Omitir navegación.
Inicio
Temas de Gobierno y Gestión de Tecnologías de la Información
Inicio » 01.- Una taxonomía de procesos de gestión de Tecnologías de la Información

07.05.- Gestión de la seguridad

"Si vis pacem, para bellum".

Si quieres la paz, prepara la guerra.

Adagio latino

1.- OBJETIVOS

El objetivo de la gestión de la seguridad es mantener, a lo largo de todos los sistemas de información, un ambiente de control que asegure al mejor nivel posible la integridad, accesibilidad y confidencialidad de la información.

2.- DEFINICIONES

Integridad

DRAE: 1. Cualidad de íntegro. Que no carece de ninguna de sus partes.

Cuando en TI hablamos de integridad de la información, no solo nos referimos a mantener completos los datos y sus referencias, sino también a que sus cambios se produzcan de forma consistente y legítima, reflejando fielmente la realidad a la que representan.

Accesibilidad

DRAE: 1. Cualidad de accesible. Que tiene acceso.

En relación a la seguridad de la información, buscaremos que los datos estén accesibles en tiempo y forma a las personas (o sistemas) con derecho legítimo. Sinónimo de disponibilidad.

Confidencialidad

DRAE: 1. Cualidad de confidencial. Que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas.

Nos referiremos a la capacidad de impedir el acceso a la información a las personas (o sistemas) que no tienen atribuído el derecho de acceso por el responsable de los datos.

Riesgo

DRAE: 1. Contingencia o proximidad de un daño.

Una definición mas técnica podría ser:

Producto de la probabilidad de que se produzca un suceso no deseado por el coste de las consecuencias. Habitualmente se denomina riesgo de forma impropia o parcial al propio "suceso no deseado".

Control

DRAE: 1. Comprobación, inspección, fiscalización, intervención.

3.- PRINCIPIOS

Algunos principios generales aplicables a este proceso son:

Proporcionalidad

Las medidas que se apliquen para el mantenimiento del nivel de seguridad han de ser proporcionales al riesgo, es decir, a la intensidad de la amenaza y al valor de los objetos a protejer.

Eficiencia

Cuando se seleccionan dispositivos o procedimientos de seguridad hay que considerar siempre el grado de eficiencia, o relación entre su coste y su resultado, para elegir las más adecuadas. En demasiadas ocasiones observamos que se aplican medidas redundantes o excesivamente costosas para su aportación, simplemente siguiendo modas o estados de ánimo (pánico).

Prevención

El primer objetivo de la gestión de seguridad ha de ser siempre prevenir los incidentes, disponiendo de los recursos y procedimientos adecuados para mitigar los riesgos.

Inspección

Además de adoptar las medidas de prevención, hay que mantener una continua vigilancia de los activos a proteger para que, si se produce algún incidente no deseado, al menos se detecte lo más rápido posible.

Análisis forense

En cuanto se ha detectaddo un incidente, hay que tener la capacidad de diagnosticar y rastrear las pistas para poder determinar que ha sucedido cómo, cuando y quién.

Reparación y limitación de daños

Si se ha producido un incidente, hemos de ser ágiles en su subsanación y plantear la estrategia de limitación de daños. En muchos casos incluirá un plan de comunicación a la dirección, los afectados, las autoridades e incluso el público a través de los medios de comunicación. Es esencial actuar coordinadamente con las áreas jurídica y de comunicación de la Organización.

4.- SUBPROCESOS / PRACTICAS / ACTIVIDADES / TAREAS

4.1.- Evaluación y gestión de riesgos

En el marco de la gestión de riesgos general de la Organización a la que sirve la TI, se establecerá:

  • El marco general de la evaluación de riesgos
  • La identificación de los eventos con efecto potencialmente dañino en los objetivos u operaciones. Los daños pueden ser materiales, humanos, económicos, reputacionales, legales, etc..
  • Valoración del riesgo. Se tratará de asignar una probabilidad a cada evento potencial y cuantificar o al menos asignar un nivel al impacto potencial.
  • Mitigación. Establecer las medidas de reducción de la probabilidad o del daño conforme a los principios de proporcionalidad y eficiencia.
  • Seguimiento de los riesgos.
  • Registro, análisis y comunicación de incidentes

El producto material de este subproceso es la confección y el mantenimiento de un Plan de Seguridad, así como un sistema de confección de métricas y reporting periódico a la dirección de TI y de la organización (típicamente mensual).

Se recomienda que el plan de seguridad se revise al menos anualmente, dada la rapidez con la que se suceden los cambios en las tecnologías y por tanto en los riesgos.

4.2.- Gestión de la seguridad física

Los principales recursos y tareas que componen este subproceso son:

  • Acceso físico de las personas a las instalaciones. Tornos, tarjetas de identificación o dispositivos biométricos. Mantenimiento de vigencias.
  • Control de entrada y salida de equipos y materiales. Escaneres anti explosivos. Verificación de la autorización de entrada y salida
  • Prevención de actos vandálicos y terroristas. Especialmente en dispositivos de acceso público (cajeros automáticos, p.e.)
  • Prevención de incendios, inundaciones o fenómenos naturales. Revisión de sistemas antiincedios. En el caso de salas de equipos con gases especiales.
  • Establecimiento y prueba de procedimientos de evacuación ordenada. Simulacros periódicos, asignación de responsabilidades, etc..

4.3.- Control de acceso a la información

Este subproceso incluye diferentes tareas, como son:

  • Gestión de identidades. Establecimiento de los mecanismos de identificación de las personas que vayan a interactuar con los sistemas, sean administradores, usuarios internos o clientes finales. Estos mecanismos podrán ir desde complejos sistemas biométricos a simples mecanismos de codigo de usuario y password, en función de la robustez requerida tras una evaluación de riesgos y costes. En cualquier caso deben contar con procedimientos seguros de generación, entrega, renovación, cancelación y caducidad.
  • Gestión de cuentas de usuario. Para cada usuario y en cada sistema, se deberán establecer los privilegios o capacidades concretas en función de su actividad legítima, equilibrando una carga administrativa moderada con una asignación de derechos ajustada.
  • Gestión de claves criptográficas. Los sistemas criptográficos de control de acceso requieren la generación, custodia y renovación periódica de claves. Esta función ha de realizarse bajo estrictos protocolos puesto que, en caso contrario, se compromete la eficacia de las protecciones.

4.4.- Seguridad en redes

Incluiremos en este subproceso las tareas necesarias para evitar las intrusiones y daños en nuestros sistemas, ante amenazas como la intrusión, virus, troyanos, ataques de denegación de servicio, spam, etc..

  • Gestión de mecanismos de aislamiento (firewalls, vlanes, vpn's, etc..)
  • Sistemas de registro, análisis y alerta ante eventos
  • Administración de productos antivirus, antispam, etc..

4.5.- Continuidad de negocio

Su objetivo es asegurar la continuidad del negocio en la Organización mediante el adecuado respaldo local ante averías y remoto ante catástrofes.

El primer paso es establecer, de acuerdo con las áreas de negocio y las reglamentaciones aplicables, las condiciones máximas de pérdida de servicio y de datos. Estas especificaciones se acordarán en base a un equilibrio razonable con los costes y la evaluación de riesgos realizada.

Se realizarán las siguientes tareas:

  • Mantener permamentemente actualizados los planes de continuidad
  • Probar periódicamente su buen funcionamiento en las condiciones más verosímiles posible, de forma que se compruebe el cumplimiento de las especificaciones
  • Asegurar día a día que los cambios que se van haciendo a la configuración de sistemas no perturban la garantía de continuidad
  • Gestionar las inversiones y gastos necesarios, internos o adquiridos a proveedores para mantener las garantías de acuerdo a la especificación.

El resultado, habitualmente, consistirá en establecer recursos de almacenamiento de datos, proceso, comunicaciones y personal alternativo para el caso de que un incidente impida la prestación normal de los servicios (centro o centros de respaldo).

4.6.- Auditorías externas

Es muy frecuente que las organizaciones de TI, por motivos regulatorios, se vean sometidos a numerosas auditorias o revisiones periódicas para contrastar la seguridad de sus operaciones.

Algunos ejemplos serían:

  • En España: LOPD al menos cada dos años
  • En la industria de tarjetas de crédito: PCI-DSS anual y trimestral
  • Vinculadas a la auditoría financiera: Controles generales

Esto obliga a la organización de TI a realizar un trabajo continuo de coordinación de las auditorías, prestando a los auditores el soporte necesario y facilitándoles la información y acceso a personas y equipos que requiren.

Además, ha de gestionar la resolución de las incidencias encontradas y las recomendaciones de mejora, persiguiendo a las diferentes áreas de la organización de TI hasta que todas queden cerradas.

5.- HERRAMIENTAS / PRODUCTOS

Citaremos las mas importantes herramientas o tecnologías utilizadas en la gestión de la seguridad.

Para la gestión de riesgos

  • Plan de seguridad de la información (según ISO 27001, por ejemplo)
  • Base de datos de incidencias de seguridad

Para la seguridad física

  • Tornos de acceso a las instalaciones
  • Tarjetas de identificación (simples, con radiofrecuencia, con datos biométricos, etc..)
  • Elementos de reconocimiento biométrico (huellas dactilares, iris del ojo, forma de la mano, etc..)

Para el control de acceso a la información

  • Infraestructuras de llave pública (PKI)
  • Directorios de usuarios (Microsoft Active Directory, OpenLDAP, RACF, etc..)
  • Encriptación de datos (PGP, GPG, TrueCrypt, etc..)
  • Sistemas de acceso unificado (single sign on)
  • Firma digital

Para seguridad en redes

  • Firewalls
  • Antivirus
  • Antispam
  • Detectores de intrusos
  • Analizadores de logs
  • Seguridad en la web (OpenSSL,..)
  • Encriptación en redes, tunneling (CISCO ...., SSH, OpenVPN)

Para la continuidad de negocio

  • Plan de continuidad del negocio (según BS25999, por ejemplo)
  • Herramientas de backup
  • Replicado de datos remoto

6.- METRICAS

Algunos de los eventos cuya medida y seguimiento proponemos son:

  • Número de incidencias de seguridad sufridos
  • Errores en login
  • Defectos detectados por las auditorías
  • Spam interceptado
  • Virus eliminados
  • Ataques sufridos desde internet

7.-EN LOS MODELOS

7.1.- En CMMI

Tanto en CMMI-DEV como en CMMI-SRV existe un área de procesos denominada Gestión de Riesgos (RSKM), cuyo enfoque, siguiendo la tradición del modelo, está en la gestión de riesgos en proyectos, proponiendo una metodología genérica de identificación, evaluación y desarrollo de planes de mitigación de riesgos. Es una visión correcta pero muy parcial de la gestión de la seguridad en TI.

En el modelo CMMI-SRV introduce un área de procesos de nivel 3 denominada Continuidad de servicios (SCON), que traslada a la operación de los servicios el enfoque de gestión de riesgos de forma homóloga al de proyectos. Está documentado de una forma también muy genérica.

El resultado es que CMMI no trata con el detalle que merece los procesos de gestión de la seguridad.

7.2.- En ITIL

ITIL V3 - Libro II - Service Design

El capítulo "4.5. IT Service Continuity Management" trata de la gestión de la continuidad como un proceso del diseño de servicios, no como parte de la gestión diaria de la seguridad. Desde luego las capacidades o los requisitos de continuidad deben ser parte esencial del diseño de servicios y figurar en los SLA, como un aspecto fundamental del nivel de servicio. Pero asegurar, medir y gestionar su logro en el día a día forma parte del proceso de gestión de la seguridad del servicio.

El capítulo "4.6. Information Security Management" define la gestión de la seguridad de la información como otro proceso dentro del diseño de servicios. Aunque la ubicación de este proceso es muy discutible, hace un repaso amplio de los principales aspectos de la gestión de la seguridad. Recomienda un Sistema de Gestión de la Seguridad de la Información basado o similar al de ISO 27001.

ITIL V3 - Libro IV - Service Operation

El capítulo "4.5. Access Management", desarrollo el proceso de asignación a los usuarios autorizados del derecho a usar un servicio. Se centra en la gestión de permisos o gestión de identidades.

7.3.- En COBIT

Como cabe esperar por su propia naturaleza, COBIT presta una atención preferente a los aspectos de seguridad, a un nivel proporcionalmente mucho mayor que los demás modelos.

Encontramos referencias importantes a la gestión de la seguridad en los siguientes procesos, uno del dominio de  Planifación y Organización y el resto de Entrega y Soporte.

P09: Evaluar y gestionar riesgos de TI

Se describe el proceso, sus objetivos y mejores prácticas. Busca alinear la gestión de riesgos de TI con la de la Organización, identificar los posibles eventos con potencial negativo, su probabilidad y eventual daño, así como la respuesta para mitigar o aceptar el riesgo.

DS4: Asegurar la continuidad del servicio

Describe con bastante profundidad el proceso de asegurar la continuidad del servicio, detallando los apartados que debe contener un plan de continuidad y las tareas relacionadas.

DS5: Asegurar la seguridad de los sistemas

En este proceso describe las tareas que incluirán en la práctica la gestión de la seguridad de los sistemas, centrándose fundamentalmente en el control de acceso y seguridad en redes.

DS11: Gestionar los datos

Dentro del proceso de gestión de los datos hace una referencia parcial a las políticas de backup y restauración y a los requerimientos de seguridad.

DS12: Gestionar las instalaciones

Como parte del proceso de gestionar las instalaciones físicas se incluye las medidas de seguridad física, control de acceso y protección ante factores ambientales.

7.4.- Otros modelos o normas

ISO 27001 - Requerimientos de los sistemas de gestión de la seguridad de la información

BS 25999 - Gestión de la continuidad del negocio

Norma del British Standards que da unas ideas generales sobre cómo gestionar la continuidad del negocio

PCI-DSS - Payment Card Industry - Data Security Standard

Es un estándar de seguridad de la información exigido en la industria de los medios de pago a nivel europeo (de momento).

MAGERIT – versión 2.Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información

Metodología de análisis y gestión de riesgos elaborada por el Consejo Superior de Administración Electrónica.

8.- REFERENCIAS

8.1.- Bibliografía

Seguridad de las tecnologías de la información (Fernández-Medina Patón, Eduard; Moya Quiles, Roberto; Piattini Velthuis, Mario Gerardo). AENOR

Security metrics (Jaquith, Andrew). Addison-Wesley

8.2.- Legislación

LOPD - Ley Orgánica de Protección de Datos de Carácter Personal (España)

Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal

Ley de Servicios de la Sociedad de la Información

8.3.- Sitios web

Agencia Española de Protección de Datos

Sitio Web del Ministerio de Industria Turismo y Comercio de España sobre la LSSI

PCI Security Standards Council

Conexión Inversa (Computer Forensics)

 

»