Mes: septiembre 2016

Seguro…..¿Seguro?

seguroCada vez que leo un artículo, o asisto a un encuentro de seguridad de la información (no me gusta el término de Ciberseguridad), siempre se plantea la necesidad de ver la seguridad como un todo orgánico, y en el que las partes que la componen interactúan entre sí. Incluso tenemos ya la figura del CISO, quien «es el responsable máximo en planificar, desarrollar, controlar y gestionar las políticas, procedimientos y acciones con el fin de mejorar la seguridad de la información dentro de sus pilares fundamentales de confidencialidad, integridad y disponibilidad.» (Wikipedia, 2016)

Sin embargo, en cada compañía a la que he llegado, el tema de la seguridad de la información está delegado en particular, a cada subarea de sistemas, la que se encarga de gestionarla, de aplicarla y de revisar que no haya desviaciones. Así, el area de infraestructura es donde recae la mayor responsabilidad de aplicar seguridad, ya que es la responsable de establecer el firewall, instalar los antivirus, y controlar los usuarios de dispositivos.

Aunque tal vez para empresas no muy grandes este estado de cosas puede funcionar relativamente, para empresas en las que la división de funciones de TI está medianamente delimitada, esta visión de las cosas es, en si, un riesgo ya que cada actor se convierte en juez y parte, de modo que los controles con el tiempo se vuelven ineficaces y la rigurosidad que requiere el resguardar la información de la compañía se va diluyendo a medida de que pasa el tiempo.

Poco a poco, y lamentablemente gracias a los golpes recibidos, hemos ido aprendiendo que la seguridad de la información es algo de suma importancia y multidimensional en la empresa. Ya no se trata sólo de poner un firewall o un antivirus para sentirnos seguros. Ahora hay que revisar múltiples aspectos.

Para esto he estado revisando un esquema que me ayuda a dar una organización rápida y que me permite visibilidad inmediata a las fortalezas y debilidades, que tengo y que me falta en lo básico para poder asegurar la información.

Podemos agrupar la forma de actuar frente a un problema de seguridad, de manera PREVENTIVA o REACTIVA. El primer concepto se refiere a tratar de anticipar lo que puede suceder, revisando cuales son los puntos débiles de la organización de la información, y en consecuencia prevenir que se concrete algun evento que afecte la integridad de la información que se tiene en resguardo. El segundo concepto se refiere a que, ya una vez concretado el daño, la manera más adecuada para restaurar el estado original en que estaba la información.

Por otra parte es importante determinar un responsable de la seguridad de la información, que se encargará precisamente de generar las directrices con la cual se debe aplicar una visión sistemica de arquitectura de negocios y las diferentes areas como infraestructura, soporte, operaciones, desarrollo, o cualquiera que sea con las que se ha organizado TI en cada compañía en particular, sólo se encarguen de implementar y ejecutar las directrices que el area de seguridad de TI dictamina. Con esto se separa la gestión de la ejecución y ninguna parte se transforma en juez o control de si misma.

Ahora que ya sabemos la manera de actuar y no tenemos conflictos de interés al separar responsabilidades, hay que generar una visión holística del problema, y para eso no he encontrado una herramienta que pueda adaptar completamente a la organización que se está revisando en el momento, que además sea práctica y de rápida creación. Por lo tanto, tomando ideas y conceptos de diferentes partes, genero una revisión rápida que responderá a las siguientes preguntas fundamentales: ¿Qué quiero proteger?, ¿Cómo lo quiero proteger? y ¿Con qué lo voy a proteger?.

¿Qué quiero proteger?

Para tener en mente siempre de manera lo más global posible lo que se debe proteger, me he planteado un esquema de cuatro niveles lo que me permite tener siempre presente todo el espectro, y a la vez tener manejabilidad al tenerlo dividido en capas. Estas son las mismas, ya sea que esté pensando preventivamente o reactivamente.

Estos niveles son:

  • Infraestructura física: Se refiere a todo el hardware involucrado en la red, como por ejemplo las redes, los servidores, los dispositivos intermedios, equipos de cómputo de los empleados, etc.
  • Plataforma: Es el conjunto de programas y sistemas básicos que permiten la operatividad de los sistemas de usuario, incluye entre otros: Sistema Operativo, Bases de Datos, Sistemas Utilitarios como Directorio Activo y correo electrónico, etc.
  • Sistemas: Son los sistemas que son usados para la operación del negocio como : ERP’s, CRM’s, PLM’s, etc.
  • Usuarios: Son todas las personas que tienen acceso a los sistemas de la compañía en cualquiera de los otros niveles.

¿Cómo lo quiero proteger?

Con esto identifico la estrategia a seguir.

Las opciones entre las que se debe decidir desde el punto de vista preventivo  son si se va a bloquear completamente el acceso o sólo limitar. Las acciones de bloqueo tipicamente se presentan en los niveles de Infraestructura física y Plataforma;  mientras que las de limitación son el los dos niveles superiores. Aunque es posible considerarlas para cualquier nivel.

Desde elpunto de vista reactivo, las opciones son  reentrenar, recuperar, o reemplazar. En este caso el reentrenamiento sólo aplica para el nivel de usuario, ya sólo son las personas las capaces de aprender;  y la recuperación a los niveles de sistemas y plataforma. El reemplazo lo aplico básicamente a equipos, pero es posible plantearlo como alternativa en los otros dos niveles.

¿Con qué lo voy a proteger?

seguridadpreventivaEn este punto, hay que decidir de acuerdo a la estrategia definida en los puntos anteriores, las herramientas que se deben implementar en cada nivel o combinación de niveles, es decir con qué vamos a contar : Firewall, Antivirus, Antispam; si se generarán roles de seguridad, políticas y procedimientos de upgrades y fixes, politicas y procedimientos de usuarios, si se requiere espejamiento de servidores, sites alternos, seguridadreactivaredundancias, respaldos, los instaladores de las aplicaciones o sistemas, manuales y tutoriales, etc.

En este punto, es práctico tener un excel en el que visualicen los niveles, la estrategia, el tipo de estrategia y las herramientas. Se puede incorporar tambien el área responsable de aplicarlas y el encargado de seguridad puede utilizar esta tabla para realizar su plan de revisión y auditorías para asegurar el cumplimiento.

En caso de que con esto descubramos que faltan herramentas para cubrir un nivel o area, se puede usar como tablero de control en el que se le puede poner fecha y tareas para implementar lo que falta.

Con esto se obtiene un plano general de la arquitectura de seguridad, fácil de entender y de realizar y que debe en todo momento tener presente quien encabeza el area de gestion de seguridad, que le permitirá a su vez planear y saber quién debe ejecutar la herramienta, procedimiento o política, sobre los cuales debe realizar revisiones periódica para asegurar que se apliquen con la misma intensidad a través del tiempo.

Wikipedia (2016). Oficial de seguridad de la información. Obtenido el 20 de Septiembre 2016 de: https://es.wikipedia.org/wiki/Oficial_de_seguridad_de_la_información

3

Blog de WordPress.com.

Subir ↑