Sunday, February 19, 2006

Puedo comprar con tarjeta de crédito ajena

Leo en Barrapunto, en Bufet Almeida y comentado en Blogespierre, que un Juzgado de Málaga ha absuelto a dos personas acusadas de estafa por haber utilizado sin autorización, a través de Internet, una tarjeta de crédito de la que no eran titulares. La conclusión de la jueza es que el comercio debería haber asegurado la identidad de los titulares de la tarjeta....lo que no explica es cómo, legitimando de paso a quienes utilizan las tarjetas ajenas para compras en Internet. Una sentencia más que añade confusión a un panorama fuertemente sesgado hacia la protección del comprador, dejando al vendedor en la más absoluta indefensión por asumir la carga de la prueba.
Como hemos de ser optimistas, si no por lo que nos dicta la experiencia, por pura necesidad de supervivencia mental, este tipo de situaciones espolean la demanda de soluciones de seguridad en la que se produzca una efectiva identificación del usuario, algo imposible con la implementación más extendida del protocolo SSL actual. ¿Certificados digitales? ¿En manos, por tanto, de que el DNI electrónico sea una realidad extendida al común de los ciudadanos? Como parece que queda mucha mili al respecto, nos conformaremos con las soluciones de Paypal y los sistemas basados en la tecnología 3D Secure.

¿Interesa externalizar la Seguridad de la Información?

Si algún área de la actividad empresarial queda a priori bajo sospecha al plantearse la opción de externalización, esa ha sido tradicionalmente la de la seguridad de la información. Es evidente que los sectores impulsores de la demanda en seguridad, el sector bancario y el de telecomunicaciones, principalmente, muestran razones “filosóficas” para mantener sus sistemas controlados por personal interno. El principal argumento para esta visión es la reticencia a poner en manos de terceros una actividad compleja y multidisciplinar encargada de la protección de información interna y confidencial, que, para colmo, resulta crítica para el negocio en el caso de muchos sectores.
La reticencia surge del hecho de que, por muy leonino que sea el Acuerdo de Nivel de Servicio (más habitual en su acepción inglesa, Service Level Agreement o SLA) que firme con mi proveedor ¿qué garantías reales puedo tener una organización de que su información se mantenga confidencial en el largo plazo? ¿Es aceptable que una empresa externa tenga acceso a conocer quienes son mis mejores clientes y cuales son sus cifras de facturación? ¿Puedo arriesgarme a que sepa con antelación el plan de negocio del nuevo producto que preveo lanzar al mercado el mes que viene? ¿Y mis proyectos de I+D?
La realidad, sin embargo, nos muestra que numerosas empresas confían ciegamente en su personal interno para la gestión de la información altamente confidencial, y que, probablemente, este personal no dispone en muchas ocasiones del rigor y conocimiento necesario suficiente para proteger sus activos de información del mismo modo que lo hacen las empresas especializadas. Amén de que convertirse de empleado en ex empleado es, en la sociedad actual, cada vez cuestión de (poco) tiempo.
¿Tengo más motivos para confiar en mi personal interno que en una empresa externa, de cuya escrupuloso respeto de su garantía de confidencialidad depende su supervivencia como negocio? La verdad es que no parece que podamos dar una concluyente respuesta positiva a esa pregunta. Con lo que, superada la desconfianza inicial hacia este acceso de mi información por parte de un tercero, la opción de externalización debe ser, cuando menos, considerada en profundidad.
Un adecuado análisis de riesgo nos determinará el grado de exposición de nuestra empresa a las riesgos y amenazas a los que está expuesta, y permitirá disponer de una información adecuada para definir y priorizar nuestras actividades de gestión de la seguridad. Una vez analizados y evaluados los riesgos, la organización debe tomar decisiones sobre su gestión: ¿dispongo de suficientes recursos internos para abordar esta planificación, definición, implantación y mantenimiento de mi Plan Director de Seguridad en condiciones ventajosas de calidad y de coste?. Tal vez sí en alguno de los puntos, pero difícilmente en todos: de ahí que, progresivamente, se observa una tendencia en el mercado a la externalización de, al menos, parte de los procesos de gestión de la seguridad.
Este proceso de externalización es ya una realidad en la auditoría, diseño e implantación de sistemas. Las organizaciones cada vez más buscan propuestas de proveedores que se adhieran y lideren iniciativas basadas en estándares como los propuestos en la sección anterior, de carácter internacional y con el respaldo de la mayoría de las empresas, en detrimento de oscuros procedimientos propietarios de incierto desarrollo futuro.
En el ámbito puramente tecnológico, el crecimiento desbocado de actividad hostil proveniente de virus, troyanos, spyware y demás malware, cada vez más inteligente; intentos de intrusión y rotura de la defensa perimetral, a través de ataques cada vez más avanzados a nivel de aplicación, etc, requiere de unas tecnologías costosas, y de los correspondientes recursos humanos para su gestión, en continua formación.
Estas exigencias hacen viable para muchas organizaciones la propuesta de externalización de servicios de seguridad gestionada. Es evidente que, gracias a las economías de escala que se producen en los modelos de negocio de estos proveedores, resulta más rentable contratar una empresa externa especializada que supervise mi seguridad (para entendernos, un “Prosegur virtual”), que mantener internamente los recursos necesarios, especialmente si lo que se busca es un modelo de servicio 24x7. Las organizaciones comienzan a demandar propuestas de servicios maduros, que vayan más allá del ‘alquiler’ de personal especializado al que nos tiene acostumbrado el sector de las TIC.
Por otro lado, el desarrollo normativo ha sido especialmente prolífico en estos últimos años. (LOPD, LSSI, Ley General de Telecomunicaciones, Ley de Firma Electrónica, etc), lo que demanda igualmente una actualización continua en aspectos de obligado cumplimiento en el sector. La conformidad legal se plantea como necesidad y marco de actuación mínima sobre el que debe basarse cualquier proyecto de organización y gestión de la seguridad de la información. El conocimiento multidisciplinar, no solo de los aspectos tecnológicos, sino también de los legales, ha de ser una de las variables que es preciso considerar a la hora de evaluar la disponibilidad de personal interno suficientemente formado, o, en la opción de externalización, en la que a la hora de elección de proveedor de servicios de seguridad, ha de ser muy importante la cobertura en el triple eje tecnológico, procedimental y legal.

Clasificación de la información

Asimismo, otra actividad fundamental para una eficaz organización de la seguridad es la clasificación de la información, que atenderá a su mayor o menor carácter confidencial o a su criticidad para el negocio. En este sentido, podemos hablar de tres niveles de información:
  1. Pública: Información que está disponible para ser distribuida de forma pública a través de canales controlados por la organización. Puede ser una posible vía de riesgo en cuanto a la información que se está ofreciendo a la competencia.
  2. Restringida: Información destinada al uso exclusivo por parte de los empleados de la organización en el desarrollo rutinario de los procesos del negocio.
  3. Confidencial o Estratégica: Información, que en caso de ser divulgada, podría violar la privacidad de personas, reducir la ventaja competitiva de la organización o causar un daño significativo al negocio o la imagen de la organización.

Documentación de Seguridad de la Información

Al hablar de documentación de seguridad estamos haciendo alusión a la serie de documentos que reflejan el conjunto de valoraciones, actividades, prácticas, decisiones y compromisos que la organización debe afrontar con el objetivo de mantener eficazmente protegidos sus activos (tangibles o intangibles).

Por tanto, los documentos mantienen entre sí una relación jerárquica establecida en función del alcance o grado de generalidad del documento y deben adaptarse perfectamente a las particularidades y procesos de la organización, así como revisarse y actualizarse de forma periódica.
Los documentos que permiten construir la gestión de la seguridad de la información son:
  1. Política: Es un documento de alto nivel. Es decir, un documento de gran generalidad que expresa las metas y objetivos de la organización y la aplicación de estos objetivos a cada área de la organización en particular. Ejemplo: “Los propietarios de la información
    son responsables de ofrecer un entorno seguro en el cual dicha información pueda ser mantenida y procesada con integridad”
  2. Estándares: Son documentos que describen tareas, acciones, reglas o normativas de obligado cumplimiento que dotan a la política de un soporte estructural. Los estándares concretan mediante conceptos específicos el sentido “abstracto” y generalista de la política.
    Ejemplo: " Los propietarios de la información deben asegurar que sus sistemas están limpios de elementos de software destructivos (como por ejemplo virus), que impedirían su correcta operación".
  3. Guías: Son documentos generales cuyo objetivo es facilitar el cumplimiento de las metas de la política mediante la creación de las condiciones adecuadas en las que se puedan implantar los procedimientos. Ejemplo: “Debe instalarse un paquete de software que prevenga y detecte virus en los sistemas y que sea capaz de recuperar información corrompida. Aquellos usuarios que tengan acceso a los sistemas deberán asistir a una jornada de formación sobre virus con el fin de que comprendan las consecuencias de una infección y su responsabilidad a la hora de proteger la información del sistema”.
  4. Procedimientos: Son documentos que describen de forma específica y concreta cómo se implantarán la política, estándares y guías en el entorno operativo de la organización.
    Ejemplos: “Los usuarios de los sistemas no podrán instalar software de dominio público (frecuente fuente de virus) sin la autorización explícita del responsable del sistema. Los usuarios cerrarán sus estaciones de trabajo al finalizar la jornada para prevenir accesos no autorizados y posibles contaminaciones de virus. Los usuarios son responsables de informar sobre cualquier tipo de acceso no autorizado o infección de virus al comité de Protección de la Información o al Help Desk” a través del procedimiento detallado de gestión de incidencias a disposición de todos los usuarios del sistema.

Estructura organizativa de la seguridad

Tradicionalmente, las organizaciones han adscrito siempre la figura del Responsable de Seguridad a personal técnico especializado en los aspectos técnicos de la Seguridad. No existe ninguna definición de funciones específicas de la figura del Responsable de Seguridad más allá de su caracterización legal: El Reglamento de Medidas de Seguridad de los ficheros que contengan datos automatizados de carácter personal (Real decreto 994/99, de 11 de junio) define al Responsable de Seguridad como la “persona o personas a las que el Responsable del Fichero (es decir, la organización) ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

De esta definición legal sólo se puede deducir que el Responsable de Seguridad ha de ser un mero ejecutor y coordinador de las políticas definidas y establecidas por la Dirección General, que son los titulares de la “propiedad” de la información y los sujetos responsables de decidir el QUÉ hacer para proteger la información de la organización, quedando el CÓMO en manos de los expertos internos y externos especializados en los distintos ámbitos de la seguridad de la información (tecnológico, procedimental y legal). Esta visión integral contrasta con la miopía actual de la mayoría de las organizaciones y debe ser, de hecho, uno de los factores críticos de éxito para una adecuada gestión de la seguridad de la información.

Idealmente, las organizaciones deberían establecer un Comité de Seguridad de la Información, compuesto por representantes de todas las áreas funcionales y cuya misión sea la definición, comunicación efectiva a los empleados y supervisión de la política de seguridad de la información, velando por que los controles sean razonables, eficientes y aplicables al negocio de la organización. Entre sus actividades principales, podríamos destacar las siguientes:
  1. Identificación de los riesgos específicos para el negocio y estudio y evaluación de controles que especifiquen la relación riesgo-control más adecuada. Los controles implantados seguirán el doble enfoque de valoración del daño potencial de pérdida de información junto con la probabilidad de pérdida de esa información.
  2. Elaboración e implantación de la normativa de seguridad interna, habitualmente recogida en el Documento de Seguridad (aunque la aprobación de esta normativa interna debería ser siempre de Dirección General).
  3. Asignación de responsabilidades sobre seguridad: nombramiento del Responsable de Seguridad y fijación de las funciones y obligaciones de cada una de las personas con acceso a la información de la organización.
  4. Documentación y comunicación efectiva de la normativa de seguridad. Resulta fundamental todo esfuerzo por documentar la seguridad de la información, ya que es preciso que los responsables de los activos deben gestionar la seguridad de forma coordinada y teniendo como referencia un objetivo y unas prácticas comunes. Asimismo, los usuarios necesitan una normativa que puedan consultar en cualquier momento, que defina sin ambigüedades qué compromiso espera de ellos la organización en cuanto a seguridad y qué represalias pueden esperar en caso de incumplirla.
  5. Identificación y asignación de niveles de autorización (control de acceso) a la información. Aquí el principio que ha de seguirse es el de “mínimo privilegio”, según el cual el personal sólo tendrá acceso autorizado exclusivamente a aquella información que necesite para el desempeño de su trabajo.
  6. Selección de asesores especialistas en los distintos ámbitos de Seguridad de la Información.
  7. Contacto con autoridades legislativas, organismos reguladores, proveedores de servicios de información, operadores de telecomunicaciones.
  8. Garantía de revisión independiente y periódica de la Seguridad de la Información, para confirmar no sólo que los controles establecidos siguen siendo eficientes sino que están alineados con los objetivos de la organización.

Tipos de Análisis de Riesgos

Con carácter previo, y en función de lo comentado en entradas anteriores, podemos clasificar los riesgos según la existencia o no con carácter previo de salvaguardas o controles dentro de la organización:
  • Riesgo intrínseco: evaluado antes de aplicar las salvaguardas y existente, por tanto, en todas las organizaciones con independencia del sector en el que operen.
  • Riesgo Residual: evaluado después de aplicar las salvaguardas. Es el riesgo que siempre subsiste dado que no existe la Seguridad Total o Perfecta (que, sin embargo, puede ser cubierta económicamente mediante una póliza de seguro de riesgo electrónico)

Una vez identificados los riesgos, el siguiente paso es decidir qué tipo de análisis de riesgos elegir, según la posibilidad o no de cuantificar económicamente los daños producidos en una organización tras producirse un impacto. Esta aproximación nos ofrece dos vías:

1. Análisis de riesgo cuantitativo: Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en cifras concretas de forma objetiva. Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto, en función de la estimación del coste económico que supone para la organización. Tienen la ventaja de aportar una mayor precisión empresarial al dar como resultado una valoración numérica, que puede ser calculable en el tiempo y como inconveniente principal, la complejidad de su cálculo, especialmente en el caso de los activos intangibles (¿cómo valorar la pérdida de imagen como consecuencia de un incidente de seguridad que ha aparecido en los periódicos ?)


2. Análisis de riesgos cualitativo: Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto en función de multitud de factores (pérdidas económicas efectivas, pérdida de conocimiento, pérdida de competitividad, interrupción de negocio, pérdida de imagen, etc). Tiene como ventaja principal su mayor facilidad de cálculo al no implicar una valoración económica y como inconveniente su carácter de apreciación subjetiva.

Elementos del Análisis de Riesgos (III)


(Haz clic en la imagen para ver la animación)

Los elementos vistos hasta ahora el nivel de los controles (salvaguardas) implantados en la empresa para la gestión de la seguridad:

  • Salvaguardas: Se define como salvaguarda todo control (política, procedimiento, norma, proceso o mecanismo) que contribuye a reducir las vulnerabilidades de los activos, reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades o reducir el impacto producido en el negocio por la materialización de amenazas.

Las salvaguardas pueden clasificarse como:

  • Proactivas o preventivas: cuando contribuyen a prevenir que se materialicen los riesgos. Protegen a los activos antes de que estos sufran ataques o agresiones. Ejemplo: los programas de formación para empleados, la definición y difusión de la política de seguridad, la segregación de funciones (al objeto de reducir el riesgo de que una persona este en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su uso de los sistemas de información).
  • Detectivas: cuando contribuyen a identificar la amenaza en el momento de materializarse y antes de producir un impacto en la organización. Ejemplos típicos de controles o salvaguardas detectivas son el uso de cortafuegos, el registro de logs, los sistemas de detección de intrusos (IDS), etc.
  • Curativas o correctivas: cuando contribuyen a eliminar o reducir el impacto negativo de la materialización de una amenaza. También llamadas curativas. “Curan” a los activos después de que estos hayan sufrido ataques o agresiones. Como ejemplos podemos citar las copias de respaldo (back-ups) o los planes de contingencia y continuidad de negocio.

Elementos del Análisis de Riesgos (II)

3. Vulnerabilidad: es toda aquella circunstancia o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización. Ejemplos de vulnerabilidades serían la falta de conocimientos sobre seguridad del usuario, la falta de funcionalidad de la seguridad (deficiente configuración de un cortafuegos, por ejemplo), elección deficiente de contraseñas, tecnología no probada, transmisión por comunicaciones no protegidas, etc.

4. Impacto: hace referencia a la magnitud de las consecuencias que tiene para el negocio el hecho de que uno o varios activos hayan visto comprometida su confidencialidad, integridad o disponibilidad debido a que una o varias amenazas hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un determinado nivel de impacto es necesario considerar la criticidad de los activos afectados. Cuanto más crítico el activo afectado, mayor impacto se producirá en la organización. Los impactos pueden tener diversa consideración, como por ejemplo:
  • Pérdida directa de dinero
  • Sanción por violación de la legislación
  • Pérdida de imagen / reputación
  • Poner en peligro al personal o a los clientes.
  • Violación de la confianza del entorno (clientes, partners, proveedores)
  • Pérdida de oportunidad de negocio.
  • Reducción de la eficiencia / desempeño operativo
  • Interrupción de la actividad de negocio

5. Riesgo: Se define como la probabilidad de que la organización se vea sometida a un determinado nivel de impacto (determinado a su vez por las consecuencias de la agresión). Su estimación se basa en la combinación de dos factores:

  • La frecuencia con la que las amenazas consideradas podrían materializarse (estimando la probabilidad de que las amenazas consideradas puedan explotar las vulnerabilidades de los activos):
  • Nivel de impacto causado en el negocio en el negocio en caso de que las amenazas consideradas se hagan efectivas. Será mayor cuanto más crítico sea el activo afectado.

Elementos del Análisis de Riesgos (I)

Una vez definidos los principios que debemos respetar en el análisis, es necesario comprender, de manera sencilla, los conceptos formales del análisis de riesgos:

  1. Activos: son todos aquellos componentes o recursos de la organización, tanto físicos (tangibles), como lógicos (intangibles) que constituyen su infraestructura, patrimonio y conocimiento. Ejemplos de los primeros serían el hardware, software, servicios, documentos, personal, edificios, inventario, tesorería, etc. Entre los activos intangibles, el ejemplo más claro es la imagen / reputación, componente de difícil valoración económica pero de carácter capital en cuanto a la percepción de la Confianza que genera el negocio entre nuestro entorno.
  2. Amenaza: es un evento o incidente provocado por una entidad hostil a la organización (humana, natural o artificial) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización (se dice que la amenaza “explota” la vulnerabilidad del activo). Las amenazas pueden ser externas o internas a la organización y pueden ser deliberadas o accidentales. Ejemplos de amenazas serían los errores humanos / negligencia, el daño intencional / ataque, fraude, robo, fallos de equipos hardware /software, desastres naturales, etc.

Principios del Análisis de Riesgos

A pesar de ser un procedimiento que se puede ejecutar de forma sistemática, en un análisis de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva:
  • Inventariar los activos existentes en la organización
  • Identificar las vulnerabilidades presentes en los activos
  • Estimar la probabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos.
  • Estimar el impacto en el negocio en caso de que ciertas amenazas se hagan efectivas.
  • Estimar si se puede asumir el riesgo o es necesario invertir en la implantación o actualización de controles de seguridad.

Si estos factores no se evalúan con total imparcialidad y objetividad, el análisis de riesgos no podrá cumplir su función con garantías, que es ayudarnos a tomar decisiones sobre cómo proteger nuestros activos. Por esta razón, es recomendable que el análisis de riesgos
sea ejecutado por un agente externo a la organización.

El análisis estará orientado a evaluar el nivel de riesgo existente para el cumplimiento dentro de la organización de los siguientes criterios:

  • Confidencialidad: significa garantizar que un activo sólo será accesible por usuarios o procesos legítimos y autorizados. Comprometer, agredir o atacar la confidencialidad de un activo significa acceder al mismo de forma no autorizada o ilegítima.
  • Integridad: significa garantizar que un activo sólo podrá ser manipulado o modificado por usuarios o procesos legítimos y autorizados.
  • Disponibilidad: significa garantizar la capacidad operativa de un activo en el proceso de negocio de la organización. Comprometer, agredir o atacar la disponibilidad
    significa impedir que el activo pueda cumplir su función asignada en el proceso de negocio de la organización.

Las opciones de cobertura aseguradora (II)

Otro tipo de garantías ofrecen cobertura sobre:
  1. Reclamaciones de los empleados:
  • Por un entorno de trabajo inapropiado (por ejemplo, cargos por acoso sexual o racial derivados de su actividad electrónica).
  • Por violación de la confidencialidad debido al uso fraudulento de la información de su organización.

2. Sanciones de la Agencia Española de Protección de Datos:

  • Derivadas del tratamiento de datos personales (sujeta a revisión / auditoria previa satisfactoria por una firma profesional independiente).

Como vemos, no se trata de que la póliza sustituya a una correcta gestión de riesgos, sino que la complemente.

Las opciones de cobertura aseguradora (I)

Por el momento, las pólizas tradicionales presentan a este respecto, importantes lagunas de cobertura, la mayoría de las cuales han de solventarse fuera del ámbito de dichas pólizas. Existen, sin embargo, algunas opciones en el mercado que permiten una amplia cobertura de los riesgos derivados de la seguridad de la información, ofreciendo coberturas para las siguientes garantías:
  1. Reclamaciones de terceros:
  • Por calumnia y difamación debido a contenidos del correo electrónico o de la web.
  • Por violación de derechos de la propiedad intelectual debido al correo electrónico o a contenidos de la web.
  • Por violación de la confidencialidad o derechos de privacidad (por ejemplo, violación de la ley de protección de datos).
  • Por publicidad engañosa, precios engañosos o temas jurisdiccionales.
  • Por daños a sistemas informáticos y/o registros (por ejemplo, a través del envio de virus o a través de las actividades piratas de empleados).
  • Por pérdidas como resultado de la imposibilidad de acceder a sus sistemas informáticos o como resultado de la pérdida de datos.
  • Por errores u omisiones en el suministro de servicios tecnológicos a sus clientes.

El concepto clave: Riesgo Residual




(Haz clic en la imagen para ver la animación)

Por tanto, vemos que el nivel de riesgo al que está sometido una organización nunca puede erradicarse totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable).

El nivel de riesgo existente después de la implantación de salvaguardas se denomina riesgo residual, y es el que separa a la organización de la “Seguridad Total o Perfecta”. Una cobertura completa desde el punto de vista económico la aportaría un plan de riesgos conjunto, que incluyera la gestión efectiva de los riesgos detectados mediante la implantación de las salvaguardas correspondientes complementado con una póliza de riesgo electrónico que cubriera el riesgo residual.

De hecho, las compañías aseguradoras exigen para la contratación del seguro de riesgo electrónico la existencia de un Plan de Gestión de Riesgos, como prueba del compromiso efectivo de los asegurados sobre la gestión de su seguridad y como base para el cálculo de la prima.

¿Qué es un Análisis de Riesgos?

Un Análisis de Riesgos es, básicamente, un procedimiento de ayuda a la decisión. Sus resultados constituyen una guía para que la organización pueda tomar decisiones sobre si es necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de seguridad serán los más adecuados.

Es un paso previo e imprescindible para cualquier estrategia de organización y gestión de la seguridad. Una vez conocidos los riesgos, la organización ya dispone de la capacidad para decidir:

  1. Qué medidas tomar dependiendo de una serie de factores (costes de la implantación de controles que reduzcan los riesgos vs. costes derivados de las consecuencias de la materialización de estos riesgos).
  2. Implantar y mantener controles de seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo cual implica inversiones económicas).
  3. Asumir ciertos riesgos a los que está expuesta la organización ya que las consecuencias acarrean un coste económico y estratégico menor que el coste que sería necesario aportar para reducir dichos riesgos.
  4. Transferir ciertos riesgos a terceros: bien a proveedores de servicios que prestan un determinado servicio a la organización (relación regulada según los términos de un Acuerdo de Nivel de Servicio) o bien cubrir el riesgo residual mediante la contratación de un seguro de riesgo electrónico.

"Esto a mí no me afecta..."

Todos los estudios estadísticos anuales demuestran que los riesgos a los que está expuesto nuestro negocio aumentan constantemente con el tiempo. Y es un problema que
afecta a todas las organizaciones. Ignorar esta tendencia o restarle importancia creyendo que a nosotros nunca nos va a afectar no hace sino agravar el problema.

El mayor desafío de una adecuada organización de la seguridad es cambiar de mentalidad:
  • La cuestión ya no es si nuestra organización está expuesta a algún riesgo o si existe alguna posibilidad de que alguna vez estos riesgos se materialicen en consecuencias negativas para el negocio.
  • Hay que preguntarse no si nuestra organización está expuesta a riesgos sino a qué riesgos está expuesta.
  • Hay que preguntarse no si alguna vez estos riesgos se harán efectivos sino cuándo lo harán y tomar medidas preventivas y correctoras para cuando suceda.

Es inútil engañarse o ignorar el problema: con el ritmo de crecimiento actual de las agresiones contra la seguridad de las organizaciones, es obvio que tarde o temprano la seguridad de nuestra organización se verá puesta a prueba (si es que no lo ha sido ya). Si queremos evitar las consecuencias de estas agresiones el primer paso es fundamental: mantener una actitud realista y consciente de la existencia de riesgos que constantemente amenazan nuestros activos y la continuidad del negocio.

Una vez sentadas estas bases, queda claro que es necesario proteger la información y el conocimiento de mi organización, ya que son un patrimonio crítico para la competitividad y el crecimiento de mi negocio. También está claro que para proteger de forma adecuada la información es necesario con carácter previo conocer los riesgos a los que está expuesta.
Las siguientes preguntas son:

  1. ¿Cómo puedo saber a qué riesgos concretos está expuesta mi organización?
  2. ¿Cómo puedo protegerme ante ellos?

La respuesta es: un procedimiento totalmente regularizado y sistematizado llamado Análisis de Riesgos.

Pero...¿qué me amenaza?

De manera informal, se habla de que una organización está expuesta a un cierto riesgo cuando existe una determinada probabilidad de que su información, su conocimiento y su negocio (sus activos lógicos, en definitiva) puedan ser afectados por agresiones o ataques.

Las amenazas que exponen a una organización a estos riesgos provienen de fuentes variadas y en ocasiones insospechadas:
  • Competencia (directa o indirectamente a través de terceros).
  • Empleados (ya sea por negligencia o de forma malintencionada)
  • Clientes descontentos (directa o indirectamente a través de terceros).
  • Espías independientes, crackers (chantaje, venta al mejor postor, etc)
  • Hackers (con el fin de probar sus habilidades, tomar la infraestructura informática de la organización como base para otros ataques o como almacén de software, ataques masivos sin ningún objetivo en particular, etc)
  • Software dañino (virus, troyanos)
  • Desastres naturales o energéticos (tormenta eléctrica, corte de energía eléctrica, inundaciones, fallo de refrigeración, etc).

Seguridad como proceso continuo

La conclusión de todas estas deficiencias es la consideración de la seguridad como un producto o conjunto de productos, no como un proceso de gestión continua que implica, en la mayoría de los casos, un cambio en la cultura y procesos de la organización. La seguridad no puede ser el resultado de una foto estática, sino que debe mantenerse después de implantada, así como evolucionar y adaptarse a los cambios de la organización y del negocio.

Es evidente que el remedio no debe resultar más caro que la enfermedad. La organización debe asumir el riesgo en caso de que la inversión necesaria para minimizarlo sea mayor que el coste económico o competitivo generado en caso de que se haga efectivo.

8 errores comunes

Sin embargo, en la práctica se observan en la mayoría de los casos, una serie de errores comunes en la organización y gestión de la seguridad:
  1. Inexistencia de un análisis previo de riesgos para evaluar las posibles amenazas que, aprovechando una vulnerabilidad en los activos de la organización, ocasionen un impacto económico en la misma. Es difícil, por no decir imposible, adoptar una visión estratégica y de negocio de la seguridad, cuando no se dispone de ninguna herramienta que determine el valor de los activos que intento proteger. Si no cuantifico y clasifico mis activos no sabré cual es la inversión en seguridad (personal, hardware, software, etc) que deberé mantener para evitar la pérdida, alteración, acceso no autorizado o indisponibilidad de los activos que se deben proteger.
  2. Asignar una cantidad insuficiente de personal no cualificado para la definición, desarrollo y mantenimiento de la seguridad. Por lo general, al considerarse la seguridad como un coste y no como una inversión, los departamentos de seguridad se encuentran tradicionalmente escasamente dotados para realizar sus funciones. Adicionalmente, no se suele proporcionar formación a este personal para que adquieran el conocimiento necesario para realizar esta tarea con garantías.
  3. Falta de comprensión de la íntima relación entre la seguridad de la información y el crecimiento del negocio (las organizaciones suelen entender la necesidad de una adecuada seguridad física pero son incapaces de ver las consecuencias de una pobre seguridad de la información, cuando cada vez más dependen en mayor medida de sus activos lógicos).
  4. Incapacidad para gestionar los aspectos operativos de la seguridad. En muchos casos, se procede a la implantación de medidas correctoras y/o preventivas pero no se establecen mecanismos de control y actualización de dichas medidas (las organizaciones identifican la seguridad de la información como un aspecto estático y puntual, no como un proceso dinámico).
  5. Centrar la responsabilidad de la seguridad de la información únicamente en mecanismos tecnológicos de seguridad (muchas organizaciones creen que por el solo hecho de tener instalado un firewall están protegiendo su negocio contra cualquier tipo de ataque, ignorando la posibilidad de una sanción legal por cesión indebida de datos personales, por ejemplo).
  6. Incapacidad para darse cuenta de la influencia del valor de su información y su reputación en el aspecto económico del negocio.
  7. Respuestas reactivas y correctivas a los problemas de seguridad e implantación de soluciones a corto plazo. No se adopta una estrategia proactiva que prevenga los incidentes de seguridad ni se minimizan los riesgos, sólo se buscan soluciones rápidas según se detectan. Esto, unido a la incapacidad de saber cual es el valor de los activos protegidos, provoca una gestión de la seguridad ineficaz que tiene como consecuencia un consumo de recursos humanos y económicos destinados a la gestión de la seguridad que no corresponde con el necesario.
  8. Pretender que los riesgos desaparecerán si son ignorados (la gestión de la seguridad es un aspecto de baja prioridad para la organización). Esta visión miope es muy habitual en aquellos sectores donde la seguridad no se percibe como un componente crítico para el negocio. Se asume que alguien con el suficiente tiempo y recursos puede comprometer siempre una organización. Al fin y al cabo, se tiende a pensar que si organizaciones como la NASA, Microsoft y los grandes bancos son carne de titular por violaciones de seguridad, es inútil adoptar una estrategia de seguridad. Eso es un argumento tan sólido como decir que no voy a poner un cerrojo a la puerta de mi casa porque existen bandas organizadas con suficientes medios para reventar cualquier dispositivo de seguridad física. Y aunque nunca se pueda garantizar al 100% la seguridad de la información de la organización, el objetivo es minimizar en lo posible, siguiendo criterios de coste-beneficio, los riesgos particulares que amenazan a una organización, según sus exigencias internas y externas y el sector en el que opere.

Beneficios de organizar y gestionar la seguridad

Destacamos los siguientes beneficios de una correcta gestión de la seguridad:
  • Competitividad: no se da ningún tipo de ventaja a la competencia.
  • Continuidad y capacidad operativa del negocio garantizada, en caso de desastre, dispondré de los mecanismos adecuados para recuperar la capacidad crítica en el menor tiempo posible.
  • Fidelización de clientes: la percepción de la Confianza es un intangible que todo cliente exige inconscientemente de sus proveedores. Una adecuada organización y gestión de la seguridad aumenta el prestigió ante los clientes actuales, potenciales y las propias administraciones que, de manera creciente para la adjudicación de concursos públicos o el otorgamiento de subvenciones, valoran el compromiso de las organizaciones con una gestión continua de la seguridad.

La organización de la seguridad debe ser un proceso continuo, sistematizado y comunicado, además de impulsado y liderado por la Dirección General.

Tipología de activos (II)

La organización de la seguridad ha de basar su estrategia en prevenir que la
divulgación, manipulación o eliminación de esta información se traduzca en perjuicios económicos, competitivos o de imagen. La i
nformación y el conocimiento son los activos más valiosos de una organización (entendiendo el conocimiento como un tipo particular de información). Si se
quiere que la organización compita en el mercado con garantías y cumpla con sus previsiones de negocio es necesario proteger la información y gestionarla de acuerdo a una política de estricto cumplimiento.
Esta
política debe aplicarse rigurosa y sistemáticamente para garantizar que la información y la capacidad operativa de la organización están protegidos con un cierto margen de confianza aceptable. L
os mecanismos, análisis, auditorías, procedimientos y normas de seguridad, derivados de esta política, que contribuyen a proteger la información, implican una inversión de capital, pero las consecuencias de exponer la información y el negocio a los diversos riesgos que los amenazan pueden suponer un coste económico mucho mayor (o pérdida de negocio).
Normalmente, las organizaciones cometen el error de pensar
que esta inversión de capital es innecesaria debido a que la probabilidad de que nuestra información se vea amenazada es muy remota. Cada vez más se requieren menos conocimientos técnicos ni habilidades extraordinarias para acceder a información restringida que sea crítica para la competitividad de la empresa.
Los activos intangibles, como la reputación e imagen de la empresa son cada vez más importantes en la sociedad de la información, al estar directamente vinculados al concepto de Confianza. Pensemos en la repercusión en el negocio que puede resultar para un banco online la filtración de una vulnerabilidad en su aplicación web o que trascienda una sanción derivada de una infracción de la normativa de protección de datos. En determinados sectores, un incidente de estas características provoca un impacto tan grande en el negocio de la organización como difícilmente cuantificable, por lo que es preciso incidir en los mecanismos de prevención.

Tipología de activos (I)

Una primera división sería entre activos físicos (tangibles) o l
ógicos (intangibles). Ejemplos de los primeros serían:
  • Las propias personas de la organización, el activo más imprescindible para la organización y cuya relación con la información y conocimiento que poseen requiere de una adecuada gestión.
  • Datos privados de clientes, datos de productos o servicios, datos económicos y financieros, datos privados de empleados, datos de investigación y desarrollo, previsiones de negocio, información estratégica para el negocio, etc.
  • Mecanismos y procesos que permiten la continuidad del negocio (infraestructura informática, infraestructura de comunicaciones, infraestructura de almacenamiento de datos, etc).

Las decisiones que marcan el crecimiento y la competitividad de una organización se toman basándose en la información y el conocimiento que dicha organización posee. Es fundamental identificar qué activos y procesos son críticos para el negocio, así como la información y conocimiento de la que se nutren.

Plan Director de Seguridad

Partiendo de la premisa: “la seguridad no es un estado, sino un proceso”, la correcta gestión de la seguridad es un proceso continuo que requiere ser evaluado, adaptado y mejorado constantemente.
Podemos definir el Plan Director de la Seguridad como la definición, documentación, implantación, ejecución, promulgación y mantenimiento continuo de determinados controles, mecanismos, políticas, auditorías, procedimientos, normas y actitudes cuya única función es mantener permanentemente protegidos con un cierto margen mínimo y razonable de confianza los activos físicos o lógicos de una organización ante amenazas externas o internas.
En sí mismo es el pilar documental de cualquier estrategia integral de gestión de la seguridad. Incluye un detalle de los activos de la organización susceptibles de gestión, es decir, de los componentes o recursos de la organización objeto de protección.

¿ Seguridad tecnológica ?


El gasto en seguridad ha venido tradicionalmente asociado a estrategias correctivas, es decir, resultado de buscar una solución a un problema de seguridad ya acaecido en la organización (virus destructivo, intrusión con robo de confidencialidad, sanción de la Agencia Española de Protección de Datos, desastre que requiere de un plan de continuidad de negocio, etc). No es habitual un enfoque proactivo que adopte medidas preventivas antes de que cualquier potencial riesgo se materialice.
De ahí una vez más la necesidad de establecer un sistema de gestión, basado en un análisis previo de los riesgos que afectan a la organización y que cuantifique el valor que significa para el negocio las acciones efectuadas para proteger la información, al tiempo que sirve de correa de transmisión a los altos niveles de la organización.
Uno de los estudios más rigurosos relacionados con la inversión en seguridad de la información arroja unos resultados bastante poco cercanos a la idea de seguridad predominante en el subconsciente colectivo: a la pregunta de cómo gastar 1 dólar en seguridad, la respuesta es que sólo un 20% se destinaría a la protección mediante herramientas tecnológicas, distribuyéndose el resto de la inversión entre el área de procesos, es decir, diseñar y ejecutar una metodología para integrar la seguridad en el proceso productivo (15%), realizar una evaluación del riesgo existente en la organización (10%), la definición de una política de seguridad (15%) y la sensibilización y formación del personal (40%), eslabón más débil por definición de la cadena de la seguridad, en cuanto a que es ignorante, por lo general, de los riesgos que su actividad supone para su organización. Como se ve, el esfuerzo de la organización debería centrarse fundamentalmente en aspectos procedimentales (40%) y formativos (40%), siendo la parte tecnológica (securización de los sistemas actuales y mantenimiento diario) una parte minoritaria en el proceso de gestión.

Pero...¿Cuánto vale lo que intento proteger?

La organización de la seguridad adolece de otro problema atávico y difícil de erradicar. Los Departamentos de Seguridad se han visto tradicionalmente como centros de coste, desde el punto de vista de Dirección General. No existe en la mente directiva una vinculación muy clara entre mi gasto en seguridad y los beneficios directos asociados a ese gasto. Esta percepción hace difícil la aprobación de gastos e inversiones en personal, hardware, software, formación, definición y desarrollo de procesos y procedimientos sin una aproximación que no me garantice el retorno de la inversión. La seguridad es un intangible, una sensación subjetiva, difícilmente encorsetable en números y que sólo se cuantifica cuando “ya ha pasado algo”. El reto para las organizaciones es responder de antemano al ¿Qué pasa si...? o, dicho de otro modo, al coste que supone la no-seguridad para la organización.
Muy pocas empresas saben exactamente cuánto deben gastarse en seguridad, al desconocer el valor de los activos que pretenden proteger. También desconocen cual es la probabilidad de que se produzca un impacto económico en sus activos y cual sería el impacto caso de producirse un incidente que afecte a la confidencialidad, integridad y disponibilidad de los mismos. Pocos mimbres para una estructura propensa, por tanto, más a las decisiones emocionales, espontáneas y arbitrarias, cuyo grado de inmediatez es directamente proporcional al impacto sufrido, que a un análisis metódico y racional que priorice la protección de aquellos activos más críticos para el negocio.

La Agencia Española de Protección de Datos: La Gran "Amenaza"?

El único contacto de la mayoría de las organizaciones con la seguridad proviene de su necesidad del cumplimiento a regañadientes de normativas como la Ley Orgánica de Protección de Datos, verdadero catalizador de la seguridad en España, al venir de serie con su “brazo armado”, es decir, la Agencia Española de Protección de Datos. Nada como una buena sanción económica, o la percepción de su amenaza cercana, para espabilar las conciencias directivas y percibir de golpe y porrazo que esto de la seguridad es algo más que redes y hackers. Pero, la realidad es que las organizaciones deberían aprovechar el imperativo legal para plantearse el proceso como una oportunidad real para comenzar a gestionar adecuadamente la seguridad de su información. De este propio proceso de adecuación a la normativa se infieren como siguiente frontera una serie de conceptos como el análisis de riesgos o el establecimiento de métricas, es decir, el germen de un cuadro de mando más cercano al conocimiento y sensibilidad de la alta dirección de la empresa, contribuyendo a reducir el gap entre tecnología y negocio y enfocando la seguridad como un proceso continuo que tiene un impacto directo en la cuenta de resultados.

Introducción al riesgo electrónico

En la época donde los hackers y virus coexisten con los robos físicos, las sanciones legales, los empleados despechados, los desastres naturales y el terrorismo como ingredientes del mismo cóctel explosivo, no es suficiente una visión con enfoque puramente tecnológico, sino que la organización y planificación sistemática de todas las actividades asociadas a la seguridad se añade a las responsabilidades de gestión de la dirección general. En definitiva, se trata de conjugar la tecnología, los procesos y la gente que interviene en ellos en un todo indisoluble.
En la base del problema se encuentra el desconocimiento palmario de los Consejos de Administración sobre la magnitud del problema: en general, las empresas no son concientes de los descalabros que podrían provocarles la inexistencia de una adecuada gestión de la seguridad de la información. La extensión de los últimos escándalos relacionados con la falta de confianza, en este caso contable, derivados de episodios como ENRON o Parmalat han desencadenado una preocupación, comprensiva de los sistemas de información, sobre el establecimiento de unas normas de gobierno corporativo que aporten un grado de confianza y transparencia necesarias en la gestión de las empresas.

En este sentido, distintas iniciativas gubernamentales han tomado las riendas de esta tendencia, promoviendo leyes específicas, como la ley Sarbanes-Oxley en los Estados Unidos, que incluye el deber de certificar los controles internos, o la Ley de Transparencia española, que obliga a las sociedades anónimas cotizadas a establecer un sistema de gestión de riesgos e informar anualmente sobre el mismo.

Primeros pasos

Como inicio de este weblog, incluiré el contenido del texto del capítulo sobre riesgos de la seguridad de la información del libro "Protección de Datos y Firma electrónica: Guía práctica hacia la seguridad", editado por el Colegio Oficial de Gestores Administrativos de Sevilla.
"Uno de los tópicos más extendidos al hablar de la seguridad de la información es asociarla de manera inconsciente a la imagen de un adolescente afanado en reventar, más por placer rebelde que por malicia, los sistemas de autenticación de cualquier compañía, con mayor ahínco cuanto más conocida sea esta por el público. La progresiva facilidad del uso de herramientas de intrusión, unido al auge de las redes inalámbricas, hace que los titulares de los medios de comunicación se centren en los aspectos tecnológicos que, al provenir de un universo oscuro, misterioso e inquietante, muy alejado del usuario y, por ende, del directivo medio de la empresa española, tienen un tirón lúdico y mediático incuestionable.
De esta imagen de tintes románticos y hollywoodienses no resulta evidente inferir la otra realidad que viven las empresas para abordar la protección de su información. Esta otra realidad gira en torno al concepto más amplio de Confianza, de solidez y sostenibilidad de una Gestión de la Seguridad de la Información que inspire un razonable nivel de crédito subjetivo entre mi entorno de trabajo. Para este nuevo edificio debemos incorporar pilares procedimentales, legales y formativos que, aun con menos atractivo público, son de una importancia capital para la traducción de la seguridad a objetivos de negocio. En estos últimos años estamos asistiendo a una evolución de la gestión de la seguridad hacia modelos de gestión más cercanos a la medición sistemática que al parcheo circunstancial, al depender de ello la propia imagen de la organización. Los difusos y precarios límites de la confianza obligan a las organizaciones a diseñar una planificación que les proteja en todos los frentes que el Responsable de Seguridad debe atender. Y la sociedad de la información acoge pensar en clave de riesgo empresarial como la mejor forma de abordar de manera integral lo que está destinado a integrarse en el Cuadro de Mando (Balanced Scorecard) como conjunto de indicadores de la organización mensurables y comparables en el tiempo."