SEGURIDAD Y SALUD

/ ARTCULO

De la seguridad informtica
a la seguridad de la informacin
Desde hace ya algunos aos la informacin est definida como el activo ms valioso de una compaa (los costes derivados de prdida de seguridad no son slo costes econmicos directos, sino que tambin afectan a la imagen de la empresa), por lo que, cada vez ms, la seguridad de la informacin forma parte de los objetivos de las organizaciones y, sin embargo, y a pesar de esa concienciacin generalizada, muchas compaas no se enfrentan a este aspecto con la globalidad con la que debiera tratarse. Adems de esta falta de visin global, existe otro factor que afecta a la estrategia de seguridad de una organizacin: la dispersin de las inversiones de seguridad en mltiples nichos desalineados con el objetivo global, de modo que la focalizacin en cuestiones concretas de seguridad hace olvidar el objetivo estratgico. Cuando una empresa define la seguridad de la informacin como prioridad, estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea la necesidad de instalar mecanismos, llammosles fsicos, que permitan controlar los riesgos asociados a la seguridad ms inmediata; mecanismos entre los que se encuentran desde las medidas fsicas aplicables al espacio en el que se ubican los sistemas que contienen la informacin (control de acceso al CPD, video-vigilancia, etc.) hasta las medidas fsicas asociadas a la arquitectura de su red (cortafuegos, sistemas de deteccin y prevencin de intrusin, antivirus, control de contenidos), dejando a un lado aspectos muy relevantes sin los cuales no se puede considerar una buena gestin de la seguridad. Bsicamente se centra en la aplicacin de una seguridad informtica y no en la aplicacin de una seguridad de la informacin. El punto fundamental de partida para el establecimiento y mantenimiento con garantas de xito de la seguridad de la informacin es la definicin clara de objetivos a partir de los cuales desarrollar las polticas y procedimientos que definan el marco en el que situar las medidas de seguridad a implantar, teniendo en cuenta aspectos como las leyes que rigen en materia de seguridad el espacio geogrfico en el que se ubica la organizacin

M Jess Recio Responsable de Calidad de Servicios de Infraestructura, dentro del rea Calidad Operativa - Operaciones TI de la Direccin de Calidad y Medio Ambiente de Indra

14

CALIDAD julio-septiembre 2012

ARTCULO

/ SEGURIDAD Y SALUD

(LOPD, por ejemplo, en Espaa), los compromisos con terceros en el cumplimiento de normas que tenga la compaa (SAS70, 27001, etc.) y, por supuesto, el da a da del negocio. Construyendo la seguridad. El punto de partida: establecimiento de responsables y definicin de objetivos Como se ha mencionado anteriormente, el punto de partida siempre debe ser la definicin de los objetivos que, en materia de seguridad, quieren alcanzarse y el grado de consecucin de los mismos; como en casi todo, el nivel de seguridad objetivo ser proporcional a la inversin que se realice para conseguirlo. La pregunta que debe regir la definicin de este grado es: cunto vale mi informacin?. Igualmente es fundamental conocer otros aspectos como son el punto de partida (en qu punto se encuentra la seguridad), los riesgos de la seguridad que pueden potencialmente afectar a la compaa en funcin de aspectos como el negocio o el espacio geogrfico, el tratamiento o asuncin de estos riesgos y el impacto de los mismos, materializados todos ello en un anlisis de riesgos. Debe considerarse, por tanto, el anlisis de riesgos perfectamente alineado con la visin de la organizacin y dentro de su entorno de operacin como el punto central para el establecimiento en detalle de las medidas (controles) de seguridad que deben implantase y con ello el grado de consecucin de los objetivos de seguridad establecidos. El objetivo marcado, la identificacin de riesgos y con ello la de controles a implantar, el grado de consecucin y los plazos establecidos para lograrlo determinan, adems de la inversin necesaria, el equipo de trabajo que debe establecerse para la implantacin de todas las medidas. Por regla general este equipo de seguridad debe ser multidisciplinar, formado por ingenieros de sistemas,

Cuadro 1. Metodologa para el anlisis de riesgos

Entrevistas: mediante este tipo de aproximacin a la organizacin, se busca entender los diferentes aspectos que la conforman, tanto en el aspecto tecnolgico como en los procesos crticos, los cuales, a su vez, son soportados por las aplicaciones y la infraestructura tecnolgica. Evaluacin de riesgo: la evaluacin de riesgos identifica las amenazas, vulnerabilidades y riesgos de la informacin sobre la plataforma tecnolgica de una organizacin con el fin de generar un plan de implementacin de los controles que aseguren un ambiente seguro, bajo los criterios de disponibilidad, confidencialidad e integridad de la informacin. Los dos puntos importantes a considerar son: la probabilidad de una amenaza y la magnitud del impacto sobre el sistema si sta llega a materializarse. Determinacin de la probabilidad: con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un evento, se deben tener en cuenta dos factores: fuente de la amenaza y capacidad y naturaleza de la vulnerabilidad. Magnitud del impacto: determina el impacto adverso para la organizacin como resultado de la explotacin por parte de una amenaza de una determinada vulnerabilidad; para ello se deben considerar los siguientes aspectos: consecuencias de tipo financiero, es decir, prdidas causadas sobre un activo fsico o lgico determinado y consecuencias provocadas por la inoperatividad del activo afectado, la criticidad de los datos y el sistema (importancia a la organizacin) y, cmo no, la sensibilidad de los datos y el sistema. Identificacin de controles: se evala la matriz de riesgo obtenida previamente con el fin de identificar los controles que mitiguen los riesgos detectados.

Cuadro 2. Definiciones
Riesgo: posibilidad de sufrir algn dao o prdida. Activo: datos, infraestructura, hardware, software, personal y su experiencia, informacin, servicios.

socilogos, abogados y consultores en la materia, dado que hay que enfrentarse a tareas dentro de todas y cada una de estas reas de especializacin. Una vez establecido el objetivo, y definido el equipo de seguridad, ser necesario diseccionar dicho objetivo a travs del desarrollo de una normativa compuesta por polticas y procedimientos, que van desde la poltica de seguridad de la compaa (documento global en el que se recogen dichos objetivos, se definen controles genricos de seguridad [en funcin del resultado obtenido en el anlisis de riesgos] y se establecen directrices

bsicas acordes tanto a los requisitos del negocio como a la legislacin y normativa vigente) hasta procedimientos e instrucciones tcnicas que recojan las directrices de seguridad a cumplir en el uso de las activos de la compaa, todo ello encaminado a la implantacin de los controles de seguridad precisos y necesarios segn el anlisis de riesgos realizado, y siempre teniendo en cuenta la actividad diaria de la organizacin. Es fundamental en el desarrollo de esta normativa tener en cuenta el modo en el que se lleva a cabo la actividad diaria para que asegurar que el cumplimiento de esta normativa no impacte de manera severa en el funcionamiento de la organizacin. Las siguientes tablas recogen, a modo de ejemplo, un listado de posibles documentos a definir por la compaa en materia de seguridad, divididos por polticas, procedimientos e instrucciones tcnicas.

julio-septiembre 2012 CALIDAD

15

SEGURIDAD Y SALUD

/ ARTCULO

Tabla 1
POLTICAS Poltica de seguridad de la compaa Para aquellas afectadas por la LOPD, documento de seguridad y manuales de seguridad asociados Poltica de copias de seguridad Establecer la poltica para la realizacin de backups de la informacin Poltica de uso de Internet y correo electrnico Poltica de gestin de contraseas Recoger las reglas generales de utilizacin de estas herramientas Recoger las medidas de seguridad que rigen la gestin de contraseas (longitud, caracteres, caducidad, almacenamiento, etc.) Poltica de antivirus Poltica de publicacin en Internet Cdigo de uso aceptable Gestin de antivirus, activacin, etc. Normativa para disponer mquinas en Internet Normativa general a cumplir por todos los usuarios en materia de seguridad ALCANCE DEL DOCUMENTO Objetivos de seguridad de la compaa Cumplir con lo establecido en la Ley Orgnica de Proteccin de Datos

Tabla 2
PROCEDIMIENTOS Procedimiento de copias de seguridad Procedimiento de altas/bajas de usuario Procedimiento de cifrado de informacin Tipologa de redes Procedimiento de auditora de vulnerabilidades Procedimiento de usuarios administradores Procedimiento de actuacin ante la prdida de un equipo porttil con informacin Detalle de cundo y cmo debe cifrarse la informacin Requisitos tcnicos de seguridad de las posibles arquitecturas de red Detalle de realizacin de auditoras de vulnerabilidades Detalle de gestin de usuarios administradores Detalle, para todos los empleados, de los pasos a dar cuando se extrava un equipo con informacin delicada Detalle de cmo gestionar usuarios ALCANCE DEL DOCUMENTO Detalle de cmo realizar las copias

Ya definidas las polticas, procedimientos e instrucciones tcnicas, se debe proceder a la distribucin de todos los estamentos de la organizacin, as como a la concienciacin para el cumplimiento de las medidas definidas. Son muchas las compaas que, si bien han cumplido con la definicin de estos documentos y su difusin, no han sabido concienciar a sus empleados. Se debe tener presente que por mucho que se definan y se difundan medidas de seguridad, si la compaa no es capaz de concienciar adecuadamente para su cumplimiento, se habr fracasado en la consecucin de los objetivos marcados, sean stos cualesquiera. La concienciacin es una tarea muy difcil de gestionar, sobre todo en organizaciones que por su tamao y dispersin geogrfica impiden una relacin directa entre el equipo de seguridad y el resto de los empleados. Algunas medidas que pueden ayudar a esta concienciacin son: Realizacin de charlas formativas peridicas. Envo regular de pldoras informativas con pequeos resmenes a travs del correo electrnico. Publicacin en las intranets corporativas de las presentaciones. Foros divulgativos sobre seguridad. Todas ellas aplicadas siguiendo una premisa bsica: cercana al destinatario. Grfico 1

Tabla 3
INSTRUCCIONES TCNICAS Gua de securizacin de sistemas Gua de securizacin de BBDD Gua de securizacin de comunicaciones Gua de securizacin de elementos de comunicaciones Gua de securizacin de software adicional (navegadores, servidores web, servidores de aplicaciones, aplicaciones basadas en SAP)

Concienciar Difundir

Definir

16

CALIDAD julio-septiembre 2012

ARTCULO

/ SEGURIDAD Y SALUD

Buscando la seguridad fsica Es evidente que las medidas para la seguridad fsica (seguridad informtica) siempre formarn parte de las medidas generales de seguridad a implantar. En este punto se debe tener presente que proteger la informacin supone aplicar aquellas medidas destinadas a garantizar la integridad, confidencialidad, disponibilidad, autenticidad y no repudio de la informacin, por lo que las medidas fsicas deben seleccionarse para asegurar estos aspectos, sin olvidar las consecuencias directas e indirectas que la puesta en marcha de las mismas pudieran provocar en la operativa diaria de la organizacin. Cuadro 3
Confidencialidad: aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Integridad: garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados.

Cuadro 4
La confidencialidad busca prevenir la revelacin no autorizada, intencional o no, del contenido en general. La integridad asegura que: No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados. Los datos son consistentes, es decir, la informacin interna es consistente entre s misma y respecto de la situacin real externa. La disponibilidad asegura que el acceso a los datos o a los recursos de informacin por personal autorizado se produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita.

Grfico 2

CO NF IDE NC IAL IDA D

de un mensaje o de informacin

INFORMACIN

DISPONIBILIDAD

control de acceso para los CPD de equipos que garanticen la redundancia de elementos crticos (alimentacin del CPD, sistemas de mantenimiento de temperatura), de sistemas de control de incendios, inundaciones y de todos aquellos elementos que por la naturaleza de la organizacin y el entorno sean relevantes. Un paso ms: seguridad lgica Una vez protegido el espacio fsico en el que se disponen las infraestructuras que contienen la informacin, ser necesario aplicar las medidas definidas en las polticas e instrucciones tcnicas referentes a la arquitectura. Algunas de estas

AD RID EG INT

Ejemplos de medidas encaminadas a garantizar estos tres aspectos son: puesta en marcha y mantenimiento peridico de mecanismos de vigilancia y

julio-septiembre jul jju ulio io ioo-s sep se ep e pt tie iie embr mbr bre 2012 2012 012 01 1 CAL CALIDAD CA ALIDA AL IDA ID IDAD DAD

17 1 7

SEGURIDAD Y SALUD

/ ARTCULO

medidas son: segregacin en niveles, implantacin de dispositivos encaminados a garantizar la proteccin como cortafuegos, sistemas de prevencin y deteccin de intrusin. Igualmente se debe considerar la aplicacin de medidas encaminadas a la proteccin de los equipos con los que se accede a los sistemas que contienen la informacin a proteger mediante la utilizacin de antivirus, controles de acceso a pginas no confiables, restriccin de la utilizacin de correos no corporativos, prohibicin de utilizacin de software sin licencia, etc. Por ltimo, y a este nivel, deben establecerse requisitos de seguridad en las aplicaciones que sern soportadas por la infraestructura: de nada sirven elementos como los mencionados si el nivel que se instala sobre ellos provoca la necesidad de crear agujeros de seguridad en los mismos. Otros controles de seguridad Anteriormente se ha mencionado que seguridad de la informacin no es seguridad informtica; se puede decir que la seguridad de la informacin engloba medidas de seguridad entre las que se encuentran medidas asociadas a la seguridad informtica. No slo hay que proteger los sistemas y el espacio que los contiene; hay que crear una mecnica de trabajo global que asegure el mantenimiento de las

medidas de seguridad y el cumplimiento de las polticas e instrucciones establecidas. Medidas como la aplicacin de caducidad y complejidad en las contraseas, el control de dispositivos externos a la red, la segregacin lgica de acceso a la informacin son ejemplos de otras medidas imprescindibles para garantizar el aseguramiento de la informacin. Mantenimiento de la seguridad La implantacin de todas estas medidas siempre debe ir seguida por su mantenimiento, evolucin y adaptacin constante, llevados a cabo a travs de la revisin peridica de los controles de seguridad implantados, la realizacin continua del anlisis de riesgos, la adaptacin a los resultados obtenidos en ste, la correccin de fallos de seguridad detectados, la implantacin de nuevas medidas desarrolladas para paliar nuevos riesgos y las auditoras peridicas encaminadas a la deteccin de desviaciones en el cumplimiento de las medidas establecidas. Un papel protagonista en el mantenimiento de la seguridad lo tiene sin duda alguna la difusin y concienciacin en materia de seguridad: unas medidas implantadas y olvidadas son un fracaso. Es fundamental llevar a cabo una concienciacin permanente en esta materia mediante el acercamiento al negocio y al usuario. En muchas ocasiones, si bien se trabaja en la divulgacin de las medidas de

seguridad, stas se encuentran en un plano tan alejado del da a da de las diferentes reas que su aplicacin no resulta inmediata, provocando un incumplimiento de las mismas. Costes colaterales Todo lo que se ha mencionado hasta ahora va encaminado a construir la seguridad de una organizacin, pero qu impacto econmico tiene ms all de la inversin inicialmente planificada? Adems del inmediato, es decir, adems del derivado de la inversin en las infraestructuras y medios necesarios para la identificacin y puesta en marcha de las mismas, sin olvidar el mantenimiento y evolucin de stas, existen otros costes que pueden denominarse colaterales que deben ser tenidos muy en cuenta. Estos costes se producen a partir de la aplicacin de medidas de seguridad principalmente centradas en controlar uno de los aspectos que hemos mencionado anteriormente: la proteccin de los equipos con los que se accede a los sistemas que contienen la informacin (descargas ilegales de software, utilizacin de correo pblico, evolucin del software hacia versiones mantenidas, etc.). La tabla siguiente recoge un resumen de algunos de estos costes colaterales, reflejando las medidas y el impacto econmico que producen la aplicacin de las mismas.

18

CALIDAD julio-septiembre 2012

ARTCULO

/ SEGURIDAD Y SALUD

Tabla 4. Controles e impacto

CONTROL DE SEGURIDAD Descarga de software no adquirido (Acrobat Reader, Winzip) Negacin de acceso a correo no corporativo IMPACTO Coste directo de la inversin en la adquisicin de este software imprescindible para el funcionamiento de la organizacin Coste directo de la inversin en la ampliacin del tamao de los buzones corporativos (muchas veces los empleados utilizan sus correos personales, sin lmite en el tamao de los correos, para intercambiarse informacin ante la imposibilidad de utilizar las cuentas corporativas por sus limitaciones Evolucin de todo el software a versiones en activo por los fabricantes Costes derivados de la propia adquisicin de nuevas licencias en activo Costes derivados de la adaptacin de otro software dependiente de este software de base (aplicaciones corporativas hechas a medida y no mantenidas y evolucionadas) Control de acceso a determinadas pginas Costes derivados de la aplicacin y mantenimiento de dicho control Costes derivados del impacto en el da a da de la aplicacin de este control de manera generalizada Costes derivados de las vulnerabilidades ocasionadas por los empleados para saltar este control

engranaje de seguridad sobre el que pivoten todas las actividades llevadas a cabo en la compaa. La seguridad de la informacin necesita de un continuo mantenimiento, evolucin y adaptacin. La divulgacin y concienciacin son elementos fundamentales para garantizar el xito. Conclusiones Hoy en da la continuidad de un negocio pasa por la definicin, implantacin, mantenimiento y evolucin de una estrategia de seguridad global marcada por la direccin de la compaa y seguida por toda la organizacin. Esta estrategia debe contemplar todos los aspectos (generales, tcnicos, normativos, legislativos, econmicos) en los que deben aplicarse medidas de seguridad, es decir, debe de ser una estrategia para la seguridad de la informacin y no una estrategia de seguridad informtica. Esta estrategia de seguridad de la informacin debe incluir tanto medidas orientadas a garantizar la seguridad informtica como medidas ms generalistas, todas ellas definidas de manera adaptada la negocio. La direccin de una compaa debe mostrar un compromiso firme con la seguridad de la informacin, evitando la creacin de nichos de seguridad no alineados con los objetivos marcados. El mantenimiento, evolucin y adaptacin de la seguridad deben ser una constante en las organizaciones; la concienciacin tiene un papel protagonista. La implantacin, mantenimiento y evolucin de esta estrategia de seguridad tiene asociados unos costes directos e indirectos que deben estar presentes a la hora de definir objetivos y establecer el presupuesto con el que se dota, sin olvidar la criticidad de la seguridad que hemos revisado en el presente artculo y las consecuencias nefastas que una estrategia errnea y limitada pueden suponer para la compaa.

En resumen La seguridad de la informacin es esencial. Los fallos de seguridad producen impacto tanto econmico como en la imagen para la compaa. El aseguramiento de la informacin pasa por el compromiso de la direccin, la concienciacin de la compaa, el establecimiento de objetivos y la dotacin de medios tanto econmicos como humanos para la consecucin de los mismos. La definicin de una poltica global de seguridad debe ser la primera materializacin de los objetivos marcados. A dicha poltica habr que sumar todos los procedimientos e instrucciones que sean necesarios para dar cobertura a todos aquellos aspectos de seguridad a tratar. Conocer el punto al que se quiere llegar en esta materia es fundamental; conocer el punto de partida tambin lo es. Este punto de partida se obtiene a partir del anlisis de diferentes factores como

negocio, informacin que se maneja, espacio geogrfico, legislacin que aplica y compromisos de seguridad. El estudio de estos aspectos se materializar en un anlisis de riesgos que arrojar como resultado la identificacin de las amenazas sobre los activos de informacin. Llegados a este punto, la direccin deber gestionar o asumir dichos riesgos. El tratamiento de los mismos impactar en la definicin de los controles de seguridad a implantar. Las medidas o controles de seguridad a implantar deben estar orientados tanto a los sistemas que contienen los datos como a los sistemas que se utilizan para acceder a los mismos, as como al espacio fsico en el que estn albergados, siempre teniendo en cuenta que tales medidas estarn encaminadas a mitigar los riesgos (impacto, probabilidad). No slo se debe pensar en medidas orientadas a la seguridad informtica, sino que es necesario crear todo un

julio-septiembre 2012 CALIDAD

19