Documentos de Académico
Documentos de Profesional
Documentos de Cultura
versión 1.1
con el apoyo de
2 Objetivo
El objetivo de la guía es brindar una serie de recomendaciones y lineamientos que permitan a las
organizaciones sin fines de lucro, establecer una serie de medidas de seguridad referidas a proteger
la información involucrada en su trabajo, garantizando de esta manera el logro de los objetivos
planteados, y ayudando a minimizar la posibilidad de incidentes que pudieran poner en riesgo dichos
objetivos, la información de sus donantes y/o colaboradores.
3 Alcance
El presente trabajo tiene carácter de guía y su alcance se limita a todo aquella organización social
sin fines de lucro, que pretenda incorporar buenas prácticas en el marco de la seguridad de la
información para el logro de sus objetivos.
4 Definiciones
En el marco de la presente guía, se utilizarán las definiciones que se detallan a continuación:
Activo: cualquier cosa que tenga valor.
Confidencialidad: propiedad que determina que el activo de información no pueda ser
revelado a individuos, entidades o procesos no autorizados.
Integridad: propiedad de salvaguardar la exactitud y estado completo de los activos de
información.
Disponibilidad: propiedad de ser accesible y utilizable por solicitud de una entidad
autorizada.
Seguridad de la Información: preservación de la confidencialidad, integridad y disponibilidad
de los activos de información.
Referencias Adicionales:
FIPS 199 - Standards for Security Categorization of Federal Information and Information Systems
http://csrc.nist.gov/publications/fips/fips199/FIPS-PUB-199-final.pdf
Es importante mencionar que al momento de hablar de información, estamos incluyendo todos sus
formatos, es decir, verbal, escrita o digital. Por ejemplo, si definimos un tipo de información como
Restringido, deberíamos preservar la confidencialidad en los distintos formatos en los cuales
tratemos a dicha información y durante todo su ciclo de vida, hasta su disposición final.
Cada una de ellas tienen distintos enfoques y requisitos, los cuales deberían abordarse en el marco
de un programa de seguridad de la información, para ello siempre es recomendable utilizar algún
estándar de referencia como podría ser el ISO/IEC 27001. En particular, el estándar mencionado
cuenta con un dominio exclusivo para aspectos de cumplimiento, el cual determina a modo de
"objetivos de control" los distintos temas que se deberían abordar en dicho programa para su
cumplimiento.
A modo de simplificación, pero sin obviar que cada uno de los requerimientos se deberían analizar en
profundidad, las leyes y regulaciones mencionadas impactarían en los siguientes activos de
información:
A su vez, en la siguiente Tabla se describen una serie de Medidas de Seguridad recomendadas para
cada Tipo de Información:
1. Inventario de Activos
2. Análisis de Riesgos
3. Concientización
4. Tecnologías de la Información
5. Evaluar, Aprender, Mejorar
1. Inventario de Activos
Saber que tenemos es fundamental para poder definir su valor, analizar sus riesgos y actuar en
consecuencia. Si bien parece algo trivial, es poco frecuente que se haya definido un inventario único
con, al menos, los activos de información más críticos.
Al momento de crear un inventario, se deberían relevar los activos de información de la
organización, identificando sus relaciones y dependencias, para poder analizar su valor y los riesgos,
con un nivel de información interesante desde el punto de vista de la gestión de la seguridad de la
información.
Si bien este tipo de iniciativas se postergan y se visualizan como muy laboriosas, en algunos casos
esto se identifica de esta forma, dado que se ha dejado pasar mucho tiempo para encararlo.
Si el inventario se realiza involucrando a los referentes de la organización, capaces de poder valorar
los activos y tomar decisiones, el esfuerzo disminuye y el proceso resulta mucho más efectivo.
Para identificar el "qué nos podría pasar" existen distintos estándares y guías, siendo la ISO/IEC
27005 el más utilizado actualmente. De todas formas, existen numerosas alternativas que podrían
utilizarse, como por ej: Magerit, NIST, Australia DSD, Octave, etc.
Como varios otros procesos en materia de gestión de la seguridad, el análisis de riesgos debería
ejecutarse periódicamente o ante cambios significativos en la organización, esto es lo que
garantizará que los riesgos sean identificados, tratados y que las medidas de seguridad aplicadas
sean las adecuadas.
Saber
cómo nos Saber qué
puede tenemos
afectar
Saber
donde está
Gráfico 1 - Ejemplo de Análisis de Riesgos
Un aspecto importante en el marco de un programa de seguridad de la información tiene que ver con
las personas, es muy frecuente escuchar que la gestión de la seguridad incluye a personas, procesos
y tecnología, nada es más acertado que esto, y en este apartado estaremos cubriendo algunas
acciones que deberíamos llevar a cabo para trabajar sobre las vulnerabilidades del eslabón más
débil, las personas.
Una excelente herramienta para orientar las actividades y planificación del "Programa de
Concientización", es el proyecto del SANS Institute 1"Securing The Human".
1
SANS Institute es una marca registrada así como la iniciativa Securing The Human, SecureTech no tienen ningún tipo de
relación más allá de su recomendación.
Hoy en día es difícil que una organización desarrolle sus actividades sin utilizar tecnologías de la
información, es más, en muchos casos, gran parte de su operación se basa en ellas. En el caso
puntual de las organizaciones sociales, se han convertido es un elemento estratégico y diferenciador
para el logro de los objetivos, no sólo las tecnologías de la información tradicionales, sino la web y
las redes sociales.
En el marco de un Programa de Seguridad de la Información, las tecnologías de la información
deberían definirse a través de un plan estratégico, orientado a colaborar en el cumplimiento de los
objetivos de la organización. Teniendo en cuenta los riesgos, su tratamiento y los distintos
requerimientos legales y regulatorios que apliquen.
Sin importar su tamaño, presupuesto y/u composición, las organizaciones sociales deberían
contemplar, al menos, los siguientes aspectos al momento de definir su estrategia de tecnologías de
la información:
Al final del apartado podrán encontrar un listado de referencias que podrían resultar de interés para
mejorar distintos aspectos asociados a las nuevas tecnologías, los dispositivos móviles, las redes
sociales y todos aquellos activos de información que se utilizan a diario para el logro de los objetivos
en las organizaciones sociales. A su vez, en el Anexo I se incluye un listado de algunas herramientas
recomendadas, aunque en todos los casos se deben seleccionar en base a los riesgos identificados, el
tratamiento definido, los recursos disponibles, y la cultura de la organización.
Referencias Adicionales:
Entendiendo el Cifrado
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201107_sp.pdf
Metadatos
http://www.securingthehuman.org/newsletters/ouch/issues/OUCH-201204_sp.pdf
Understanding Firewalls
http://www.us-cert.gov/cas/tips/ST04-004.html
En distintos apartados hemos mencionado que los procesos deben ejecutarse bajo una determinada
periodicidad, deben medirse y a partir de allí mejorar. Ello corresponde al "Ciclo de Deming2", que se
puede encontrar aplicado tanto en estándares como el ISO 9001 de Gestión de la Calidad, así como
en el estándar ISO/IEC 27001, este último orientado a los Sistemas de Gestión de la Seguridad de la
Información (SGSI). A través de su aplicación, en líneas generales se definen los siguientes elementos
claves:
Criterios
Requisitos de Métricas Mejora
Evaluación
2
http://es.wikipedia.org/wiki/C%C3%ADrculo_de_Deming
Lo que el proceso de gestión de incidentes debería garantizar a través de su aplicación, es que las
situaciones se evalúen, se tomen acciones en consecuencia y que las mismas tengan como objetivo,
que lo sucedido no se repita.
Si bien no es una tarea fácil lograr que todos los factores se adapten a “las nuevas reglas” en el
manejo de la información, a través de la implementación de un Programa de Seguridad de la
Información, los referentes de la Organización deben impulsar y promover las mejoras requeridas.
Que no son otras que aquellas que facilitarán el logro de los objetivos con mayor seguridad,
cumpliendo a su vez los requerimientos legales establecidos.
Las nuevas tecnologías y las redes sociales han potenciado el alcance de las actividades de las
Organizaciones Sociales, generando un impacto mayor tanto en la visibilidad como también en los
incidentes de seguridad que pudieran presentarse. Es por ello que es muy importante que las
distintas tecnologías y medios disponibles se incorporen analizando sus riesgos, y aplicando los
controles que la Organización esté en condiciones de implementar para dar un tratamiento oportuno.
El éxito de una campaña puede estar influenciado por las tecnologías aplicadas, los medios de
comunicación utilizados y las estrategias definidas, pero así también su fracaso, si los distintos
elementos no se relacionan aplicando los controles de seguridad que garanticen el tratamiento de los
riesgos y el cumplimiento de los objetivos planteados en el programa de seguridad de la información.
Si esta guía permite, aunque sea en una mínima porción que ello sea posible, el objetivo está
cumplido.
WinMD5Sum http://www.nullriver.com/downloa
ds/Install-winMd5Sum.exe
Syncback http://www.2brightsparks.com/syn
Disponibilidad cback/
Mozy http://mozy.com/
Dropbox https://www.dropbox.com/
CrashPlan http://www.crashplan.com/
Enigmail http://www.enigmail.net/home/in
dex.php
3
Para dispositivos móviles, en algunos casos la confidencialidad se logra además, activando funciones de seguridad propias
del modelo involucrado, por ej: cifrado de memoria externa/interna en smartphones.