SEGURIDAD Y SALUD / ARTCULO

CALIDAD julio-septiembre 2012 14

De la seguridad informtica
De la seguridad informtica
a la seguridad de la informacin
M Jess Recio
Responsable de Calidad
de Servicios de
Infraestructura, dentro
del rea Calidad
Operativa - Operaciones TI
de la Direccin de Calidad
y Medio Ambiente de Indra
Desde hace ya algunos aos la informa-
cin est definida como el activo ms
valioso de una compaa (los costes de-
rivados de prdida de seguridad no son
slo costes econmicos directos, sino
que tambin afectan a la imagen de
la empresa), por lo que, cada vez ms, la
seguridad de la informacin forma parte
de los objetivos de las organizaciones y,
sin embargo, y a pesar de esa concien-
ciacin generalizada, muchas compa-
as no se enfrentan a este aspecto con
la globalidad con la que debiera tratarse.
Adems de esta falta de visin global,
existe otro factor que afecta a la estrate-
gia de seguridad de una organizacin: la
dispersin de las inversiones de seguri-
dad en mltiples nichos desalineados
con el objetivo global, de modo que la
focalizacin en cuestiones concretas de
seguridad hace olvidar el objetivo estra-
tgico.
Cuando una empresa define la segu-
ridad de la informacin como prioridad,
estableciendo medidas que ayuden a
conseguirla, de manera inmediata se
plantea la necesidad de instalar mecanis-
mos, llammosles fsicos, que permitan
controlar los riesgos asociados a la se-
guridad ms inmediata; mecanismos en-
tre los que se encuentran desde las me-
didas fsicas aplicables al espacio en el
que se ubican los sistemas que contie-
nen la informacin (control de acceso al
CPD, video-vigilancia, etc.) hasta las me-
didas fsicas asociadas a la arquitectura
de su red (cortafuegos, sistemas de de-
teccin y prevencin de intrusin, antivi-
rus, control de contenidos), dejando a
un lado aspectos muy relevantes sin los
cuales no se puede considerar una bue-
na gestin de la seguridad. Bsicamente
se centra en la aplicacin de una seguri-
dad informtica y no en la aplicacin de
una seguridad de la informacin.
El punto fundamental de partida para
el establecimiento y mantenimiento con
garantas de xito de la seguridad de la
informacin es la definicin clara de obje-
tivos a partir de los cuales desarrollar las
polticas y procedimientos que definan
el marco en el que situar las medidas de
seguridad a implantar, teniendo en cuen-
ta aspectos como las leyes que rigen en
materia de seguridad el espacio geogr-
fico en el que se ubica la organizacin
ARTCULO / SEGURIDAD Y SALUD
julio-septiembre 2012 CALIDAD 15
(LOPD, por ejemplo, en Espaa), los com-
promisos con terceros en el cumplimien-
to de normas que tenga la compaa
(SAS70, 27001, etc.) y, por supuesto, el
da a da del negocio.
Construyendo la seguridad.
El punto de partida:
establecimiento de responsables
y definicin de objetivos
Como se ha mencionado anteriormente,
el punto de partida siempre debe ser la
definicin de los objetivos que, en materia
de seguridad, quieren alcanzarse y el gra-
do de consecucin de los mismos; como
en casi todo, el nivel de seguridad objeti-
vo ser proporcional a la inversin que se
realice para conseguirlo. La pregunta que
debe regir la definicin de este grado es:
cunto vale mi informacin?.
Igualmente es fundamental conocer
otros aspectos como son el punto de
partida (en qu punto se encuentra la se-
guridad), los riesgos de la seguridad que
pueden potencialmente afectar a la com-
paa en funcin de aspectos como el
negocio o el espacio geogrfico, el trata-
miento o asuncin de estos riesgos y el
impacto de los mismos, materializados
todos ello en un anlisis de riesgos. Debe
considerarse, por tanto, el anlisis de
riesgos perfectamente alineado con la
visin de la organizacin y dentro de su
entorno de operacin como el punto
central para el establecimiento en detalle
de las medidas (controles) de seguridad
que deben implantase y con ello el grado
de consecucin de los objetivos de se-
guridad establecidos.
El objetivo marcado, la identificacin
de riesgos y con ello la de controles a
implantar, el grado de consecucin y los
plazos establecidos para lograrlo deter-
minan, adems de la inversin necesaria,
el equipo de trabajo que debe estable-
cerse para la implantacin de todas las
medidas. Por regla general este equipo
de seguridad debe ser multidisciplinar,
formado por ingenieros de sistemas,
socilogos, abogados y consultores en
la materia, dado que hay que enfrentarse
a tareas dentro de todas y cada una de
estas reas de especializacin.
Una vez establecido el objetivo, y defi-
nido el equipo de seguridad, ser nece-
sario diseccionar dicho objetivo a travs
del desarrollo de una normativa com-
puesta por polticas y procedimientos,
que van desde la poltica de seguridad de
la compaa (documento global en el que
se recogen dichos objetivos, se definen
controles genricos de seguridad [en fun-
cin del resultado obtenido en el anlisis
de riesgos] y se establecen directrices
bsicas acordes tanto a los requisitos del
negocio como a la legislacin y normativa
vigente) hasta procedimientos e instruc-
ciones tcnicas que recojan las directri-
ces de seguridad a cumplir en el uso de
las activos de la compaa, todo ello en-
caminado a la implantacin de los con-
troles de seguridad precisos y necesarios
segn el anlisis de riesgos realizado, y
siempre teniendo en cuenta la actividad
diaria de la organizacin.
Es fundamental en el desarrollo de
esta normativa tener en cuenta el modo
en el que se lleva a cabo la actividad dia-
ria para que asegurar que el cumplimien-
to de esta normativa no impacte de ma-
nera severa en el funcionamiento de la
organizacin.
Las siguientes tablas recogen, a modo
de ejemplo, un listado de posibles do-
cumentos a definir por la compaa en
materia de seguridad, divididos por pol-
ticas, procedimientos e instrucciones
tcnicas.
Cuadro 1. Metodologa para el anlisis de riesgos
Entrevistas: mediante este tipo de aproximacin a la organizacin, se busca en-
tender los diferentes aspectos que la conforman, tanto en el aspecto tecnolgico
como en los procesos crticos, los cuales, a su vez, son soportados por las aplica-
ciones y la infraestructura tecnolgica.
Evaluacin de riesgo: la evaluacin de riesgos identifica las amenazas, vulnerabi-
lidades y riesgos de la informacin sobre la plataforma tecnolgica de una orga-
nizacin con el fin de generar un plan de implementacin de los controles que
aseguren un ambiente seguro, bajo los criterios de disponibilidad, confidenciali-
dad e integridad de la informacin. Los dos puntos importantes a considerar son:
la probabilidad de una amenaza y la magnitud del impacto sobre el sistema si
sta llega a materializarse.
Determinacin de la probabilidad: con el fin de derivar una probabilidad o una
estimacin de la ocurrencia de un evento, se deben tener en cuenta dos factores:
fuente de la amenaza y capacidad y naturaleza de la vulnerabilidad.
Magnitud del impacto: determina el impacto adverso para la organizacin
como resultado de la explotacin por parte de una amenaza de una determina-
da vulnerabilidad; para ello se deben considerar los siguientes aspectos: conse-
cuencias de tipo financiero, es decir, prdidas causadas sobre un activo fsico o
lgico determinado y consecuencias provocadas por la inoperatividad del activo
afectado, la criticidad de los datos y el sistema (importancia a la organizacin) y,
cmo no, la sensibilidad de los datos y el sistema.
Identificacin de controles: se evala la matriz de riesgo obtenida previamente
con el fin de identificar los controles que mitiguen los riesgos detectados.
Cuadro 2. Definiciones
Riesgo: posibilidad de sufrir algn
dao o prdida.
Activo: datos, infraestructura,
hardware, software, personal y su
experiencia, informacin, servicios.
SEGURIDAD Y SALUD / ARTCULO
CALIDAD julio-septiembre 2012 16
Ya definidas las polticas, procedimien-
tos e instrucciones tcnicas, se debe
proceder a la distribucin de todos los
estamentos de la organizacin, as como
a la concienciacin para el cumplimiento
de las medidas definidas.
Son muchas las compaas que, si
bien han cumplido con la definicin de
estos documentos y su difusin, no han
sabido concienciar a sus empleados. Se
debe tener presente que por mucho que
se definan y se difundan medidas de se-
guridad, si la compaa no es capaz
de concienciar adecuadamente para
su cumplimiento, se habr fracasado en
la consecucin de los objetivos marca-
dos, sean stos cualesquiera.
La concienciacin es una tarea muy
difcil de gestionar, sobre todo en organi-
zaciones que por su tamao y dispersin
geogrfica impiden una relacin directa
entre el equipo de seguridad y el resto de
los empleados.
Algunas medidas que pueden ayudar
a esta concienciacin son:
Realizacin de charlas formativas pe-
ridicas.
Envo regular de pldoras informativas
con pequeos resmenes a travs del
correo electrnico.
Publicacin en las intranets corporati-
vas de las presentaciones.
Foros divulgativos sobre seguridad.
Todas ellas aplicadas siguiendo una
premisa bsica: cercana al destinatario.
Tabla 2
PROCEDIMIENTOS
Procedimiento de copias
de seguridad
Procedimiento de altas/bajas
de usuario
Procedimiento de cifrado
de informacin
Tipologa de redes
Procedimiento de auditora
de vulnerabilidades
Procedimiento de usuarios
administradores
Procedimiento de actuacin
ante la prdida de un equipo porttil
con informacin
ALCANCE DEL DOCUMENTO
Detalle de cmo realizar las copias
Detalle de cmo gestionar usuarios
Detalle de cundo y cmo debe
cifrarse la informacin
Requisitos tcnicos de seguridad
de las posibles arquitecturas de red
Detalle de realizacin de auditoras
de vulnerabilidades
Detalle de gestin de usuarios
administradores
Detalle, para todos los empleados,
de los pasos a dar cuando se
extrava un equipo con informacin
delicada
Tabla 3
INSTRUCCIONES TCNICAS
Gua de securizacin de sistemas
Gua de securizacin de BBDD
Gua de securizacin de comunicaciones
Gua de securizacin de elementos de comunicaciones
Gua de securizacin de software adicional (navegadores, servidores web,
servidores de aplicaciones, aplicaciones basadas en SAP)
Tabla 1
POLTICAS
Poltica de seguridad de la compaa
Para aquellas afectadas por la LOPD,
documento de seguridad y manuales
de seguridad asociados
Poltica de copias de seguridad
Poltica de uso de Internet y correo
electrnico
Poltica de gestin de contraseas
Poltica de antivirus
Poltica de publicacin en Internet
Cdigo de uso aceptable
ALCANCE DEL DOCUMENTO
Objetivos de seguridad de la compaa
Cumplir con lo establecido en la Ley
Orgnica de Proteccin de Datos
Establecer la poltica para la
realizacin de backups de
la informacin
Recoger las reglas generales de
utilizacin de estas herramientas
Recoger las medidas de seguridad
que rigen la gestin de contraseas
(longitud, caracteres, caducidad,
almacenamiento, etc.)
Gestin de antivirus, activacin, etc.
Normativa para disponer mquinas
en Internet
Normativa general a cumplir por todos
los usuarios en materia de seguridad
Grfico 1
Concienciar
Difundir
Definir
ARTCULO / SEGURIDAD Y SALUD
julio-septiembre 2012 CALIDAD 17 jj l jul jul uul l ju jul juul u jul ju jul uuu ju juu juuuuuu jul jul l uuuu jull juul jjjjjjjj iiio- o-- io io io io- o io- o- o- o- o- io io- io- io- oo io- o- o- o--- iooo- oo- o-- o- ioooooooooo- o- oooooooooo- oooo- oooooo ioooooooooooooo sse se se se se se sep sep ep ep ep ep ep sse ssse sepp se se sse sse sse ep se se se se se se epp se sssse se se se se se ssse se se sssse sse se ssse ee sse see se se sse s ii tie tie tie tie tie ie ie ttieee tiee tiee tti t ee bb mbr mbr mbr mbr mbr mbr mbr mbr mbr bbr mmbr mbrr 2222 e 2 e 2 e 2 e 2 e 2 e 2 e 2 ee 2 e 2 e 222012 01 012 0012 012 012 012 012 012 1 012 12 1 012 CAL CAL CAL CAL CAL CA CAL AL ALLLLLL CAL CA CAAAL AAAALLLLL AAAALLL CAL CAALLLLL AL ALLLLLL AL ALLLLLLLLLLLLLLLLLLLLL AL CALL ALLID IIIDA IDDDDDA DA DA DDA DDDDAAA DAA DAAA DAAAAAA DDDDDDAAAAAAAAA DA DDA DAAAAAA DAAA IIIDDDAAAAAA DA DA DA IDAA DAAA DA DA DA IDDDAAAA IDA IIDDAAA DAA DA DA IDA IDA IIDDDDDDDDDDDDDDAA IDA DA DDDDDDDDAAA DA DA DDDDA DA IDA IDA IDA IDA IDA IDDD IDAAA DA IDA IDADDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDDD 111111111111111111111111111111111111111117777777777777777777777777777777777777
Buscando la seguridad fsica
Es evidente que las medidas para la
seguridad fsica (seguridad informtica)
siempre formarn parte de las medidas
generales de seguridad a implantar. En
este punto se debe tener presente que
proteger la informacin supone apli-
car aquellas medidas destinadas a ga-
rantizar la integridad, confidencialidad,
disponibilidad, autenticidad y no repudio
de la informacin, por lo que las medidas
fsicas deben seleccionarse para ase-
gurar estos aspectos, sin olvidar las con-
secuencias directas e indirectas que la
puesta en marcha de las mismas pudie-
ran provocar en la operativa diaria de la
organizacin.
Ejemplos de medidas encaminadas
a garantizar estos tres aspectos son:
puesta en marcha y mantenimiento pe-
ridico de mecanismos de vigilancia y
Cuadro 4
La confidencialidad busca prevenir
la revelacin no autorizada,
intencional o no, del contenido
de un mensaje o de informacin
en general.
La integridad asegura que:
No se realizan modificaciones de
datos en un sistema por personal
o procesos no autorizados.
No se realizan modificaciones no
autorizadas de datos por personal
o procesos autorizados.
Los datos son consistentes, es decir,
la informacin interna es
consistente entre s misma
y respecto de la situacin real
externa.
La disponibilidad asegura que el
acceso a los datos o a los recursos
de informacin por personal
autorizado se produce
correctamente y en tiempo. Es decir,
la disponibilidad garantiza que los
sistemas funcionan cuando se les
necesita.
Cuadro 3
Confidencialidad: aseguramiento
de que la informacin es accesible
slo para aquellos autorizados a
tener acceso.
Integridad: garanta de la exactitud
y completitud de la informacin y
los mtodos de su procesamiento.
Disponibilidad: aseguramiento de
que los usuarios autorizados tienen
acceso cuando lo requieran a la
informacin y sus activos asociados.
Grfico 2
C
O
N
F
I
D
E
N
C
I
A
L
I
D
A
D
I
N
T
E
G
R
I
D
A
D
DISPONIBILIDAD
INFORMACIN
control de acceso para los CPD de equi-
pos que garanticen la redundancia de
elementos crticos (alimentacin del CPD,
sistemas de mantenimiento de tempera-
tura), de sistemas de control de incen-
dios, inundaciones y de todos aquellos
elementos que por la naturaleza de la
organizacin y el entorno sean relevantes.
Un paso ms: seguridad lgica
Una vez protegido el espacio fsico en el
que se disponen las infraestructuras que
contienen la informacin, ser necesario
aplicar las medidas definidas en las pol-
ticas e instrucciones tcnicas referen-
tes a la arquitectura. Algunas de estas
CALIDAD julio-septiembre 2012 18
medidas son: segregacin en niveles,
implantacin de dispositivos encamina-
dos a garantizar la proteccin como
cortafuegos, sistemas de prevencin y
deteccin de intrusin.
Igualmente se debe considerar la apli-
cacin de medidas encaminadas a la
proteccin de los equipos con los que se
accede a los sistemas que contienen la
informacin a proteger mediante la utili-
zacin de antivirus, controles de acceso
a pginas no confiables, restriccin de
la utilizacin de correos no corporativos,
prohibicin de utilizacin de software sin
licencia, etc.
Por ltimo, y a este nivel, deben esta-
blecerse requisitos de seguridad en las
aplicaciones que sern soportadas por la
infraestructura: de nada sirven elementos
como los mencionados si el nivel que se
instala sobre ellos provoca la necesidad
de crear agujeros de seguridad en los
mismos.
Otros controles de seguridad
Anteriormente se ha mencionado que
seguridad de la informacin no es segu-
ridad informtica; se puede decir que la
seguridad de la informacin engloba me-
didas de seguridad entre las que se en-
cuentran medidas asociadas a la seguri-
dad informtica.
No slo hay que proteger los sistemas
y el espacio que los contiene; hay que
crear una mecnica de trabajo global
que asegure el mantenimiento de las
medidas de seguridad y el cumplimiento
de las polticas e instrucciones estable-
cidas.
Medidas como la aplicacin de cadu-
cidad y complejidad en las contraseas,
el control de dispositivos externos a la
red, la segregacin lgica de acceso a
la informacin son ejemplos de otras me-
didas imprescindibles para garantizar el
aseguramiento de la informacin.
Mantenimiento de la seguridad
La implantacin de todas estas medidas
siempre debe ir seguida por su manteni-
miento, evolucin y adaptacin constan-
te, llevados a cabo a travs de la revisin
peridica de los controles de seguridad
implantados, la realizacin continua del
anlisis de riesgos, la adaptacin a los
resultados obtenidos en ste, la correc-
cin de fallos de seguridad detectados,
la implantacin de nuevas medidas de-
sarrolladas para paliar nuevos riesgos y
las auditoras peridicas encaminadas a
la deteccin de desviaciones en el cum-
plimiento de las medidas establecidas.
Un papel protagonista en el manteni-
miento de la seguridad lo tiene sin duda
alguna la difusin y concienciacin en ma-
teria de seguridad: unas medidas implan-
tadas y olvidadas son un fracaso. Es fun-
damental llevar a cabo una concienciacin
permanente en esta materia mediante el
acercamiento al negocio y al usuario.
En muchas ocasiones, si bien se tra-
baja en la divulgacin de las medidas de
seguridad, stas se encuentran en un
plano tan alejado del da a da de las dife-
rentes reas que su aplicacin no resulta
inmediata, provocando un incumplimien-
to de las mismas.
Costes colaterales
Todo lo que se ha mencionado hasta
ahora va encaminado a construir la se-
guridad de una organizacin, pero qu
impacto econmico tiene ms all de la
inversin inicialmente planificada?
Adems del inmediato, es decir, ade-
ms del derivado de la inversin en las
infraestructuras y medios necesarios
para la identificacin y puesta en marcha
de las mismas, sin olvidar el manteni-
miento y evolucin de stas, existen otros
costes que pueden denominarse cola-
terales que deben ser tenidos muy en
cuenta.
Estos costes se producen a partir de
la aplicacin de medidas de seguridad
principalmente centradas en controlar
uno de los aspectos que hemos mencio-
nado anteriormente: la proteccin de los
equipos con los que se accede a los sis-
temas que contienen la informacin (des-
cargas ilegales de software, utilizacin de
correo pblico, evolucin del software ha-
cia versiones mantenidas, etc.).
La tabla siguiente recoge un resumen
de algunos de estos costes colaterales,
reflejando las medidas y el impacto eco-
nmico que producen la aplicacin de
las mismas.
SEGURIDAD Y SALUD / ARTCULO
ARTCULO / SEGURIDAD Y SALUD
En resumen
La seguridad de la informacin es esen-
cial. Los fallos de seguridad producen im-
pacto tanto econmico como en la ima-
gen para la compaa. El aseguramiento
de la informacin pasa por el compromi-
so de la direccin, la concienciacin de la
compaa, el establecimiento de objeti-
vos y la dotacin de medios tanto econ-
micos como humanos para la consecu-
cin de los mismos.
La definicin de una poltica global de
seguridad debe ser la primera materiali-
zacin de los objetivos marcados. A di-
cha poltica habr que sumar todos los
procedimientos e instrucciones que sean
necesarios para dar cobertura a todos
aquellos aspectos de seguridad a tratar.
Conocer el punto al que se quiere lle-
gar en esta materia es fundamental; co-
nocer el punto de partida tambin lo es.
Este punto de partida se obtiene a partir
del anlisis de diferentes factores como
negocio, informacin que se maneja, es-
pacio geogrfico, legislacin que aplica y
compromisos de seguridad. El estudio
de estos aspectos se materializar en un
anlisis de riesgos que arrojar como re-
sultado la identificacin de las amenazas
sobre los activos de informacin. Llega-
dos a este punto, la direccin deber
gestionar o asumir dichos riesgos. El tra-
tamiento de los mismos impactar en la
definicin de los controles de seguridad
a implantar.
Las medidas o controles de seguridad
a implantar deben estar orientados tanto
a los sistemas que contienen los datos
como a los sistemas que se utilizan para
acceder a los mismos, as como al es-
pacio fsico en el que estn albergados,
siempre teniendo en cuenta que tales
medidas estarn encaminadas a mitigar
los riesgos (impacto, probabilidad).
No slo se debe pensar en medidas
orientadas a la seguridad informtica,
sino que es necesario crear todo un
engranaje de seguridad sobre el que pi-
voten todas las actividades llevadas a
cabo en la compaa.
La seguridad de la informacin necesi-
ta de un continuo mantenimiento, evolu-
cin y adaptacin. La divulgacin y con-
cienciacin son elementos fundamentales
para garantizar el xito.
Conclusiones
Hoy en da la continuidad de un negocio
pasa por la definicin, implantacin, man-
tenimiento y evolucin de una estrategia
de seguridad global marcada por la direc-
cin de la compaa y seguida por toda la
organizacin. Esta estrategia debe con-
templar todos los aspectos (generales,
tcnicos, normativos, legislativos, econ-
micos) en los que deben aplicarse medi-
das de seguridad, es decir, debe de ser
una estrategia para la seguridad de la in-
formacin y no una estrategia de seguri-
dad informtica. Esta estrategia de se-
guridad de la informacin debe incluir
tanto medidas orientadas a garantizar la
seguridad informtica como medidas
ms generalistas, todas ellas definidas de
manera adaptada la negocio.
La direccin de una compaa debe
mostrar un compromiso firme con la
seguridad de la informacin, evitando
la creacin de nichos de seguridad no
alineados con los objetivos marcados.
El mantenimiento, evolucin y adap-
tacin de la seguridad deben ser una
constante en las organizaciones; la con-
cienciacin tiene un papel protago-
nista.
La implantacin, mantenimiento y evo-
lucin de esta estrategia de seguridad
tiene asociados unos costes directos e
indirectos que deben estar presentes a la
hora de definir objetivos y establecer el
presupuesto con el que se dota, sin olvi-
dar la criticidad de la seguridad que he-
mos revisado en el presente artculo y las
consecuencias nefastas que una estrate-
gia errnea y limitada pueden suponer
para la compaa.
Tabla 4. Controles e impacto
CONTROL DE SEGURIDAD
Descarga de software
no adquirido (Acrobat
Reader, Winzip)
Negacin de acceso
a correo no corporativo
Evolucin de todo el
software a versiones en
activo por los fabricantes
Control de acceso
a determinadas pginas
IMPACTO
Coste directo de la inversin en la adquisicin
de este software imprescindible para el
funcionamiento de la organizacin
Coste directo de la inversin en la ampliacin del
tamao de los buzones corporativos (muchas veces
los empleados utilizan sus correos personales, sin lmite
en el tamao de los correos, para intercambiarse
informacin ante la imposibilidad de utilizar las
cuentas corporativas por sus limitaciones
Costes derivados de la propia adquisicin de nuevas
licencias en activo
Costes derivados de la adaptacin de otro software
dependiente de este software de base (aplicaciones
corporativas hechas a medida y no mantenidas
y evolucionadas)
Costes derivados de la aplicacin y mantenimiento
de dicho control
Costes derivados del impacto en el da a da de la
aplicacin de este control de manera generalizada
Costes derivados de las vulnerabilidades
ocasionadas por los empleados para saltar
este control
julio-septiembre 2012 CALIDAD 19