda planificación. Pero esto
no puede ser obstáculo para que apartemos a un lado los riesgos, y
sigamos mirando al frente como si nada hubiera pasado.
Es preciso tener claro que establecer contramedidas para mitigar
absolutamente todos los riesgos es algo desmesurado, por cuestiones
económicas y de índole operativa, y que tampoco sería correcto asumir la
totalidad de los riesgos, sin invertir en ninguna medida de control de
los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo
asumido voluntariamente, y éste es el objetivo principal de la gestión
de los riesgos, tal y como se ha explicado.
Maneras de gestionar adecuadamente el riesgo hay muchas. Desde luego,
siempre se aconseja emplear metodologías reconocidas ya que éstas emanan
de una experiencia y un contraste que las hace válidas a priori.
Ejemplos de estas metodologías está la metodología MAGERIT (Metodología
de Análisis y Gestión de Riesgos de los Sistemas de Información de las
Administraciones Públicas), impulsada originalmente por el Ministerio
de Administraciones Públicas, y cuya revisión y actualización se
vaticina como muy próxima. MAGERIT proporciona un buen número de
herramientas para que obtener un mapa de todos los riesgos que deseamos
controlar y representar, lo que facilita enormemente la toma de decisiones.
Esta metodología considera acertadamente que la gestión del riesgo es el
«alma mater» de toda actuación organizada en materia de seguridad y, por
tanto, de la gestión global de la misma.
A nivel internacional los estándares comúnmente aceptados como válidos
son los que proclama la norma internacional ISO/IEC 17799:2000
«Information technology. Code of practice for information security
management». Recientemente, el 17 de mayo de 2005, ha visto la luz una
ampliación denominada «Security techniques» dentro del marco que brinda
ISO 17799:2000.
Esta norma internacional deriva del marco reglamentario BS 7799,
elaborado y definido por el British Standards Institution, en el que se
definieron diez puntos de control para gestionar adecuadamente los
sistemas de la información. Estos puntos de control han sido
contemplados igualmente en el marco ISO 17799 y sus trasposiciones a
normas nacionales:
1) Política de Seguridad, donde se establecen las directrices
gerenciales en materia de seguridad.
2) Organización de recursos y activos de la información, para sentar las
correctas bases de la gestión de la seguridad dentro de la empresa.
3) Clasificación y control de activos de la información, donde se
pretende inventariar los activos a proteger así el establecimiento de
las correctas medidas de protección.
4) Seguridad ligada al personal, con el fin de tratar aspectos relativos
a la seguridad vinculada a los recursos humanos: confidencialidad,
accesos no permitidos, fugas de información, etc.
5) Seguridad física y del entorno, donde se establecen las pautas
correspondientes a la seguridad de las instalaciones físicas.
6) Gestión de las comunicaciones y las operaciones, con la idea de
asegurar el procesado de la información.
7) Control de acceso, en el que se establecen privilegios y
autorizaciones para acceder a los recursos.
8) Desarrollo y mantenimiento de sistemas, que serán los recipientes
principales de la gestión de la seguridad.
9) Gestión de la continuidad de los negocios, donde se establecen planes
de recuperación y minimización del impacto ante discontinuidades en los
procesos críticos de la empresa.
10) Conformidad legal, donde se observa el cumplimiento con la
legislación vigente según la localización territorial de la empresa.
Para el caso concreto de España, existe una trasposición de la norma
codificada como UNE-ISO/IEC 17799:2002 «Tecnología de la Información.
Código de buenas prácticas para la Gestión de la Seguridad de la
Información». Otro documento interesante a considerar es el conjunto de
especificaciones publicadas en la norma española UNE 71502:2004,
«Especificaciones para los Sistemas de Gestión de la Seguridad de la
Información (SGSI)», que proporciona un marco certificable para la norma
global de seguridad.
En resumen, es fácil comprobar cómo la seguridad de la información es
mucho más que la seguridad informática más tradicional, y es fácilmente
observable como, a la hora de hablar de seguridad de la información,
todo gira en torno a un eje temático: La gestión del riesgo.
shernando@hispasec.com
Más información:
Metodología MAGERIT
http://www.csi.map.es/csi/pg5m20.htm
Chinchon: Software de Gestión de Riesgos según MAGERIT 1.0
http://www.criptored.upm.es/software/sw_m214_01.htm
Códigos de Buenas Prácticas de Seguridad. UNE-ISO/IEC 17799
http://www.criptored.upm.es/guiateoria/gt_m209d.htm
British Standards Institution 7799 Information Security
http://www.bsi-global.com/Global/bs7799.xalter
Checklist de SANS sobre ISO 17799
http://www.sans.org/score/checklists/ISO_17799_checklist.pdf
Ejemplo de Implementación y Mejora del Método de Gestión Riesgos en un
Proyecto Software
http://www.ewh.ieee.org/reg/9/etrans/Marzo2005/paper119.pdf
Deja una respuesta