Читать книгу Seguridad en equipos informáticos. IFCT0109 - José Francisco Giménez Albacete - Страница 18

A la vista de la multitud de amenazas y salvaguardas consideradas, no se puede enfrentar el problema mediante un conjunto de medidas de seguridad aisladas para objetos concretos. Es decir, se pueden interponer multitud de salvaguardas y mecanismos de seguridad, pero estas salvaguardas por sí mismas, no aportan suficientes garantías de continuidad a la empresa. Es necesaria una gestión adecuada de esas medidas, que incluirá los procesos, revisiones, recalificaciones, y adaptaciones para la realidad cambiante de la empresa, su entorno, sus amenazas y sus debilidades.

Para la construcción de un sistema de seguridad, no bastan los conceptos tecnológicos, sino que se necesitan también aspectos de gestión, aspectos legales, aspectos éticos, u otros específicos de la naturaleza y ambiente interno y externo de la empresa.

Es en este punto en el que surge el concepto de Sistema de Gestión de Seguridad de la Información (SGSI), como un sistema de gestión usado para establecer y mantener un entorno seguro. Se trata, sencillamente, de analizar la empresa, y fijar sus necesidades de seguridad iniciales, de poner en práctica las medidas de protección para lograr alcanzar estas necesidades, de ser capaz de medir si se han alcanzado o no, y de detectar las mejoras en las medidas de protección para alcanzar las necesidades.

La anterior secuencia describe una repetición continua de fases de planificación (en inglés, plan), ejecución (en inglés, do), medida (en inglés, check) y corrección (en inglés, act), constituyendo un ciclo de mejora continua de Deming (P-D-C-A), como muestra la siguiente imagen.

Se analizan o planifican las necesidades de seguridad de la empresa, estableciendo las medidas de protección necesarias para alcanzarlas; se implantan las medidas, se mide el resultado de satisfacción de las necesidades de seguridad, se determinan las correcciones que hay que realizar en las medidas de protección, y se vuelve a comenzar (revisando las necesidades y las medidas que permitirían alcanzar esas necesidades, incluyendo las correcciones detectadas en la ejecución anterior).

En este proceso de ejecución continuo, no se debe perder de vista el objetivo último que, usando una terminología empresarial, podría enunciarse como “asegurar la continuidad del negocio, minimizando los riesgos, maximizando el retorno de la inversión y permitiendo nuevas oportunidades para la empresa”.

Una empresa pequeña o mediana (PYME) puede enfrentar serias dificultades para abordar la implantación de un SGSI, desde una perspectiva tan compleja y abstracta como la del enunciado anterior. Las normativas y metodologías existentes, algunas ya mencionadas en este capítulo como ISO 17799 y MAGERIT, resultan demasiado amplias y extensas, por su necesaria globalidad para todo tipo de organizaciones.

La solución, sin embargo, es nuevamente sencilla, y consiste en aplicar un principio que será muy frecuente en el ámbito de la seguridad de la información: el principio de proporcionalidad, que nos dice que “las medidas deben adecuarse a sus objetivos”. En el ámbito de la seguridad de la información, “las salvaguardas deben ser proporcionales al riesgo”.

Por ejemplo, para el control de acceso a una estación de trabajo, donde los usuarios realizan labores ofimáticas sobre datos no confidenciales, bastaría inicialmente emplear un sistema de usuario y contraseña, integrado en el propio sistema operativo. Parece una medida proporcional en coste al objetivo de seguridad, que vendrá marcado por el riesgo que introducen en la empresa los sistemas informáticos accesibles desde esos puestos.

Por ejemplo, si desde una estación de trabajo, un usuario puede realizar transferencias entre cuentas de clientes y proveedores, debería emplearse –al menos en ese puesto de trabajo– un sistema de autenticación fuerte, basado no solo en algo que sepa el usuario, como su contraseña, sino también en algo que el usuario tenga, como su DNI electrónico.

El principio de proporcionalidad permite enfocar adecuadamente un sistema de gestión completo, y se puede afirmar que “el SGSI debe ser proporcional al valor de la continuidad del negocio”.

Las herramientas elementales para la correcta gestión de la seguridad informática, no son equipos de alta tecnología y costes inabordables. Las herramientas elementales son dos:

1 La redacción de una política de seguridad de la información, que recoja de las directrices del SGSI a partir de las cuales derivarán todas las demás acciones. En este libro se empleará el contenido y recomendaciones recogidas en ISO 17799 y en la serie ISO 27000, así como en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), de manera proporcional a la empresa objetivo de aplicación.

2 La adopción de una metodología sencilla, que permita evaluar el riesgo. En este libro se empleará el contenido y recomendaciones recogidas en MAGERIT, de manera proporcional a la empresa objetivo de aplicación.

Sabía que...

la serie de normas ISO 27000 se comienza a crear en 2005, aunque existen normas parecidas de seguridad de la información bastante anteriores, como la BS 7799 de 1995 y la ISO 17799 de 2000.

La serie ISO 27000 está formada por muchas normas, entre las que destacan:

1 ISO 27000: términos y definiciones.

2 ISO 27001: requisitos de un SGSI.

3 ISO 27002: controles o salvaguardas (muy similar a la ISO 17799).

4 ISO 27004: cómo medir la eficacia de un SGSI.

5 ISO 27005: gestión de riesgos.

6 ISO 27007: auditoria de un SGSI.

7 ISO 27011: seguridad de la información para telecomunicaciones.

Ambas herramientas permiten dar los pasos de planificación y medida, y serán las armas esenciales de un SGSI. Por otro lado, la ejecución de las medidas, y las correcciones que se emprendan, deben adecuarse en virtud a la proporcionalidad que exista en la aplicación de la política de seguridad.

Lo anterior hace factible la aplicación de una metodología de complejidad adaptable a los recursos disponibles en una PYME, que, correctamente ejecutada, logrará una mejora continua en la seguridad de la información en la empresa.

En el otro extremo, la implantación de un SGSI muy exhaustivo puede ser inviable, y paralizar las repeticiones “Plan-Do-Check-Act”, conduciendo a no tener un SGSI, o a que su ejecución sea demasiado lenta. Ambos casos reducen la inversión en seguridad al valor aislado y con la caducidad que las medidas puntuales aporten a los equipos u objetos concretos.

Aplicación práctica

En una empresa ocurren muchos incidentes de seguridad; algunos son de pequeña importancia, como las frecuentes interrupciones en la conexión a internet, y otros son más críticos, como las paradas del sistema durante jornadas completas, debido a errores en los servidores. También se producen fugas de información, pequeños hurtos de periféricos, y otros accesorios. La empresa también es consciente del incumplimiento de alguna ley referente a la información. La Dirección expone la situación, y pide que se proponga un plan de acción para corregir todos esos problemas.

Resumir brevemente las acciones a realizar, dando al menos una justificación de las mismas.

SOLUCIÓN

1 JUSTIFICACIÓN: La situación descrita incluye multitud de amenazas, lo que indica que no conviene emprender un conjunto de medidas de seguridad aisladas para objetos concretos. Se necesitan también aspectos de gestión, aspectos legales, aspectos éticos u otros específicos de la naturaleza y ambiente interno y externo de la empresa.

2 ACCIONES A REALIZAR: Se debe implantar un Sistema de Gestión de Seguridad de la Información (SGSI), como sistema para establecer y mantener un entorno seguro, consistente en las siguientes 4 tareas de ejecución continua:Planificar: analizar las necesidades de seguridad de la empresa.Hacer: implantar las medidas de seguridad necesarias.Chequear: medir si se han alcanzado las necesidades de seguridad.Corregir: detectar y aplicar mejoras en las medidas de seguridad.El SGSI se apoyará en dos herramientas muy importantes:Una política de seguridad, a partir de normas como ISO 17799, la serie ISO 20000 y la legislación que sea aplicable, como la LOPD.Una metodología de evaluación del riesgo, como MAGERIT.