HACIA UNA CULTURA DE SEGURIDAD DE LA INFORMACIN, DIRECTRICES DE LA OCDE

Lic. Espedito Passarello. Introduccin. Luego de la postguerra, y en las sucesivas dcadas se fueron utilizando diferentes palabras para denominar y comunicar los fenmenos relacionados con la convergencia de las disciplinas abarcativas de la electrnica, la computacin y las telecomunicaciones (ciberntica, computacin cientfica, automacin, procesamiento automtico de datos, sistemas de computacin de datos, telemtica, robotica,). No cabe duda que luego del Y2K (ao 2000), se ha iniciado una nueva era en lo concerniente a la insercin, innovacin y gobernabilidad de las nuevas tecnologas de la informacin, la informtica y las comunicaciones. La misma est caracterizada por las necesidades y acciones referidas a la seguridad en general (ciudadana, jurdica, econmica, etc.) y en particular a la seguridad de la informacin, ya que es la que permite el entrecruzamiento y trazabilidad de todas ellas para asegurar las demandas cruciales de estos tiempos; transparencia y accesibilidad en la gestin de gobierno de instituciones pblicas y privadas. Durante la dcada de los setenta y ochenta la promocin de formulacin de polticas de informacin e informtica estaban signadas por sus implicancias en el desarrollo(Estado del bienestar), a partir de los noventa (modelos mas liberales) el eje pas por la disposicin de plataformas tecnolgicas para soportar modelos de negocios (an en lo pblico). A partir del 11/11/2001, la situacin ha cambiado totalmente, la seguridad se transform de una razn de Estado, a una cultura de la seguridad a partir de los programas para la sensibilizacin y concientizacin de cada ciudadano, con el fin de revertir los efectos de la Ingeniera social realizada por aquellos intereses en vulnerar el orden social e institucional de las naciones y corporaciones comerciales. Estas y no otras han sido las causas por la que, a partir de abril del 2001, considere adecuado y oportuno tomar el tema de la seguridad de la informacin como prioritario en el Comit de Tecnologas de la Informacin, que presido. Hoy no solo se han corroborado ciertas hiptesis de trabajo (Leyes de Habeas Data, Firma digital, Proyecto de Ley de Delitos Informticos, etc.), en el concierto mundial ya se ha llegado a mas de cuatrocientas certificaciones de seguridad de la informacin (ISO 17799 y BS 7799-2) y esto es a requerimiento de empresas e instituciones. Los paradigmas de; -Gobierno electrnico, -Voto electrnico, -Software libre, -y toda otra concepcin sern implementaciones fantasiosas sin la cultura de la seguridad de la informacin.Trataremos en los siguientes puntos de analizar los aspectos mas relevantes que se consideran para llegar a cubrir esta brecha de conocimientos y normatizacin (estndares y mejores prcticas). A continuacin se detallarn las acciones aprobadas por la OCDE en dicha materia.

Lic. Espedito Passarello

DIRECTRICES PARA LA SEGURIDAD DE INFORMACIN.

1.Desde que en 1992 la OCDE desarrollara por primera vez las Directrices de Seguridad de los Sistemas de Informacin , el uso de los sistemas y redes de informacin, as como el entorno tecnolgico de informacin, en su totalidad, han sufrido grandes cambios. Estos cambios continuos ofrecen grandes ventajas, pero hacen necesario que los gobiernos, las empresas, y otras organizaciones y usuarios que desarrollan, poseen, proporcionan, administran estos servicios, y usan sistemas y redes de informacin (participantes) pongan mayor atencin en los aspectos relacionados con la seguridad. 2. El ambiente que predominaba en el pasado, en el que los sistemas operaban de manera aislada o en redes privadas, ha sido sustituido por computadoras personales que cada vez tienen mayor capacidad de proceso, as como por tecnologas convergentes y por la propia difusin masiva del uso del Internet. Hoy en da los participantes se encuentran cada vez ms interconectados, y esta interconexin se extiende ms all de las fronteras nacionales. Al mismo tiempo, Internet forma parte de la infraestructura operativa de sectores estratgicos como energa, transportes y finanzas, y desempea un papel fundamental en la forma en que las compaas realizan sus transacciones comerciales, los gobiernos proporcionan sus servicios a los ciudadanos y a las empresas, y los ciudadanos se comunican e intercambian informacin de manera individual. La naturaleza y el tipo de tecnologas que constituyen la infraestructura de la informacin y comunicaciones tambin han cambiado de manera significativa. El nmero y el tipo de dispositivos que integran la infraestructura de acceso se ha multiplicado, incluyendo elementos de tecnologa fija, inalmbrica y mvil , as como una proporcin creciente de accesos que estn conectados de manera permanente. Como consecuencia de todos estos cambios, la naturaleza, volumen y sensibilidad de la informacin que se intercambia a travs de esta infraestructura se ha incrementado de manera muy significativa. 3. Como resultado de una creciente interconexin, los sistemas y las redes de informacin son ms vulnerables, ya que estn expuestos a un nmero creciente, as como a una mayor variedad, de amenazas y de vulnerabilidades. Esto hace que surjan nuevos retos que deben abordarse en materia de seguridad. Por estas razones, estas Directrices se aplican para todos los participantes de la nueva sociedad de la informacin y sugieren la necesidad de tener una mayor conciencia y entendimiento de los aspectos de seguridad, as como de la necesidad de desarrollar una cultura de seguridad. I. HACIA UNA CULTURA DE SEGURIDAD 4. Estas Directrices pretenden dar respuesta a un ambiente de seguridad cada vez ms cambiante, a travs de la promocin del desarrollo de una cultura de seguridad esto es, centrndose en la seguridad del desarrollo de sistemas y redes de informacin, as como en la adopcin de nuevas formas de pensamiento y comportamiento en el uso e interconexin de sistemas y redes de informacin. Estas Directrices marcan una clara ruptura con un tiempo en el que los aspectos de seguridad y el uso de redes y sistemas se consideraban con frecuencia como elementos a posteriori. Los sistemas, redes y servicios de informacin afines, deben ser fiables y seguros, dado que los participantes son cada vez ms dependientes de stos. Slo un enfoque que tome en cuenta los intereses de todos los participantes y la naturaleza de los sistemas, redes y servicios afines puede proporcionar una seguridad efectiva. 5. Cada participante es un actor importante en la garanta de la seguridad. Cada participante de acuerdo con el papel que desempea deber ser consciente de los riesgos de seguridad y de las medidas preventivas que sean oportunas, debiendo asumir la responsabilidad que les corresponde y tomar las medidas necesarias para fortalecer la seguridad de los sistemas y redes de informacin. 6. La promocin de una cultura de seguridad requerir tanto un liderazgo fuerte como una participacin amplia para asegurar que se le otorgue un carcter de prioritario a la planificacin y administracin de la seguridad, as como la comprensin de la necesidad de

Lic. Espedito Passarello

una seguridad plena entre todos los participantes. Los aspectos de seguridad deberan ser objeto de inters y responsabilidad a todos los niveles de la administracin pblica y empresa, as como para todos los participantes. Estas Directrices constituyen una base de trabajo fundamental hacia una cultura de seguridad para toda la sociedad. Ello permitir que los participantes consideren la seguridad en el diseo y uso de los sistemas y de las redes de informacin. Asimismo, estas Directrices proponen que todos los participantes adopten y promuevan una cultura de seguridad como modo de pensar, as como de evaluar y actuar en los sistemas y redes de informacin. II. PROPSITOS 7. Los propsitos de estas Directrices son: Promover una cultura de seguridad entre todos los participantes como medio de proteger los sistemas y redes de informacin. Incrementar la concienciacin sobre el riesgo de los sistemas y redes de informacin; sobre las polticas, prcticas, medidas y procedimientos disponibles para poder afrontar estos riesgos; as como sobre la necesidad de adoptarlos y ejecutarlos. Promover entre todos los participantes una confianza mayor en los sistemas y redes de informacin, s como en la forma de operar y de uso. Crear un marco general de referencia que ayude a los participantes en la comprensin de los aspectos de seguridad y respeto de va lores ticos en el desarrollo y ejecucin de polticas coherentes, as como de prcticas, medidas y procedimientos para la seguridad de sistemas y redes de informacin. Promover entre todos los participantes cuando sea posible, la cooperacin y el intercambio de informacin sobre el desarrollo y ejecucin de polticas de seguridad, as como de prcticas, medidas y procedimientos. Promover el conocimiento en materia de seguridad como un objetivo importante a lograr entre todos los participantes involucrados en el desarrollo y ejecucin de normas tcnicas. III. PRINCIPIOS 8. Los siguientes nueve principios son complementarios entre s, y deben ser interpretados como un todo. stos son de inters general para todos los participantes y a todos los niveles, tanto en el mbito poltico como tcnico. De acuerdo con estas Directrices, la responsabilidad de los mismos vara de acuerdo con los papeles que desempeen. Todos se vern beneficiados por la concienciacin, educacin, intercambio de informacin y capacitacin que lleven a la adopcin de un mejor entendimiento de la seguridad y de las prcticas requeridas. Los esfuerzos para fortalecer la seguridad de los sistemas y redes de informacin deben ser consistentes con los valores de una sociedad democrtica, en particular con la necesidad de contar con flujos de informacin libres y abiertos, y los principios bsicos de proteccin de la privacidad personal 1 . 1) Concienciacin Los participantes debern ser conscientes de la necesidad de contar con sistemas y redes de informacin seguros, y tener conocimiento de los medios para ampliar la seguridad. El conocimiento de los riesgos y de los mecanismos disponibles de salvaguardia, es el primer paso en la defensa de la seguridad de los sistemas y redes de informacin. Estos sistemas y redes de informacin pueden verse afectados tanto por riesgos internos como externos. Los participantes deben comprender que los fallos en la seguridad pueden daar significativamente los sistemas y redes que estn bajo su control. Deben asimismo ser conscientes del dao potencial que esto puede provocar a otros derivados de la interconexin y la interdependencia. Los participantes deben tener conocimiento de las configuraciones y actualizaciones disponibles para sus sistemas, as como su lugar que ocupan dentro de las redes, las prcticas a ejecutar para ampliar la seguridad, y las necesidades del resto de los participantes.

Lic. Espedito Passarello

2) Responsabilidad Todos los participantes son responsables de la seguridad de los sistemas y redes de informacin. Los participantes dependen de los sistemas y redes de informacin locales y globales, y deben comprender su responsabilidad en la salvaguarda de la seguridad de los sistemas y redes de informacin. Asimismo deben responder ante esta responsabilidad de una manera apropiada a su papel individual. Los participantes deben igualmente revisar sus propias polticas, prcticas, medidas y procedimientos de manera regular, y evaluar si stos son apropiados en relacin con su propio entorno. Aquellos que desarrollan y disean o suministran productos o servicios debern elevar la seguridad de los sistemas y redes, y distribuir a los usuarios de manera apropiada informacin adecuada en materia de seguridad, incluyendo actualizaciones, para que stos entiendan mejor la funcionalidad de la seguridad de sus productos y servicios, as como la responsabilidad que les corresponde en materia de seguridad. 3) Respuesta Los participantes deben actuar de manera adecuada y conjunta para prevenir, detectar y responder a incidentes que afecten la seguridad. Al reconocer la interconexin de los sistemas y de las redes de informacin, as como el riesgo potencial de un dao que se extienda con rapidez y tenga una alcance amplio, los participantes deben actuar de manera adecuada y conjunta para enfrentarse a los incidentes que afecten la seguridad. Asimismo han de compartir informacin sobre los riesgos y vulnerabilidades y ejecutar procedimientos para una cooperacin rpida y efectiva que permita prevenir, detectar y responder a incidentes que afecten a la seguridad. Cuando sea posible, estas actuaciones habrn de suponer un intercambio de informacin y una cooperacin transfronteriza. 4) tica Los participantes deben respetar los intereses legtimos de terceros. Debido a la permeabilidad de los sistemas y de las redes de informacin en nuestras sociedades, los participantes necesitan reconocer que sus acciones o la falta de stas, pueden comportar daos a terceros. Es crucial mantener una conducta tica, debiendo los participantes hacer esfuerzos por desarrollar y adoptar buenas prcticas y promover conductas que reconozcan la necesidad de salvaguardar la seguridad y respetar los intereses legtimos de terceros. 5) Democracia. La seguridad de los sistemas y redes de informacin debe ser compatible con los valores esenciales de una sociedad democrtica. La seguridad debe lograrse de manera consistente con garanta de los valores reconocidos por las sociedades democrticas, incluyendo la libertad de intercambio de pensamiento e ideas, as como el libre flujo de informacin, la confidencialidad de la informacin y la comunicacin y la proteccin apropiada de informacin personal, apertura y transparencia. 6) Evaluacin del riesgo Los participantes deben llevar a cabo evaluaciones de riesgo. La evaluacin del riesgo identificar las amenazas y vulnerabilidades, y debe ser lo suficientemente amplia para incluir factores internos y externos fundamentales como tecnologa, factores fsicos y humanos, y polticas y servicios de terceros que tengan repercusiones en la seguridad. La evaluacin del riesgo permitir determinar los niveles aceptables de seguridad y ayudar en la seleccin de controles apropiados para administrar el riesgo de daos potenciales a los sistemas y redes de informacin, en relacin a la naturaleza e importancia de la informacin que debe ser protegida. Debido a la creciente interconexin de los sistemas de informacin, la evaluacin del riesgo debe incluir asimismo consideraciones acerca del dao potencial que se puede causarse a terceros o que pueden tener su origen en terceras personas.

Lic. Espedito Passarello

7) Diseo y realizacin de la seguridad. Los participantes deben incorporar la seguridad como un elemento esencial de los sistemas y redes de informacin. Los sistemas, las redes y las polticas debern ser diseados, ejecutados y coordinados de manera apropiada para optimizar la seguridad. Un enfoque mayor pero no exclusivo de este esfuerzo ha de encontrarse en el diseo y adopcin de mecanismos y soluciones que salvaguarden o limiten el dao potencial de amenazas o vulnerabilidades identificadas. Tanto las salvaguardas tcnicas como las no tcnicas as como las soluciones a adoptar se hacen imprescindibles, debiendo ser proporcionales al valor de la informacin de los sistemas y redes de informacin. La seguridad ha de ser un elemento fundamental de todos los productos, servicios, sistemas y redes; y una parte integral del diseo y arquitectura de los sistemas. Para los usuarios finales el diseo e implementacin de la seguridad radica fundamentalmente en la seleccin y configuracin de los productos y servicios de sus sistemas. 8) Gestin de la Seguridad. Los participantes deben adoptar una visin integral de la administracin de la seguridad. La gestin de la seguridad debe estar basada en la evaluacin del riesgo y ser dinmica, debiendo comprender todos los niveles de las actividades de los participantes y todos los aspectos de sus operaciones. Asimismo ha de incluir posibles respuestas anticipadas a riesgos emergentes y considerar la prevencin, deteccin y respuesta a incidentes que afecten a la seguridad, recuperacin de sistemas, mantenimiento permanente, revisin y auditora. Las polticas de seguridad de los sistemas y redes de informacin, as como las prcticas, medidas y procedimientos deben estar coordinadas e integradas para crear un sistema coherente de seguridad. Las exigencias en materia de gestin de seguridad dependern de los niveles de participacin, del papel que desempean los participantes, del riesgo de que se trate y de los requerimientos del sistema. 9) Reevaluacin Los participantes deben revisar y reevaluar la seguridad de sus sistemas y redes de informacin, y realizar las modificaciones pertinentes sobre sus polticas, prcticas, medidas y procedimientos de seguridad. De manera constante se descubren nuevas amenazas y vulnerabilidades. Los participantes debern, en este sentido, revisar y evaluar, y modificar todos los aspectos de la seguridad de manera continuada, a fin de poder enfrentarse a riesgos siempre en evolucin permanente. NOTA: Adems de las Directrices sobre Seguridad, la OCDE ha desarrollado Recomendaciones complementarias
relativas a las directrices a seguir en otros aspectos importantes de la sociedad de la informacin mundial. Tales se refieren a la privacidad (Directrices de la OCDE en materia de Proteccin de la Privacidad y de los flujos transfronterizos de Datos Personales) y a la criptografa (Directrices de la OCDE en materia de Polticas de Criptografa de 1997). Las Directrices sobre Seguridad habrn de ser interpretadas en virtud de stas otras Directrices.

Lic. Espedito Passarello