De la seguridad informtica De la seguridad informtica a la seguridad de la informacin M Jess Recio Responsable de Calidad de Servicios de Infraestructura, dentro del rea Calidad Operativa - Operaciones TI de la Direccin de Calidad y Medio Ambiente de Indra Desde hace ya algunos aos la informa- cin est definida como el activo ms valioso de una compaa (los costes de- rivados de prdida de seguridad no son slo costes econmicos directos, sino que tambin afectan a la imagen de la empresa), por lo que, cada vez ms, la seguridad de la informacin forma parte de los objetivos de las organizaciones y, sin embargo, y a pesar de esa concien- ciacin generalizada, muchas compa- as no se enfrentan a este aspecto con la globalidad con la que debiera tratarse. Adems de esta falta de visin global, existe otro factor que afecta a la estrate- gia de seguridad de una organizacin: la dispersin de las inversiones de seguri- dad en mltiples nichos desalineados con el objetivo global, de modo que la focalizacin en cuestiones concretas de seguridad hace olvidar el objetivo estra- tgico. Cuando una empresa define la segu- ridad de la informacin como prioridad, estableciendo medidas que ayuden a conseguirla, de manera inmediata se plantea la necesidad de instalar mecanis- mos, llammosles fsicos, que permitan controlar los riesgos asociados a la se- guridad ms inmediata; mecanismos en- tre los que se encuentran desde las me- didas fsicas aplicables al espacio en el que se ubican los sistemas que contie- nen la informacin (control de acceso al CPD, video-vigilancia, etc.) hasta las me- didas fsicas asociadas a la arquitectura de su red (cortafuegos, sistemas de de- teccin y prevencin de intrusin, antivi- rus, control de contenidos), dejando a un lado aspectos muy relevantes sin los cuales no se puede considerar una bue- na gestin de la seguridad. Bsicamente se centra en la aplicacin de una seguri- dad informtica y no en la aplicacin de una seguridad de la informacin. El punto fundamental de partida para el establecimiento y mantenimiento con garantas de xito de la seguridad de la informacin es la definicin clara de obje- tivos a partir de los cuales desarrollar las polticas y procedimientos que definan el marco en el que situar las medidas de seguridad a implantar, teniendo en cuen- ta aspectos como las leyes que rigen en materia de seguridad el espacio geogr- fico en el que se ubica la organizacin ARTCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 15 (LOPD, por ejemplo, en Espaa), los com- promisos con terceros en el cumplimien- to de normas que tenga la compaa (SAS70, 27001, etc.) y, por supuesto, el da a da del negocio. Construyendo la seguridad. El punto de partida: establecimiento de responsables y definicin de objetivos Como se ha mencionado anteriormente, el punto de partida siempre debe ser la definicin de los objetivos que, en materia de seguridad, quieren alcanzarse y el gra- do de consecucin de los mismos; como en casi todo, el nivel de seguridad objeti- vo ser proporcional a la inversin que se realice para conseguirlo. La pregunta que debe regir la definicin de este grado es: cunto vale mi informacin?. Igualmente es fundamental conocer otros aspectos como son el punto de partida (en qu punto se encuentra la se- guridad), los riesgos de la seguridad que pueden potencialmente afectar a la com- paa en funcin de aspectos como el negocio o el espacio geogrfico, el trata- miento o asuncin de estos riesgos y el impacto de los mismos, materializados todos ello en un anlisis de riesgos. Debe considerarse, por tanto, el anlisis de riesgos perfectamente alineado con la visin de la organizacin y dentro de su entorno de operacin como el punto central para el establecimiento en detalle de las medidas (controles) de seguridad que deben implantase y con ello el grado de consecucin de los objetivos de se- guridad establecidos. El objetivo marcado, la identificacin de riesgos y con ello la de controles a implantar, el grado de consecucin y los plazos establecidos para lograrlo deter- minan, adems de la inversin necesaria, el equipo de trabajo que debe estable- cerse para la implantacin de todas las medidas. Por regla general este equipo de seguridad debe ser multidisciplinar, formado por ingenieros de sistemas, socilogos, abogados y consultores en la materia, dado que hay que enfrentarse a tareas dentro de todas y cada una de estas reas de especializacin. Una vez establecido el objetivo, y defi- nido el equipo de seguridad, ser nece- sario diseccionar dicho objetivo a travs del desarrollo de una normativa com- puesta por polticas y procedimientos, que van desde la poltica de seguridad de la compaa (documento global en el que se recogen dichos objetivos, se definen controles genricos de seguridad [en fun- cin del resultado obtenido en el anlisis de riesgos] y se establecen directrices bsicas acordes tanto a los requisitos del negocio como a la legislacin y normativa vigente) hasta procedimientos e instruc- ciones tcnicas que recojan las directri- ces de seguridad a cumplir en el uso de las activos de la compaa, todo ello en- caminado a la implantacin de los con- troles de seguridad precisos y necesarios segn el anlisis de riesgos realizado, y siempre teniendo en cuenta la actividad diaria de la organizacin. Es fundamental en el desarrollo de esta normativa tener en cuenta el modo en el que se lleva a cabo la actividad dia- ria para que asegurar que el cumplimien- to de esta normativa no impacte de ma- nera severa en el funcionamiento de la organizacin. Las siguientes tablas recogen, a modo de ejemplo, un listado de posibles do- cumentos a definir por la compaa en materia de seguridad, divididos por pol- ticas, procedimientos e instrucciones tcnicas. Cuadro 1. Metodologa para el anlisis de riesgos Entrevistas: mediante este tipo de aproximacin a la organizacin, se busca en- tender los diferentes aspectos que la conforman, tanto en el aspecto tecnolgico como en los procesos crticos, los cuales, a su vez, son soportados por las aplica- ciones y la infraestructura tecnolgica. Evaluacin de riesgo: la evaluacin de riesgos identifica las amenazas, vulnerabi- lidades y riesgos de la informacin sobre la plataforma tecnolgica de una orga- nizacin con el fin de generar un plan de implementacin de los controles que aseguren un ambiente seguro, bajo los criterios de disponibilidad, confidenciali- dad e integridad de la informacin. Los dos puntos importantes a considerar son: la probabilidad de una amenaza y la magnitud del impacto sobre el sistema si sta llega a materializarse. Determinacin de la probabilidad: con el fin de derivar una probabilidad o una estimacin de la ocurrencia de un evento, se deben tener en cuenta dos factores: fuente de la amenaza y capacidad y naturaleza de la vulnerabilidad. Magnitud del impacto: determina el impacto adverso para la organizacin como resultado de la explotacin por parte de una amenaza de una determina- da vulnerabilidad; para ello se deben considerar los siguientes aspectos: conse- cuencias de tipo financiero, es decir, prdidas causadas sobre un activo fsico o lgico determinado y consecuencias provocadas por la inoperatividad del activo afectado, la criticidad de los datos y el sistema (importancia a la organizacin) y, cmo no, la sensibilidad de los datos y el sistema. Identificacin de controles: se evala la matriz de riesgo obtenida previamente con el fin de identificar los controles que mitiguen los riesgos detectados. Cuadro 2. Definiciones Riesgo: posibilidad de sufrir algn dao o prdida. Activo: datos, infraestructura, hardware, software, personal y su experiencia, informacin, servicios. SEGURIDAD Y SALUD / ARTCULO CALIDAD julio-septiembre 2012 16 Ya definidas las polticas, procedimien- tos e instrucciones tcnicas, se debe proceder a la distribucin de todos los estamentos de la organizacin, as como a la concienciacin para el cumplimiento de las medidas definidas. Son muchas las compaas que, si bien han cumplido con la definicin de estos documentos y su difusin, no han sabido concienciar a sus empleados. Se debe tener presente que por mucho que se definan y se difundan medidas de se- guridad, si la compaa no es capaz de concienciar adecuadamente para su cumplimiento, se habr fracasado en la consecucin de los objetivos marca- dos, sean stos cualesquiera. La concienciacin es una tarea muy difcil de gestionar, sobre todo en organi- zaciones que por su tamao y dispersin geogrfica impiden una relacin directa entre el equipo de seguridad y el resto de los empleados. Algunas medidas que pueden ayudar a esta concienciacin son: Realizacin de charlas formativas pe- ridicas. Envo regular de pldoras informativas con pequeos resmenes a travs del correo electrnico. Publicacin en las intranets corporati- vas de las presentaciones. Foros divulgativos sobre seguridad. Todas ellas aplicadas siguiendo una premisa bsica: cercana al destinatario. Tabla 2 PROCEDIMIENTOS Procedimiento de copias de seguridad Procedimiento de altas/bajas de usuario Procedimiento de cifrado de informacin Tipologa de redes Procedimiento de auditora de vulnerabilidades Procedimiento de usuarios administradores Procedimiento de actuacin ante la prdida de un equipo porttil con informacin ALCANCE DEL DOCUMENTO Detalle de cmo realizar las copias Detalle de cmo gestionar usuarios Detalle de cundo y cmo debe cifrarse la informacin Requisitos tcnicos de seguridad de las posibles arquitecturas de red Detalle de realizacin de auditoras de vulnerabilidades Detalle de gestin de usuarios administradores Detalle, para todos los empleados, de los pasos a dar cuando se extrava un equipo con informacin delicada Tabla 3 INSTRUCCIONES TCNICAS Gua de securizacin de sistemas Gua de securizacin de BBDD Gua de securizacin de comunicaciones Gua de securizacin de elementos de comunicaciones Gua de securizacin de software adicional (navegadores, servidores web, servidores de aplicaciones, aplicaciones basadas en SAP) Tabla 1 POLTICAS Poltica de seguridad de la compaa Para aquellas afectadas por la LOPD, documento de seguridad y manuales de seguridad asociados Poltica de copias de seguridad Poltica de uso de Internet y correo electrnico Poltica de gestin de contraseas Poltica de antivirus Poltica de publicacin en Internet Cdigo de uso aceptable ALCANCE DEL DOCUMENTO Objetivos de seguridad de la compaa Cumplir con lo establecido en la Ley Orgnica de Proteccin de Datos Establecer la poltica para la realizacin de backups de la informacin Recoger las reglas generales de utilizacin de estas herramientas Recoger las medidas de seguridad que rigen la gestin de contraseas (longitud, caracteres, caducidad, almacenamiento, etc.) Gestin de antivirus, activacin, etc. Normativa para disponer mquinas en Internet Normativa general a cumplir por todos los usuarios en materia de seguridad Grfico 1 Concienciar Difundir Definir ARTCULO / SEGURIDAD Y SALUD julio-septiembre 2012 CALIDAD 17 jj l jul jul uul l ju jul juul u jul ju jul uuu ju juu juuuuuu jul jul l uuuu jull juul jjjjjjjj iiio- o-- io io io io- o io- o- o- o- o- io io- io- io- oo io- o- o- o--- iooo- oo- o-- o- ioooooooooo- o- oooooooooo- oooo- oooooo ioooooooooooooo sse se se se se se sep sep ep ep ep ep ep sse ssse sepp se se sse sse sse ep se se se se se se epp se sssse se se se se se ssse se se sssse sse se ssse ee sse see se se sse s ii tie tie tie tie tie ie ie ttieee tiee tiee tti t ee bb mbr mbr mbr mbr mbr mbr mbr mbr mbr bbr mmbr mbrr 2222 e 2 e 2 e 2 e 2 e 2 e 2 e 2 ee 2 e 2 e 222012 01 012 0012 012 012 012 012 012 1 012 12 1 012 CAL CAL CAL CAL CAL CA CAL AL ALLLLLL CAL CA CAAAL AAAALLLLL AAAALLL CAL CAALLLLL AL ALLLLLL AL ALLLLLLLLLLLLLLLLLLLLL AL CALL ALLID IIIDA IDDDDDA DA DA DDA DDDDAAA DAA DAAA DAAAAAA DDDDDDAAAAAAAAA DA DDA DAAAAAA DAAA IIIDDDAAAAAA DA DA DA IDAA DAAA DA DA DA IDDDAAAA IDA IIDDAAA DAA DA DA IDA IDA IIDDDDDDDDDDDDDDAA IDA DA DDDDDDDDAAA DA DA DDDDA DA IDA IDA IDA IDA IDA IDDD IDAAA DA IDA IDADDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD 111111111111111111111111111111111111111117777777777777777777777777777777777777 Buscando la seguridad fsica Es evidente que las medidas para la seguridad fsica (seguridad informtica) siempre formarn parte de las medidas generales de seguridad a implantar. En este punto se debe tener presente que proteger la informacin supone apli- car aquellas medidas destinadas a ga- rantizar la integridad, confidencialidad, disponibilidad, autenticidad y no repudio de la informacin, por lo que las medidas fsicas deben seleccionarse para ase- gurar estos aspectos, sin olvidar las con- secuencias directas e indirectas que la puesta en marcha de las mismas pudie- ran provocar en la operativa diaria de la organizacin. Ejemplos de medidas encaminadas a garantizar estos tres aspectos son: puesta en marcha y mantenimiento pe- ridico de mecanismos de vigilancia y Cuadro 4 La confidencialidad busca prevenir la revelacin no autorizada, intencional o no, del contenido de un mensaje o de informacin en general. La integridad asegura que: No se realizan modificaciones de datos en un sistema por personal o procesos no autorizados. No se realizan modificaciones no autorizadas de datos por personal o procesos autorizados. Los datos son consistentes, es decir, la informacin interna es consistente entre s misma y respecto de la situacin real externa. La disponibilidad asegura que el acceso a los datos o a los recursos de informacin por personal autorizado se produce correctamente y en tiempo. Es decir, la disponibilidad garantiza que los sistemas funcionan cuando se les necesita. Cuadro 3 Confidencialidad: aseguramiento de que la informacin es accesible slo para aquellos autorizados a tener acceso. Integridad: garanta de la exactitud y completitud de la informacin y los mtodos de su procesamiento. Disponibilidad: aseguramiento de que los usuarios autorizados tienen acceso cuando lo requieran a la informacin y sus activos asociados. Grfico 2 C O N F I D E N C I A L I D A D I N T E G R I D A D DISPONIBILIDAD INFORMACIN control de acceso para los CPD de equi- pos que garanticen la redundancia de elementos crticos (alimentacin del CPD, sistemas de mantenimiento de tempera- tura), de sistemas de control de incen- dios, inundaciones y de todos aquellos elementos que por la naturaleza de la organizacin y el entorno sean relevantes. Un paso ms: seguridad lgica Una vez protegido el espacio fsico en el que se disponen las infraestructuras que contienen la informacin, ser necesario aplicar las medidas definidas en las pol- ticas e instrucciones tcnicas referen- tes a la arquitectura. Algunas de estas CALIDAD julio-septiembre 2012 18 medidas son: segregacin en niveles, implantacin de dispositivos encamina- dos a garantizar la proteccin como cortafuegos, sistemas de prevencin y deteccin de intrusin. Igualmente se debe considerar la apli- cacin de medidas encaminadas a la proteccin de los equipos con los que se accede a los sistemas que contienen la informacin a proteger mediante la utili- zacin de antivirus, controles de acceso a pginas no confiables, restriccin de la utilizacin de correos no corporativos, prohibicin de utilizacin de software sin licencia, etc. Por ltimo, y a este nivel, deben esta- blecerse requisitos de seguridad en las aplicaciones que sern soportadas por la infraestructura: de nada sirven elementos como los mencionados si el nivel que se instala sobre ellos provoca la necesidad de crear agujeros de seguridad en los mismos. Otros controles de seguridad Anteriormente se ha mencionado que seguridad de la informacin no es segu- ridad informtica; se puede decir que la seguridad de la informacin engloba me- didas de seguridad entre las que se en- cuentran medidas asociadas a la seguri- dad informtica. No slo hay que proteger los sistemas y el espacio que los contiene; hay que crear una mecnica de trabajo global que asegure el mantenimiento de las medidas de seguridad y el cumplimiento de las polticas e instrucciones estable- cidas. Medidas como la aplicacin de cadu- cidad y complejidad en las contraseas, el control de dispositivos externos a la red, la segregacin lgica de acceso a la informacin son ejemplos de otras me- didas imprescindibles para garantizar el aseguramiento de la informacin. Mantenimiento de la seguridad La implantacin de todas estas medidas siempre debe ir seguida por su manteni- miento, evolucin y adaptacin constan- te, llevados a cabo a travs de la revisin peridica de los controles de seguridad implantados, la realizacin continua del anlisis de riesgos, la adaptacin a los resultados obtenidos en ste, la correc- cin de fallos de seguridad detectados, la implantacin de nuevas medidas de- sarrolladas para paliar nuevos riesgos y las auditoras peridicas encaminadas a la deteccin de desviaciones en el cum- plimiento de las medidas establecidas. Un papel protagonista en el manteni- miento de la seguridad lo tiene sin duda alguna la difusin y concienciacin en ma- teria de seguridad: unas medidas implan- tadas y olvidadas son un fracaso. Es fun- damental llevar a cabo una concienciacin permanente en esta materia mediante el acercamiento al negocio y al usuario. En muchas ocasiones, si bien se tra- baja en la divulgacin de las medidas de seguridad, stas se encuentran en un plano tan alejado del da a da de las dife- rentes reas que su aplicacin no resulta inmediata, provocando un incumplimien- to de las mismas. Costes colaterales Todo lo que se ha mencionado hasta ahora va encaminado a construir la se- guridad de una organizacin, pero qu impacto econmico tiene ms all de la inversin inicialmente planificada? Adems del inmediato, es decir, ade- ms del derivado de la inversin en las infraestructuras y medios necesarios para la identificacin y puesta en marcha de las mismas, sin olvidar el manteni- miento y evolucin de stas, existen otros costes que pueden denominarse cola- terales que deben ser tenidos muy en cuenta. Estos costes se producen a partir de la aplicacin de medidas de seguridad principalmente centradas en controlar uno de los aspectos que hemos mencio- nado anteriormente: la proteccin de los equipos con los que se accede a los sis- temas que contienen la informacin (des- cargas ilegales de software, utilizacin de correo pblico, evolucin del software ha- cia versiones mantenidas, etc.). La tabla siguiente recoge un resumen de algunos de estos costes colaterales, reflejando las medidas y el impacto eco- nmico que producen la aplicacin de las mismas. SEGURIDAD Y SALUD / ARTCULO ARTCULO / SEGURIDAD Y SALUD En resumen La seguridad de la informacin es esen- cial. Los fallos de seguridad producen im- pacto tanto econmico como en la ima- gen para la compaa. El aseguramiento de la informacin pasa por el compromi- so de la direccin, la concienciacin de la compaa, el establecimiento de objeti- vos y la dotacin de medios tanto econ- micos como humanos para la consecu- cin de los mismos. La definicin de una poltica global de seguridad debe ser la primera materiali- zacin de los objetivos marcados. A di- cha poltica habr que sumar todos los procedimientos e instrucciones que sean necesarios para dar cobertura a todos aquellos aspectos de seguridad a tratar. Conocer el punto al que se quiere lle- gar en esta materia es fundamental; co- nocer el punto de partida tambin lo es. Este punto de partida se obtiene a partir del anlisis de diferentes factores como negocio, informacin que se maneja, es- pacio geogrfico, legislacin que aplica y compromisos de seguridad. El estudio de estos aspectos se materializar en un anlisis de riesgos que arrojar como re- sultado la identificacin de las amenazas sobre los activos de informacin. Llega- dos a este punto, la direccin deber gestionar o asumir dichos riesgos. El tra- tamiento de los mismos impactar en la definicin de los controles de seguridad a implantar. Las medidas o controles de seguridad a implantar deben estar orientados tanto a los sistemas que contienen los datos como a los sistemas que se utilizan para acceder a los mismos, as como al es- pacio fsico en el que estn albergados, siempre teniendo en cuenta que tales medidas estarn encaminadas a mitigar los riesgos (impacto, probabilidad). No slo se debe pensar en medidas orientadas a la seguridad informtica, sino que es necesario crear todo un engranaje de seguridad sobre el que pi- voten todas las actividades llevadas a cabo en la compaa. La seguridad de la informacin necesi- ta de un continuo mantenimiento, evolu- cin y adaptacin. La divulgacin y con- cienciacin son elementos fundamentales para garantizar el xito. Conclusiones Hoy en da la continuidad de un negocio pasa por la definicin, implantacin, man- tenimiento y evolucin de una estrategia de seguridad global marcada por la direc- cin de la compaa y seguida por toda la organizacin. Esta estrategia debe con- templar todos los aspectos (generales, tcnicos, normativos, legislativos, econ- micos) en los que deben aplicarse medi- das de seguridad, es decir, debe de ser una estrategia para la seguridad de la in- formacin y no una estrategia de seguri- dad informtica. Esta estrategia de se- guridad de la informacin debe incluir tanto medidas orientadas a garantizar la seguridad informtica como medidas ms generalistas, todas ellas definidas de manera adaptada la negocio. La direccin de una compaa debe mostrar un compromiso firme con la seguridad de la informacin, evitando la creacin de nichos de seguridad no alineados con los objetivos marcados. El mantenimiento, evolucin y adap- tacin de la seguridad deben ser una constante en las organizaciones; la con- cienciacin tiene un papel protago- nista. La implantacin, mantenimiento y evo- lucin de esta estrategia de seguridad tiene asociados unos costes directos e indirectos que deben estar presentes a la hora de definir objetivos y establecer el presupuesto con el que se dota, sin olvi- dar la criticidad de la seguridad que he- mos revisado en el presente artculo y las consecuencias nefastas que una estrate- gia errnea y limitada pueden suponer para la compaa. Tabla 4. Controles e impacto CONTROL DE SEGURIDAD Descarga de software no adquirido (Acrobat Reader, Winzip) Negacin de acceso a correo no corporativo Evolucin de todo el software a versiones en activo por los fabricantes Control de acceso a determinadas pginas IMPACTO Coste directo de la inversin en la adquisicin de este software imprescindible para el funcionamiento de la organizacin Coste directo de la inversin en la ampliacin del tamao de los buzones corporativos (muchas veces los empleados utilizan sus correos personales, sin lmite en el tamao de los correos, para intercambiarse informacin ante la imposibilidad de utilizar las cuentas corporativas por sus limitaciones Costes derivados de la propia adquisicin de nuevas licencias en activo Costes derivados de la adaptacin de otro software dependiente de este software de base (aplicaciones corporativas hechas a medida y no mantenidas y evolucionadas) Costes derivados de la aplicacin y mantenimiento de dicho control Costes derivados del impacto en el da a da de la aplicacin de este control de manera generalizada Costes derivados de las vulnerabilidades ocasionadas por los empleados para saltar este control julio-septiembre 2012 CALIDAD 19