Regulaciones, estndares, controles y

procedimientos
Cuando se habla de seguridad de los sistemas de informacin, podemos hacerlo desde dos puntos de vista
muy distintos. Seguro que muchos de nosotros podramos dedicar horas enteras a discutir sobre temas tan
apasionantes como la criptografa asimtrica, los antivirus, los cortafuegos, el phishing, el SPAM, la seguridad
Wifi, las vulnerabilidades de XSS, etc. Sin embargo, no es menos cierto que a una alta proporcin tambin les
aburre or hablar de conceptos como gobierno de la seguridad, conformidad, gestin de riesgos, regulaciones,
estndares y marcos de control, polticas, procedimientos de seguridad, etc. Parece que estos trminos estn
reservados nicamente a consultores y directivos. Sin embargo, en mi opinin creo que resultan un mal
necesario; quien los conoce adquiere una visin global de la seguridad de la informacin, y adems nos
proporcionan herramientas y conocimientos para transmitir el verdadero valor de sta, algo esencial cuando
se quiere vender seguridad.

Estoy seguro de que tanto quienes hayan quedado convencidos con los argumentos anteriores, como quienes
segus pensando que todo esto no deja de ser un rollo macabeo, ms tarde o ms temprano os enfrentaris a
estos conceptos, especialmente si os dedicis profesionalmente a la seguridad. Ya a nivel personal, he de
decir que me ha tocado lidiar con ellos y en muchos casos considero que pueden adems llegar a ser
ambiguos y confusos. Por eso creo que puede ser interesante poner mi granito de arena y explicar lo mejor
que s alguno de ellos. En este caso, el post va a ir de lo que ya adelanta el ttulo: regulaciones, estndares,
controles, polticas y procedimientos.
ltimamente est de moda la palabra inglesa compliance, que en castellano se traduce normalmente por
conformidad.La conformidad bsicamente consiste en ser fiel a y cumplir con un estndar o regulacin, y
adems poder demostrar este cumplimiento. Pero, qu es un estndar y qu es una regulacin? Son lo
mismo, existen diferencias, quin los define?
El concepto de regulacin, que normalmente se traduce del ingls regulation, hace referencia en general al
control mediante reglas y/o restricciones. Son ejemplos de regulaciones las leyes impulsadas por un gobierno,
las normas de conducta de la sociedad, o el propio mercado (actividad de los agentes econmicos).
Particularizando al mundo de la seguridad de los sistemas de informacin, las regulaciones pueden ser leyes
relacionadas con este mbito como es el caso de la LOPD o la LSSI en Espaa, o la Sarbanes-Oxley Act
(SOX) en los Estados Unidos de Norteamrica. Tambin pueden ser regulaciones los mandatos que puedan
ser emitidos por un grupo o asociacin de empresas dentro de un sector de actividad econmico. Un ejemplo
de este caso es la Payment Card Industry (PCI), responsable de regulaciones de seguridad que afectan a
cualquier empresa que procese, guarde o enve datos del titular de una tarjeta de pago. Esta asociacin fue
fundada por American Express, Discover Financial Services, JCB, MasterCard Worldwide, y Visa International.
Las regulaciones son poco especficas en general y no entran en los detalles de qu es lo que se debe hacer
exactamente. Por ejemplo, en el artculo 9 del Ttulo II de la LOPD enuncia lo siguiente:

"El responsable del fichero, [], debern adoptar las medidas de ndole tcnica y organizativas
necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida,
tratamiento o acceso no autorizado, []"
Es necesario por tanto algo que ayude a cumplir con las regulaciones y que proporcione unas pautas de cmo
hacerlo. Este algo se conoce en el argot por estndar o marco de control, resultado de una traduccin literal
de los trminos en ingls standard y framework. Ambos trminos suelen utilizarse indistintamente. Los
estndares y marcos de control definen los objetivos de control, es decir, las pautas a seguir para alcanzar los
objetivos de una regulacin. Un ejemplo de objetivo de control puede ser el AC-19 del NIST 800-53, que
indica, entre otras cosas que:
"La organizacin ha de establecer restricciones en el uso de todos los dispositivos mviles (porttiles,
mviles, PDA, etc.) bajo su control y debe adems dar orientacin sobre cmo hacerlo (como por ejemplo,
actualizar el sistema antivirus o deshabilitar la conexin wireless)".
Ejemplos de estndares y marcos de control son COSO, COBIT, ISO 27000, ITIL y NIST 800-53.
Una compaa que quiere cumplir los objetivos de control de un estndar o marco de control, lo que hace es
desarrollar una batera de controles. Los controles esbozan una manera de afrontar el objetivo de control. Es
decir, definen los detalles de cmo conseguir el objetivo de control. Por ejemplo, si el objetivo de control es
"revisar las solicitudes de nuevas cuentas de usuario", el control podra ser "las solicitudes de nuevas cuentas
de usuario deben ser revisadas y aprobadas antes de que se cree la cuenta correspondiente, de tal manera
que se asegure que solo los usuarios autorizados tienen acceso a los sistemas crticos". Es importante
destacar que los controles no definen la implementacin tcnica, pero sirven a un auditor para verificar si se
satisface el objetivo de control.
La batera de controles antes mencionada no solo tiene el objetivo de cumplir con los objetivos de control de
un estndar o marco de control, sino que tambin busca satisfacer aquellos objetivos de seguridad
especficos que la empresa est interesada en alcanzar, y que no estn cubiertos explcitamente por el
estndar al que se acoge. Estos objetivos suelen formar parte del plan de seguridad de la compaa.
Los controles, una vez definidos han de ser implementados, monitorizados y si es caso, actualizados. Esto se
hace a travs de las polticas y los procedimientos. Como ya se ha mencionado anteriormente, los controles
no definen cmo ha de ser la implementacin tcnica. De esto se encargan las polticas, documentos que
describen con un alto grado de detalle este aspecto. Los procedimientos son documentos que
complementan a las polticas indicando por ejemplo los responsables, los pasos y dems aspectos que
ayudan a poner en marcha lo que se indica en las mismas.
Para terminar, veamos un ejemplo completo de lo explicado anteriormente. Permitidme la pequea licencia de
introducir aqu el tema de la seguridad de los sistemas SCADA.
Imaginemos una empresa de gas que se propone como objetivo de seguridad especfico reducir el riesgo de
accesos no autorizados a sus redes de control, donde se realiza el control de supervisin y la monitorizacin
del estado de los gaseoductos. Existen multitud de controles que pueden ayudar a lograr este objetivo:
establecer un sistema de control de accesos fsico de doble factor a cada centro de control, deshabilitar la
conexin a Internet de cada centro (si sta existe), etc. Centrmonos en uno particular: la segregacin
adecuada de la red de control de la red corporativa. La poltica en este caso podra estipular que ha de
emplearse un cortafuegos que asle ambas zonas, incluyendo la definicin de una DMZ en la que residira el
servidor Histrico. Puede incluso entrar en detalles ms tcnicos como las caractersticas del cortafuegos:
inspeccin de paquetes para Modbus, factor de forma adecuado al sector industrial, etc. El documento de
procedimiento indicara que el responsable de llevar a cabo la instalacin ha de ser personal de sistemas con
la supervisin del ingeniero de control competente. Adems podr indicar la obligatoriedad de cargar, con
carcter previo a la instalacin, una configuracin que establezca como poltica por defecto ACCEPT ALL,
evitando as que durante la implementacin del control se interrumpan las comunicaciones y por tanto se
garantice la operacin 24x7.