Comentarios sobre Riesgo Electrónico

Fumata blanca para la ISO en Gestión de Riesgos

2006-04-13T23:22:00.000-07:00

Pues parece que había algo más que bichos raros detrás de esto de la "Gestión de Riesgos de la Seguridad de la Información"....La publicación bajo BSI de la norma BS 7799-3:2006 "Information security management systems. Guidelines for information security risk management" es un espaldarazo a quienes pensamos que la Gestión del Riesgo es la piedra angular de la gestión de la Seguridad de la Información, la herramienta imprescindible, primera y primaria para reducir el abismo entre "techies" y "gestores". Si la dirección empieza a oir hablar de cosas que entienda, mejor para todos....

La necesidad de la norma se apoyaba en el hecho de que, a pesar de la norma ISO/IEC 27001:2005 (para orientarse en este embrollo, se recomienda una visita a las FAQ'S de BSI) no se sabía muy bien cómo desarrollar de manera práctica todo el ciclo de análisis y gestión de Riesgos. En definitiva, orienta sobre cómo identificar, evaluar el riesgo y, posteriormente, implementar controles o salvaguardas para mitigar/reducir los mismos, así como los mecanismos de revisión, monitorización y mejora continua del sistema de control basado en riesgo.

Otra buena noticia para la estandarización de actividades de un Sistema de Gestión de la Seguridad de la Información (SGSI) es el anuncio del nuevo proyecto de norma ISO 27006 “Guidelines for information and communications technology disaster recovery services”, cuya publicación se espera para noviembre del 2007.

¿Qué hacemos con las subcontrataciones en cadena?

2006-04-13T21:19:00.000-07:00

El proceso de reinterpretación de la normativa de protección de datos al que se ve obligado la Agencia Española de Protección de Datos ha encontrado una buena piedra de toque en el tratamiento de la subcontratación internacional, toda vez que es una situación cada vez más presente en los procesos de negocio de las empresas españolas; sólo hay que pensar en ISP's que externalizan sus servicios de hosting y housing en países de menores costes, en agencias de marketing que utilizan plataformas ASP gestionadas desde, por ejemplo, Sudáfrica, o clientes cuyo servidor de correo o copias de seguridad remotas se encuentran alojadas, en realidad, en EE.UU aunque la empresa que me facture tenga CIF español. Por no hablar de corporaciones multinacionales donde empresas matrices y filiales se prestan servicios recíprocamente (por ejemplo, aplicación de RR.HH alojada en la casa matriz de Dinamarca y "alimentada" desde Internet por todas sus filiales sitas dentro y fuera de la Unión Europea).

El problema empieza desde el artículo 12.2 de la Ley Orgánica 15/1999, que establece, al tratar la figura del encargado del tratamiento (la empresa subcontratada, para entendernos), que éste "no comunicará los datos, ni siquiera para su conservación, a otras personas”. La justificación de este artículo se fundamenta en el poder de disposición que tiene todo usuario (afectado, según la curiosa denominación legal) sobre la información que le concierne, lo que obliga a que, si la ley admite la posibilidad de que los datos puedan ser tratados por un tercero (cualquier servicio de subcontratación que se nos ocurra), será preciso que la empresa que ha contratado el servicio (Responsable a todas luces en caso de incumplimiento, con, además, mayor grado de responsabilidad que la empresa subcontratada) conozca en cada momento qué entidades acceden a dichos datos, a fin de "vigilar al vigilante" y garantizar al usuario que sus datos están siendo controlados según el tratamiento que éste mismo ha autorizado.

Esto, por desgracia, no suele ser la norma en la vida empresarial, donde es muy habitual que las empresas subcontratadas jueguen al escondite y subcontraten, a su vez y sin conocimiento de la empresa contratante, con terceras entidades, formando una cadena que, según el razonamiento anterior, contraviene la normativa, ya que cualquier subcontratación posterior debería ser puesto en conocimiento de la empresa subcontrante, entre otras cosas, para que ésta pudiera atender cualquier reclamación efectuada por el afectado y para conocer en cada momento quién tiene acceso a esos datos. Luz y taquígrafos que aporten la transparencia necesaria para garantizar la trazabilidad de los datos y, en su caso, poder depurar responsabilidades en caso de incumplimiento.

Pues bien, hacer posible que un segundo subcontratista pudiera tratar los datos (según la propia interpretación de la Agencia) se logra bien mediante su participación directa en el contrato con la empresa contratante (contrato a tres bandas, en este caso), bien mediante un apoderamiento otorgado al primer subcontratista para que éste actué en el nombre y por cuenta del contratante, o bien haciéndose constar expresamente en el contrato firmado entre el responsable y el primer encargado la propia circunstancia de la subcontratación.

Pero, ¿qué sucede si para prestar ese segundo servicio de subcontratación fuera necesaria una transferencia internacional de datos a un tercer Estado que, según la Comisión Europea, no ofrece un nivel adecuado de protección de datos, como, pongamos, Sudáfrica?. Hemos visto que si yo como cliente contrato, por ejemplo, el mantenimiento de copias de seguridad remotas a un proveedor sudafricano deberé incluir en el contrato correspondiente lo dispuesto en el artículo 12, así como las cláusulas contenidas en la Decisión 2002/16/CE, mediante las que se adopten las adecuadas garantías de protección de datos que permitan la autorización de la transferencia internacional.

Otro caso sería que yo contratara este servicio a un ISP español que, a su vez, hubiera subcontratado dicho servicio con el proveedor sudafricano. En este caso, a día de hoy no existen mecanismos para establecer las adecuadas garantías que permitan vincular directamente a dos encargados del tratamiento (el ISP español y el proveedor sudafricano). Es decir, los supuestos planteados hasta ahora, tanto en España (ver Instrucción 1/2000) como en la Comisión Europea (Decisiones 2001/497/CE, 2004/915/CE, y Decisión 2002/16/CE, ya citada), contemplan situaciones de transferencias bien entre Responsables del Fichero (por ejemplo, cesiones de datos entre dos empresas con fines de marketing o publicidad) o bien entre responsable y encargado, pero no entre dos encargados del tratamiento. Es decir, que si al ISP del ejemplo le da por subcontratar en un país extracomunitario, simplemente, no podría hacerlo salvo que sus clientes firmaran directamente un contrato con el proveedor sudafricano, con arreglo a los requisitos descritos en las normas citadas anteriormente.

En fin, que....el panorama se complica. Y no sé por qué me da que a muchas empresas intermediarias no les va a hacer mucha gracia dar visibilidad al resto de los eslabones de la cadena, por aquello de que sus clientes empiecen a plantearse cual es el valor añadido en cada eslabón.

Por lo pronto, esperemos que la Agencia y/o la Unión Europea pergeñen alguna solución a un problema que afecta y afectará cada vez más a las empresas españolas....y a las internacionales con interés en el mercado español.

Uff, que post más pestiño. Parece que el espíritu de la Semana Santa me anima a la flagelación propia y ajena....

Fuera los atajos

2006-04-10T22:15:00.000-07:00

En el prolijo arte que supone la interpretación de la normativa de protección de datos, siempre han existido dudas razonables sobre el grado de concreción que exigía la Agencia Española de Protección de Datos para el cumplimiento de los principios de información y consentimiento. A la habitual leyenda-todo-vale-y-te-cuelo-todo-lo-que-pueda-si-no-te-quejas parece que se le agota el crédito y alguna de las recientes interpretaciones de la Agencia (ver procedimiento sancionador contra Grupo Pelayo) aprieta las tuercas en cuanto a la precisión requerida en términos tan comodín como "información comercial"...Cada vez se exigirán, por tanto, "finalidades determinadas y explícitas" a las que se vinculará el tratamiento de datos, requiriendo un esfuerzo de concreción cuyos límites siguen sin estar claros; sectores como el de telecomunicaciones, financiero y asegurador han utilizado masivamente las denominaciones genéricas, como "publicidad"o "información comercial" por razones a caballo entre el interés marketiniano y el puro pragmatismo. Pues bien, parece que pintan bastos para la inconcreción premeditada y las entidades deberán hilar más fino en la definición de sus finalidades publicitarias.

Otro tanto sucede con la comunicación de datos a terceras empresas, donde el cómodo recurso a la inclusión de la información sobre la cesión a "las empresas del grupo" correrá la misma suerte...A la ya exigible concreción de la finalidad de la cesión, deberá seguir el nombre de las empresas a las que se ceden dichos datos. Entonces, ¿nos encontraremos ante claúsulas de varias páginas, en los que se recojan todas las empresas de, pongamos, la corporación de un grupo bancario? O recurriremos a la remisión a la página web del responsable del fichero, donde supuestamente aparecerán todas las empresas del grupo, en curiosa sintonía con el requisito de información web exigible por el artículo 10 de la LSSI? Todo por informar correctamente al usuario. Información es poder; o, al menos, disminución del riesgo de sanción....

Arbitrando, que es gerundio

2006-03-30T20:38:00.000-08:00

Uno de los cuellos de botella de la gestión actual de los sistemas de información es la resolución de conflictos entre las partes implicadas. La oficial vía judicial sigue resultando en exceso lenta, carente de la suficiente especialización y demasiado proclive a las tácticas dilatorias. La falta de organismos jurisdiccionales específicos en el ámbito de los sistemas de información tampoco ayuda a enjuiciar lo correcto en determinadas situaciones. Por ello, la resolución por un tercero imparcial (una vez más nos encontramos con la figura del tercero de confianza), que establece bajo un criterio y una experiencia profesional determinados quién de las partes tiene razón ante una determinada controversia, va cobrando fuerza por momentos. Su filosofía alude a la necesidad de que verdaderos expertos sean los encargados de dilucidar el fondo del asunto con criterios de alta competencia técnica.

Los sistemas arbitrales, muy extendidos en otras actividades globalizadas como el comercio exterior, se postulan como alternativa buena, bonita y barata para la resolución de conflictos en el ámbito de los sistemas de información. Esta figura extrajudicial consiste en que las partes implicadas en cualquier negocio jurídico deciden, de forma voluntaria, someter las discrepancias nacidas de la relación contractual a un tercero o terceros que actúan en concepto de árbitro/s de la contienda. Mediante un acuerdo o convenio se regulan las normas en que se desarrollara dicho arbitraje y se declara el sometimiento expreso al laudo (equivalente a la sentencia) que decidirá los términos de la controversia, siendo de obligado cumplimiento para las partes, de carácter confidencial y con todas las garantías de ejecución real e inmediata que el ordenamiento jurídico presta al laudo dictado.

La extensión a posibles controversias supranacionales es otro rasgo de interés del arbitraje, en tiempos donde la prestación de servicios se internacionaliza como consecuencia del masivo uso de Internet. El modelo on demand permite que mi CRM se provea desde EE.UU, mi gestor de campañas de email marketing desde Sudáfrica y mis copias de seguridad automáticas desde Francia. Las posibles (y previsibles) controversias no deben verse lastradas por la pereza, teñida de desesperación, consustancial a la decisión de meterse en el jardín judicial internacional con escasas posibilidades de quedar satisfecho en mi reclamación.

El ejemplo más preclaro de uso del arbitraje lo constituyó en su día la ICANN, organización responsable de la gestión de los dominios de nivel superior genéricos como .com, .net y .org, al necesitar encontrar con urgencia una solución al problema de las controversias. Descartando la vía del tratado internacional por lenta y la promulgación de leyes nacionales, por la posibilidad de que fueran divergentes en exceso, se designó, entre otros, a la Organización Mundial de la Propiedad Intelectual (OMPI) como proveedor de servicios de solución de controversias bajo la fórmula en la que un “árbitro”, “mediador” o experto (de una lista de cerca de 200 profesionales independientes facultados para tomar decisiones en ese tipo de casos) examinaba la controversia y tomaba una decisión al respecto. Todo ello a precios razonables y en periodos habitualmente no superiores a dos meses.

El nuevo Plan de dominios .es acaba de estrenar el sistema de resolución extrajudicial de conflictos, donde una serie de proveedores acreditados atienden las reclamaciones sobre posibles dominios especulativos. Asociaciones como ACAM, AEADE o ARBITEC, entre otras, impulsan las ventajas del arbitraje en el mundo empresarial, demostrando que resoluciones sobre proyectos informáticos fallidos, análisis funcionales incompletos, conflictos sobre propiedad intelectual, incumplimientos de los niveles de servicio incluidos en un SLA, irregularidades en la prestación de servicios online, etc, tienen perfecta cabida dentro del esquema de resolución arbitral de conflictos.

Premonición

2006-03-27T04:16:00.000-08:00

Como si de una peli de serie B se tratase, parece que aquel escenario resumen de múltiples incidentes de seguridad que utilizo como caso práctico en mis clases, se hace realidad por obra y gracia de la noticia aparecida en ComputerWorld y comentada por Enrique Dans en su blog (gracias por citarme, compañero). Ni Pigmalión lo hubiera hecho mejor.

Lo que está claro es que nada como perder un portátil y salir en los medios para despertar el alma dormida; lo curioso es que los americanos ya llevan bastantes años y han dedicado bastantes esfuerzos en obligar a que los incidentes de seguridad se tomen en serio. La propia ley de la que habla el artículo (Financial Data Protection Act) es un ejemplo de contramedidas correctoras, tal y como figura en otro post del blog. Entre otras propone:

Compromiso de creación de un estándar nacional de seguridad de la información.
Obligación de que las empresas objeto de un ataque notifiquen a sus usuarios/consumidores que su información personal y su identidad digital han sido comprometidas
La organización atacada tendrá la obligación de proveer de un servicio gratuito durante seis meses que monitorice (perdón por el anglicismo, ahora mismo no se me ocurre ninguno más adecuado) la información financiera del usuario que ha sido comprometida para prevenir cualquier fraude mediante el uso de esa identidad robada.

La ley, aunque muy criticada por el amplio margen de interpretación que da a la organización atacada de lo que considera un "riesgo razonable para el usuario", es un híbrido de imaginación y experiencias previas que viene precedida por iniciativas legislativas como la californiana Security Breach 1386 que, ya con ámbito de aplicación nacional en la práctica, obliga a las organizaciones a que cualquier incidente en el que se tenga constancia de que se ha comprometido la seguridad de determinados datos personales (sobre todo, financieros) sea notificado a los titulares de los datos "en el menor plazo posible y sin mediar retraso no razonable".

Ya por pedir....no estaría de más que la ley exigiera algún informe (aunque fuera anónimo) de cualquier incidente, por aquello de ir construyendo estadísticas fiables para saber de qué orden de magnitud estamos hablando realmente y facilitar así el cálculo actuarial que necesitan las entidades aseguradores para el diseño de productos especializados en la cobertura de riesgo.

Y ¿en España?...Un poquito de Documento de Seguridad, con procedimientos de corta y pega, y vamos que nos matamos. Eso sí, actualizado y difundido al mismo nivel que los incunables de la Biblioteca Nacional. Los pocos que lo tienen lo mantienen impoluto, pero por el escaso uso. Nos harán falta unos cuantos casos como el de Fidelity. Al tiempo.

Privacidad por contrato

2006-03-25T23:02:00.000-08:00

Bueno, parece que, en materia de protección de datos, no sólo llueve en Europa y chaparrea en España: una empresa de mercadotecnia online norteamericana, pagará 900.000 euros de multa por haber empleado ilegalmente los datos personales de seis millones de consumidores norteamericanos (ver noticia completa). A diferencia del caso de las autoridades de control europeas (las agencias de protección de datos), la multa en el mercado USA la impuso el fiscal general de Nueva York y es una de las más cuantiosas de una legislación claramente por debajo del nivel de exigencia de sus homólogas europeas. Parece que el ámbito del marketing tiene en el respeto a la privacidad y la política anti-spam a su Pepito Grillo particular y es una de los principales criterios para la selección de un proveedor de email marketing. Ahora que empiezan a proliferar los servicios de marketing en modo ASP (ConstantContact, Graphicmail, etc), los clientes tienen que tener en cuenta más que nunca que la responsabilidad en caso de infracción de la normativa es para ambos, cliente y proveedor, lo que obliga a revisar el contrato y adecuarlo a las circustancias y legislación particulares (la propia filosofía de estos servicios es ofrecerlos a cualquier país del mundo). Por tanto, nada de contratos de adhesión, en los que mi única opción como cliente es aceptar o no: si el proveedor vende un servicio personalizado...ha de empezar por el contrato.

Ataques DOS: vuelta de tuerca

2006-03-18T22:24:00.000-08:00

Según determina un reciente estudio realizado por IBM, un 30% de las empresas españolas manifiesta no sentirse protegida frente a las amenazas que circulan por Internet. Ninguna novedad (bajo el porcentaje, me parece), habida cuenta del estado exuberante de troyanos, phishing, pharming y demás malware cada vez pergeñado con mayor sofisticación (para asustarse de verdad, sólo hay que echar un vistazo al magnífico archivo del Anti Phishing Working Group) . Las conclusiones reflejan la preocupación de las empresas por que estas amenazas cristalicen en perdidas de negocio/financieras, pérdidas en los activos de propiedad intelectual y, cada vez con mayor presencia, en daños a la imagen de marca o, lo que es lo mismo, pérdida de la confianza de tus clientes.

El asunto es especialmente grave en sectores como la banca online, donde el más mínimo "fallo técnico" desincentiva a los reacios a la transacción online para dar el paso definitivo y abandonar las visitas a la sucursal de turno. Bueno, pues parece que la nueva generación de ataques DOS tienen el siguiente objetivo en los DNS ; siguiendo la lógica de ataques distribuidos por medio de PCs infectados convertidos en zombies inconscientes (y, por tanto, potencialmente responsables, ojo) del daño que pueden causar, los hackers usan ahora sus zombies para enviar peticiones a sus DNS pero usando la dirección del objetivo del ataque (un sitio de banca online, pongamos) como dirección de respuesta a la petición al DNS. Lo que significa que el DNS se convierte en atacante cada vez que responde a una petición maliciosa. Y si ya desde la defensa del banco es difícil discernir en un DDOS "normal" cuales son peticiones legítimas y cuales no, si se añaden las del DNS (no olvidemos, encargadas de traducir legítimamente los dominios a direcciones IP), el ataque se hará mucho más difícil de bloquear, y, sobre todo, más caro (lo que puede suponer un problema de supervivencia para todo aquellas organizaciones que no dispongan de un presupuesto holgado de seguridad).
Me pregunto que responderá en estos casos el Servicio de Atención al Cliente ante la agria reclamación del usuario....

Dos factores mejor que uno

2006-03-04T01:13:00.000-08:00

Un interesante artículo de Out-Law ilustra la tendencia creciente en grandes bancos europeos (UK, Holanda, Suecia, etc) a distribuir entre sus clientes (de forma gratuita o de pago, según los casos) un dispositivo hardware (token, OTP, o tarjeta inteligente) que complementa los sistemas actuales de autenticación basados en usuario y contraseña.

La lucha contra el phishing obliga a las entidades bancarias a elevar el listón de sus exigencias en materia de seguridad; la idea es que , en el uso de banca online, el usuario conecte el token, introduzca su nombre de usuario, y presione un botón, recibiendo a continuación un código aleatorio de seis cifras, único para esa sesión, que actuará a modo de sustituto o complemento del password. Un segundo código aleatorio se puede generar para autorizar las transacciones habituales de la banca online, sustituyendo la (mal llamada por algunos bancos españoles) firma eletrónica, que no es más que un segundo password añadido al primero. Todo lo que abunde en no emplear las castigadas neuronas de los usuarios en recordar enrevesadas contraseñas parece un paso en la dirección adecuada. Se impone la filosofía de sumar "algo que yo sé" (mi usuario y password habituales) con "algo que tengo" (el dispositivo hardware de turno o, incluso, el propio móvil). Mismo principio que inspira al famoso DNI electrónico. Dos mejor que uno.

Los contras de estos sistemas son, sin embargo, varios: en principio, parece que necesitaré tantos dispositivos como bancos online en los que tenga contratados servicios, lo que incrementa el engorro para el usuario, por no hablar de las dificultades de accesibilidad para discapacitados o el coste de estas soluciones, que puede llegar a ser disuasorio si hablamos de distribuciones masivas.

¿Mayor seguridad? Sí. Pero también incremento de la dificultad de uso (factor absolutamente disuasorio para el usuario medio), aumento del coste y reducción de su universalidad al existir una gran variedad de soluciones y estándares. Parece que, una vez más, procede saber si el valor de lo que intento proteger es superior a los controles establecidos para su protección. Para que no me cueste más el mango que el mazo, vamos.

Quitar hierro

2006-03-03T23:02:00.000-08:00

La lectura del artículo en el que se detalla el saqueo de los ayuntamientos de Navacerrada y El Boalo produce escalofríos, no por el hecho en sí, que a primera vista parece un mero acto de vandalismo, sino por su redacción. "El asalto al Ayuntamiento de El Boalo, nos puso sobre aviso, lo que nos permitió el miércoles hacer copias de seguridad de todos equipos informáticos así como pintarlos con pintura plástica, para dificultar su posterior venta". Pero ¿a quién le importa el hardware, cuyo único cometido es alojar lo verdaderamente importante, la información? ¿A estas alturas no vemos que "quitar hierro" tiene cada vez menos trascendencia? ¿Y los datos que contenían las máquinas robadas? ¿No debería haber más temor al uso que se pueda dar a la información que almacenaban?

La reseña periodística no es más que un reflejo de la cultura dominante en el ámbito de la responsabilidad en el mundo virtual. Nos sigue importando más el continente que el contenido, como bien detalla Fernando Acero en Kriptópolis. El grave problema que supone la dificultad en la valoración de la información deja a las organizaciones huérfanas de referencias sobre el coste de su protección.

Matar moscas a cañonazos es la actitud más recurrente de la "seguridad por espasmo", que se dispara al día siguiente de acontecer un incidente de seguridad de estas características. Lo habitual en casos como el de los ayuntamientos citados es que los responsables de seguridad de turno (caso de haberlo/s) dediquen pasada la alarma recursos desproporcionados a la protección de una información cuyo valor parece haberse disparado subjetivamente tras el incidente. Es decir, la despreocupación inconsciente del antes se enfrenta al pánico desinformado del después. Ambas sensaciones responden a un déficit de gestión de la seguridad que supone la norma en esta nuestra comunidad.

Claro que el mercado de soluciones aseguradoras que protejan el riesgo inherente a estas situaciones no es precisamente inflacionario. Apuesto el cuello a que la póliza de daños cubre el valor de reposición de las máquinas, sin mención alguna (o peor aún, con exclusión expresa) del valor de la información que contenían.

Largo camino queda aún en nuestra sociedad de la información para la construcción de la confianza digital....

Puedo comprar con tarjeta de crédito ajena

2006-02-19T02:53:00.000-08:00

Leo en Barrapunto, en Bufet Almeida y comentado en Blogespierre, que un Juzgado de Málaga ha absuelto a dos personas acusadas de estafa por haber utilizado sin autorización, a través de Internet, una tarjeta de crédito de la que no eran titulares. La conclusión de la jueza es que el comercio debería haber asegurado la identidad de los titulares de la tarjeta....lo que no explica es cómo, legitimando de paso a quienes utilizan las tarjetas ajenas para compras en Internet. Una sentencia más que añade confusión a un panorama fuertemente sesgado hacia la protección del comprador, dejando al vendedor en la más absoluta indefensión por asumir la carga de la prueba.

Como hemos de ser optimistas, si no por lo que nos dicta la experiencia, por pura necesidad de supervivencia mental, este tipo de situaciones espolean la demanda de soluciones de seguridad en la que se produzca una efectiva identificación del usuario, algo imposible con la implementación más extendida del protocolo SSL actual. ¿Certificados digitales? ¿En manos, por tanto, de que el DNI electrónico sea una realidad extendida al común de los ciudadanos? Como parece que queda mucha mili al respecto, nos conformaremos con las soluciones de Paypal y los sistemas basados en la tecnología 3D Secure.

¿Interesa externalizar la Seguridad de la Información?

2006-02-19T02:43:00.000-08:00

Si algún área de la actividad empresarial queda a priori bajo sospecha al plantearse la opción de externalización, esa ha sido tradicionalmente la de la seguridad de la información. Es evidente que los sectores impulsores de la demanda en seguridad, el sector bancario y el de telecomunicaciones, principalmente, muestran razones “filosóficas” para mantener sus sistemas controlados por personal interno. El principal argumento para esta visión es la reticencia a poner en manos de terceros una actividad compleja y multidisciplinar encargada de la protección de información interna y confidencial, que, para colmo, resulta crítica para el negocio en el caso de muchos sectores.
La reticencia surge del hecho de que, por muy leonino que sea el Acuerdo de Nivel de Servicio (más habitual en su acepción inglesa, Service Level Agreement o SLA) que firme con mi proveedor ¿qué garantías reales puedo tener una organización de que su información se mantenga confidencial en el largo plazo? ¿Es aceptable que una empresa externa tenga acceso a conocer quienes son mis mejores clientes y cuales son sus cifras de facturación? ¿Puedo arriesgarme a que sepa con antelación el plan de negocio del nuevo producto que preveo lanzar al mercado el mes que viene? ¿Y mis proyectos de I+D?
La realidad, sin embargo, nos muestra que numerosas empresas confían ciegamente en su personal interno para la gestión de la información altamente confidencial, y que, probablemente, este personal no dispone en muchas ocasiones del rigor y conocimiento necesario suficiente para proteger sus activos de información del mismo modo que lo hacen las empresas especializadas. Amén de que convertirse de empleado en ex empleado es, en la sociedad actual, cada vez cuestión de (poco) tiempo.
¿Tengo más motivos para confiar en mi personal interno que en una empresa externa, de cuya escrupuloso respeto de su garantía de confidencialidad depende su supervivencia como negocio? La verdad es que no parece que podamos dar una concluyente respuesta positiva a esa pregunta. Con lo que, superada la desconfianza inicial hacia este acceso de mi información por parte de un tercero, la opción de externalización debe ser, cuando menos, considerada en profundidad.
Un adecuado análisis de riesgo nos determinará el grado de exposición de nuestra empresa a las riesgos y amenazas a los que está expuesta, y permitirá disponer de una información adecuada para definir y priorizar nuestras actividades de gestión de la seguridad. Una vez analizados y evaluados los riesgos, la organización debe tomar decisiones sobre su gestión: ¿dispongo de suficientes recursos internos para abordar esta planificación, definición, implantación y mantenimiento de mi Plan Director de Seguridad en condiciones ventajosas de calidad y de coste?. Tal vez sí en alguno de los puntos, pero difícilmente en todos: de ahí que, progresivamente, se observa una tendencia en el mercado a la externalización de, al menos, parte de los procesos de gestión de la seguridad.
Este proceso de externalización es ya una realidad en la auditoría, diseño e implantación de sistemas. Las organizaciones cada vez más buscan propuestas de proveedores que se adhieran y lideren iniciativas basadas en estándares como los propuestos en la sección anterior, de carácter internacional y con el respaldo de la mayoría de las empresas, en detrimento de oscuros procedimientos propietarios de incierto desarrollo futuro.
En el ámbito puramente tecnológico, el crecimiento desbocado de actividad hostil proveniente de virus, troyanos, spyware y demás malware, cada vez más inteligente; intentos de intrusión y rotura de la defensa perimetral, a través de ataques cada vez más avanzados a nivel de aplicación, etc, requiere de unas tecnologías costosas, y de los correspondientes recursos humanos para su gestión, en continua formación.
Estas exigencias hacen viable para muchas organizaciones la propuesta de externalización de servicios de seguridad gestionada. Es evidente que, gracias a las economías de escala que se producen en los modelos de negocio de estos proveedores, resulta más rentable contratar una empresa externa especializada que supervise mi seguridad (para entendernos, un “Prosegur virtual”), que mantener internamente los recursos necesarios, especialmente si lo que se busca es un modelo de servicio 24x7. Las organizaciones comienzan a demandar propuestas de servicios maduros, que vayan más allá del ‘alquiler’ de personal especializado al que nos tiene acostumbrado el sector de las TIC.
Por otro lado, el desarrollo normativo ha sido especialmente prolífico en estos últimos años. (LOPD, LSSI, Ley General de Telecomunicaciones, Ley de Firma Electrónica, etc), lo que demanda igualmente una actualización continua en aspectos de obligado cumplimiento en el sector. La conformidad legal se plantea como necesidad y marco de actuación mínima sobre el que debe basarse cualquier proyecto de organización y gestión de la seguridad de la información. El conocimiento multidisciplinar, no solo de los aspectos tecnológicos, sino también de los legales, ha de ser una de las variables que es preciso considerar a la hora de evaluar la disponibilidad de personal interno suficientemente formado, o, en la opción de externalización, en la que a la hora de elección de proveedor de servicios de seguridad, ha de ser muy importante la cobertura en el triple eje tecnológico, procedimental y legal.

Clasificación de la información

2006-02-19T02:41:00.000-08:00

Asimismo, otra actividad fundamental para una eficaz organización de la seguridad es la clasificación de la información, que atenderá a su mayor o menor carácter confidencial o a su criticidad para el negocio. En este sentido, podemos hablar de tres niveles de información:

Pública: Información que está disponible para ser distribuida de forma pública a través de canales controlados por la organización. Puede ser una posible vía de riesgo en cuanto a la información que se está ofreciendo a la competencia.
Restringida: Información destinada al uso exclusivo por parte de los empleados de la organización en el desarrollo rutinario de los procesos del negocio.
Confidencial o Estratégica: Información, que en caso de ser divulgada, podría violar la privacidad de personas, reducir la ventaja competitiva de la organización o causar un daño significativo al negocio o la imagen de la organización.

Documentación de Seguridad de la Información

2006-02-19T02:39:00.000-08:00

Al hablar de documentación de seguridad estamos haciendo alusión a la serie de documentos que reflejan el conjunto de valoraciones, actividades, prácticas, decisiones y compromisos que la organización debe afrontar con el objetivo de mantener eficazmente protegidos sus activos (tangibles o intangibles).

Por tanto, los documentos mantienen entre sí una relación jerárquica establecida en función del alcance o grado de generalidad del documento y deben adaptarse perfectamente a las particularidades y procesos de la organización, así como revisarse y actualizarse de forma periódica.

Los documentos que permiten construir la gestión de la seguridad de la información son:

Política: Es un documento de alto nivel. Es decir, un documento de gran generalidad que expresa las metas y objetivos de la organización y la aplicación de estos objetivos a cada área de la organización en particular. Ejemplo: “Los propietarios de la información
son responsables de ofrecer un entorno seguro en el cual dicha información pueda ser mantenida y procesada con integridad”
Estándares: Son documentos que describen tareas, acciones, reglas o normativas de obligado cumplimiento que dotan a la política de un soporte estructural. Los estándares concretan mediante conceptos específicos el sentido “abstracto” y generalista de la política.
Ejemplo: " Los propietarios de la información deben asegurar que sus sistemas están limpios de elementos de software destructivos (como por ejemplo virus), que impedirían su correcta operación".
Guías: Son documentos generales cuyo objetivo es facilitar el cumplimiento de las metas de la política mediante la creación de las condiciones adecuadas en las que se puedan implantar los procedimientos. Ejemplo: “Debe instalarse un paquete de software que prevenga y detecte virus en los sistemas y que sea capaz de recuperar información corrompida. Aquellos usuarios que tengan acceso a los sistemas deberán asistir a una jornada de formación sobre virus con el fin de que comprendan las consecuencias de una infección y su responsabilidad a la hora de proteger la información del sistema”.
Procedimientos: Son documentos que describen de forma específica y concreta cómo se implantarán la política, estándares y guías en el entorno operativo de la organización.
Ejemplos: “Los usuarios de los sistemas no podrán instalar software de dominio público (frecuente fuente de virus) sin la autorización explícita del responsable del sistema. Los usuarios cerrarán sus estaciones de trabajo al finalizar la jornada para prevenir accesos no autorizados y posibles contaminaciones de virus. Los usuarios son responsables de informar sobre cualquier tipo de acceso no autorizado o infección de virus al comité de Protección de la Información o al Help Desk” a través del procedimiento detallado de gestión de incidencias a disposición de todos los usuarios del sistema.

Estructura organizativa de la seguridad

2006-02-19T02:24:00.000-08:00

Tradicionalmente, las organizaciones han adscrito siempre la figura del Responsable de Seguridad a personal técnico especializado en los aspectos técnicos de la Seguridad. No existe ninguna definición de funciones específicas de la figura del Responsable de Seguridad más allá de su caracterización legal: El Reglamento de Medidas de Seguridad de los ficheros que contengan datos automatizados de carácter personal (Real decreto 994/99, de 11 de junio) define al Responsable de Seguridad como la “persona o personas a las que el Responsable del Fichero (es decir, la organización) ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”.

De esta definición legal sólo se puede deducir que el Responsable de Seguridad ha de ser un mero ejecutor y coordinador de las políticas definidas y establecidas por la Dirección General, que son los titulares de la “propiedad” de la información y los sujetos responsables de decidir el QUÉ hacer para proteger la información de la organización, quedando el CÓMO en manos de los expertos internos y externos especializados en los distintos ámbitos de la seguridad de la información (tecnológico, procedimental y legal). Esta visión integral contrasta con la miopía actual de la mayoría de las organizaciones y debe ser, de hecho, uno de los factores críticos de éxito para una adecuada gestión de la seguridad de la información.

Idealmente, las organizaciones deberían establecer un Comité de Seguridad de la Información, compuesto por representantes de todas las áreas funcionales y cuya misión sea la definición, comunicación efectiva a los empleados y supervisión de la política de seguridad de la información, velando por que los controles sean razonables, eficientes y aplicables al negocio de la organización. Entre sus actividades principales, podríamos destacar las siguientes:

Identificación de los riesgos específicos para el negocio y estudio y evaluación de controles que especifiquen la relación riesgo-control más adecuada. Los controles implantados seguirán el doble enfoque de valoración del daño potencial de pérdida de información junto con la probabilidad de pérdida de esa información.
Elaboración e implantación de la normativa de seguridad interna, habitualmente recogida en el Documento de Seguridad (aunque la aprobación de esta normativa interna debería ser siempre de Dirección General).
Asignación de responsabilidades sobre seguridad: nombramiento del Responsable de Seguridad y fijación de las funciones y obligaciones de cada una de las personas con acceso a la información de la organización.
Documentación y comunicación efectiva de la normativa de seguridad. Resulta fundamental todo esfuerzo por documentar la seguridad de la información, ya que es preciso que los responsables de los activos deben gestionar la seguridad de forma coordinada y teniendo como referencia un objetivo y unas prácticas comunes. Asimismo, los usuarios necesitan una normativa que puedan consultar en cualquier momento, que defina sin ambigüedades qué compromiso espera de ellos la organización en cuanto a seguridad y qué represalias pueden esperar en caso de incumplirla.
Identificación y asignación de niveles de autorización (control de acceso) a la información. Aquí el principio que ha de seguirse es el de “mínimo privilegio”, según el cual el personal sólo tendrá acceso autorizado exclusivamente a aquella información que necesite para el desempeño de su trabajo.
Selección de asesores especialistas en los distintos ámbitos de Seguridad de la Información.
Contacto con autoridades legislativas, organismos reguladores, proveedores de servicios de información, operadores de telecomunicaciones.
Garantía de revisión independiente y periódica de la Seguridad de la Información, para confirmar no sólo que los controles establecidos siguen siendo eficientes sino que están alineados con los objetivos de la organización.

Tipos de Análisis de Riesgos

2006-02-19T02:19:00.000-08:00

Con carácter previo, y en función de lo comentado en entradas anteriores, podemos clasificar los riesgos según la existencia o no con carácter previo de salvaguardas o controles dentro de la organización:

Riesgo intrínseco: evaluado antes de aplicar las salvaguardas y existente, por tanto, en todas las organizaciones con independencia del sector en el que operen.
Riesgo Residual: evaluado después de aplicar las salvaguardas. Es el riesgo que siempre subsiste dado que no existe la Seguridad Total o Perfecta (que, sin embargo, puede ser cubierta económicamente mediante una póliza de seguro de riesgo electrónico)

Una vez identificados los riesgos, el siguiente paso es decidir qué tipo de análisis de riesgos elegir, según la posibilidad o no de cuantificar económicamente los daños producidos en una organización tras producirse un impacto. Esta aproximación nos ofrece dos vías:

1. Análisis de riesgo cuantitativo: Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en cifras concretas de forma objetiva. Un modelo cuantitativo habitual es aquel en el que las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto, en función de la estimación del coste económico que supone para la organización. Tienen la ventaja de aportar una mayor precisión empresarial al dar como resultado una valoración numérica, que puede ser calculable en el tiempo y como inconveniente principal, la complejidad de su cálculo, especialmente en el caso de los activos intangibles (¿cómo valorar la pérdida de imagen como consecuencia de un incidente de seguridad que ha aparecido en los periódicos ?)

2. Análisis de riesgos cualitativo: Las métricas asociadas con el impacto causado por la materialización de las amenazas se valoran en términos subjetivos (Impacto Muy Alto, Alto, Medio, Bajo o Muy Bajo). Las consecuencias de la materialización de amenazas se asocian a un determinado nivel de impacto en función de multitud de factores (pérdidas económicas efectivas, pérdida de conocimiento, pérdida de competitividad, interrupción de negocio, pérdida de imagen, etc). Tiene como ventaja principal su mayor facilidad de cálculo al no implicar una valoración económica y como inconveniente su carácter de apreciación subjetiva.

Elementos del Análisis de Riesgos (III)

2006-02-19T02:04:00.000-08:00

(Haz clic en la imagen para ver la animación)

Los elementos vistos hasta ahora el nivel de los controles (salvaguardas) implantados en la empresa para la gestión de la seguridad:

Salvaguardas: Se define como salvaguarda todo control (política, procedimiento, norma, proceso o mecanismo) que contribuye a reducir las vulnerabilidades de los activos, reducir la probabilidad de que las amenazas puedan explotar vulnerabilidades o reducir el impacto producido en el negocio por la materialización de amenazas.

Las salvaguardas pueden clasificarse como:

Proactivas o preventivas: cuando contribuyen a prevenir que se materialicen los riesgos. Protegen a los activos antes de que estos sufran ataques o agresiones. Ejemplo: los programas de formación para empleados, la definición y difusión de la política de seguridad, la segregación de funciones (al objeto de reducir el riesgo de que una persona este en condiciones tanto de cometer o ocultar errores o fraudes en el transcurso normal de su uso de los sistemas de información).
Detectivas: cuando contribuyen a identificar la amenaza en el momento de materializarse y antes de producir un impacto en la organización. Ejemplos típicos de controles o salvaguardas detectivas son el uso de cortafuegos, el registro de logs, los sistemas de detección de intrusos (IDS), etc.
Curativas o correctivas: cuando contribuyen a eliminar o reducir el impacto negativo de la materialización de una amenaza. También llamadas curativas. “Curan” a los activos después de que estos hayan sufrido ataques o agresiones. Como ejemplos podemos citar las copias de respaldo (back-ups) o los planes de contingencia y continuidad de negocio.

Elementos del Análisis de Riesgos (II)

2006-02-19T01:22:00.000-08:00

3. Vulnerabilidad: es toda aquella circunstancia o característica de un activo que permite la consecución de ataques que comprometan la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización. Ejemplos de vulnerabilidades serían la falta de conocimientos sobre seguridad del usuario, la falta de funcionalidad de la seguridad (deficiente configuración de un cortafuegos, por ejemplo), elección deficiente de contraseñas, tecnología no probada, transmisión por comunicaciones no protegidas, etc.

4. Impacto: hace referencia a la magnitud de las consecuencias que tiene para el negocio el hecho de que uno o varios activos hayan visto comprometida su confidencialidad, integridad o disponibilidad debido a que una o varias amenazas hayan explotado las vulnerabilidades de estos u otros activos. Al estimar un determinado nivel de impacto es necesario considerar la criticidad de los activos afectados. Cuanto más crítico el activo afectado, mayor impacto se producirá en la organización. Los impactos pueden tener diversa consideración, como por ejemplo:

Pérdida directa de dinero
Sanción por violación de la legislación
Pérdida de imagen / reputación
Poner en peligro al personal o a los clientes.
Violación de la confianza del entorno (clientes, partners, proveedores)
Pérdida de oportunidad de negocio.
Reducción de la eficiencia / desempeño operativo
Interrupción de la actividad de negocio

5. Riesgo: Se define como la probabilidad de que la organización se vea sometida a un determinado nivel de impacto (determinado a su vez por las consecuencias de la agresión). Su estimación se basa en la combinación de dos factores:

La frecuencia con la que las amenazas consideradas podrían materializarse (estimando la probabilidad de que las amenazas consideradas puedan explotar las vulnerabilidades de los activos):
Nivel de impacto causado en el negocio en el negocio en caso de que las amenazas consideradas se hagan efectivas. Será mayor cuanto más crítico sea el activo afectado.

Elementos del Análisis de Riesgos (I)

2006-02-19T01:19:00.000-08:00

Una vez definidos los principios que debemos respetar en el análisis, es necesario comprender, de manera sencilla, los conceptos formales del análisis de riesgos:

Activos: son todos aquellos componentes o recursos de la organización, tanto físicos (tangibles), como lógicos (intangibles) que constituyen su infraestructura, patrimonio y conocimiento. Ejemplos de los primeros serían el hardware, software, servicios, documentos, personal, edificios, inventario, tesorería, etc. Entre los activos intangibles, el ejemplo más claro es la imagen / reputación, componente de difícil valoración económica pero de carácter capital en cuanto a la percepción de la Confianza que genera el negocio entre nuestro entorno.
Amenaza: es un evento o incidente provocado por una entidad hostil a la organización (humana, natural o artificial) que aprovecha una o varias vulnerabilidades de un activo con el fin de agredir la confidencialidad, integridad o disponibilidad de ese mismo activo o de otros activos de la organización (se dice que la amenaza “explota” la vulnerabilidad del activo). Las amenazas pueden ser externas o internas a la organización y pueden ser deliberadas o accidentales. Ejemplos de amenazas serían los errores humanos / negligencia, el daño intencional / ataque, fraude, robo, fallos de equipos hardware /software, desastres naturales, etc.

Principios del Análisis de Riesgos

2006-02-19T01:12:00.000-08:00

A pesar de ser un procedimiento que se puede ejecutar de forma sistemática, en un análisis de riesgos es necesario realizar determinadas tareas y estimaciones de forma totalmente imparcial y objetiva:

Inventariar los activos existentes en la organización
Identificar las vulnerabilidades presentes en los activos
Estimar la probabilidad con la que las amenazas pueden explotar las vulnerabilidades de los activos.
Estimar el impacto en el negocio en caso de que ciertas amenazas se hagan efectivas.
Estimar si se puede asumir el riesgo o es necesario invertir en la implantación o actualización de controles de seguridad.

Si estos factores no se evalúan con total imparcialidad y objetividad, el análisis de riesgos no podrá cumplir su función con garantías, que es ayudarnos a tomar decisiones sobre cómo proteger nuestros activos. Por esta razón, es recomendable que el análisis de riesgos
sea ejecutado por un agente externo a la organización.

El análisis estará orientado a evaluar el nivel de riesgo existente para el cumplimiento dentro de la organización de los siguientes criterios:

Confidencialidad: significa garantizar que un activo sólo será accesible por usuarios o procesos legítimos y autorizados. Comprometer, agredir o atacar la confidencialidad de un activo significa acceder al mismo de forma no autorizada o ilegítima.
Integridad: significa garantizar que un activo sólo podrá ser manipulado o modificado por usuarios o procesos legítimos y autorizados.
Disponibilidad: significa garantizar la capacidad operativa de un activo en el proceso de negocio de la organización. Comprometer, agredir o atacar la disponibilidad
significa impedir que el activo pueda cumplir su función asignada en el proceso de negocio de la organización.

Las opciones de cobertura aseguradora (II)

2006-02-19T00:58:00.000-08:00

Otro tipo de garantías ofrecen cobertura sobre:

Reclamaciones de los empleados:

Por un entorno de trabajo inapropiado (por ejemplo, cargos por acoso sexual o racial derivados de su actividad electrónica).
Por violación de la confidencialidad debido al uso fraudulento de la información de su organización.

2. Sanciones de la Agencia Española de Protección de Datos:

Derivadas del tratamiento de datos personales (sujeta a revisión / auditoria previa satisfactoria por una firma profesional independiente).

Como vemos, no se trata de que la póliza sustituya a una correcta gestión de riesgos, sino que la complemente.

Las opciones de cobertura aseguradora (I)

2006-02-19T00:55:00.000-08:00

Por el momento, las pólizas tradicionales presentan a este respecto, importantes lagunas de cobertura, la mayoría de las cuales han de solventarse fuera del ámbito de dichas pólizas. Existen, sin embargo, algunas opciones en el mercado que permiten una amplia cobertura de los riesgos derivados de la seguridad de la información, ofreciendo coberturas para las siguientes garantías:

Reclamaciones de terceros:

Por calumnia y difamación debido a contenidos del correo electrónico o de la web.
Por violación de derechos de la propiedad intelectual debido al correo electrónico o a contenidos de la web.
Por violación de la confidencialidad o derechos de privacidad (por ejemplo, violación de la ley de protección de datos).
Por publicidad engañosa, precios engañosos o temas jurisdiccionales.
Por daños a sistemas informáticos y/o registros (por ejemplo, a través del envio de virus o a través de las actividades piratas de empleados).
Por pérdidas como resultado de la imposibilidad de acceder a sus sistemas informáticos o como resultado de la pérdida de datos.
Por errores u omisiones en el suministro de servicios tecnológicos a sus clientes.

El concepto clave: Riesgo Residual

2006-02-19T00:47:00.000-08:00

(Haz clic en la imagen para ver la animación)

Por tanto, vemos que el nivel de riesgo al que está sometido una organización nunca puede erradicarse totalmente. Se trata de buscar un equilibrio entre el nivel de recursos y mecanismos que es preciso dedicar para minimizar estos riesgos y un cierto nivel de confianza que se puede considerar suficiente (nivel de riesgo aceptable).

El nivel de riesgo existente después de la implantación de salvaguardas se denomina riesgo residual, y es el que separa a la organización de la “Seguridad Total o Perfecta”. Una cobertura completa desde el punto de vista económico la aportaría un plan de riesgos conjunto, que incluyera la gestión efectiva de los riesgos detectados mediante la implantación de las salvaguardas correspondientes complementado con una póliza de riesgo electrónico que cubriera el riesgo residual.

De hecho, las compañías aseguradoras exigen para la contratación del seguro de riesgo electrónico la existencia de un Plan de Gestión de Riesgos, como prueba del compromiso efectivo de los asegurados sobre la gestión de su seguridad y como base para el cálculo de la prima.

¿Qué es un Análisis de Riesgos?

2006-02-19T00:45:00.000-08:00

Un Análisis de Riesgos es, básicamente, un procedimiento de ayuda a la decisión. Sus resultados constituyen una guía para que la organización pueda tomar decisiones sobre si es necesario implantar nuevos mecanismos de seguridad y qué controles o procesos de seguridad serán los más adecuados.

Es un paso previo e imprescindible para cualquier estrategia de organización y gestión de la seguridad. Una vez conocidos los riesgos, la organización ya dispone de la capacidad para decidir:

Qué medidas tomar dependiendo de una serie de factores (costes de la implantación de controles que reduzcan los riesgos vs. costes derivados de las consecuencias de la materialización de estos riesgos).
Implantar y mantener controles de seguridad que minimicen estos riesgos y los mantengan a un nivel aceptable (lo cual implica inversiones económicas).
Asumir ciertos riesgos a los que está expuesta la organización ya que las consecuencias acarrean un coste económico y estratégico menor que el coste que sería necesario aportar para reducir dichos riesgos.
Transferir ciertos riesgos a terceros: bien a proveedores de servicios que prestan un determinado servicio a la organización (relación regulada según los términos de un Acuerdo de Nivel de Servicio) o bien cubrir el riesgo residual mediante la contratación de un seguro de riesgo electrónico.

"Esto a mí no me afecta..."

2006-02-19T00:43:00.000-08:00

Todos los estudios estadísticos anuales demuestran que los riesgos a los que está expuesto nuestro negocio aumentan constantemente con el tiempo. Y es un problema que
afecta a todas las organizaciones. Ignorar esta tendencia o restarle importancia creyendo que a nosotros nunca nos va a afectar no hace sino agravar el problema.

El mayor desafío de una adecuada organización de la seguridad es cambiar de mentalidad:

La cuestión ya no es si nuestra organización está expuesta a algún riesgo o si existe alguna posibilidad de que alguna vez estos riesgos se materialicen en consecuencias negativas para el negocio.
Hay que preguntarse no si nuestra organización está expuesta a riesgos sino a qué riesgos está expuesta.
Hay que preguntarse no si alguna vez estos riesgos se harán efectivos sino cuándo lo harán y tomar medidas preventivas y correctoras para cuando suceda.

Es inútil engañarse o ignorar el problema: con el ritmo de crecimiento actual de las agresiones contra la seguridad de las organizaciones, es obvio que tarde o temprano la seguridad de nuestra organización se verá puesta a prueba (si es que no lo ha sido ya). Si queremos evitar las consecuencias de estas agresiones el primer paso es fundamental: mantener una actitud realista y consciente de la existencia de riesgos que constantemente amenazan nuestros activos y la continuidad del negocio.

Una vez sentadas estas bases, queda claro que es necesario proteger la información y el conocimiento de mi organización, ya que son un patrimonio crítico para la competitividad y el crecimiento de mi negocio. También está claro que para proteger de forma adecuada la información es necesario con carácter previo conocer los riesgos a los que está expuesta.
Las siguientes preguntas son:

¿Cómo puedo saber a qué riesgos concretos está expuesta mi organización?
¿Cómo puedo protegerme ante ellos?

La respuesta es: un procedimiento totalmente regularizado y sistematizado llamado Análisis de Riesgos.

Pero...¿qué me amenaza?

2006-02-19T00:40:00.000-08:00

De manera informal, se habla de que una organización está expuesta a un cierto riesgo cuando existe una determinada probabilidad de que su información, su conocimiento y su negocio (sus activos lógicos, en definitiva) puedan ser afectados por agresiones o ataques.

Las amenazas que exponen a una organización a estos riesgos provienen de fuentes variadas y en ocasiones insospechadas:

Competencia (directa o indirectamente a través de terceros).
Empleados (ya sea por negligencia o de forma malintencionada)
Clientes descontentos (directa o indirectamente a través de terceros).
Espías independientes, crackers (chantaje, venta al mejor postor, etc)
Hackers (con el fin de probar sus habilidades, tomar la infraestructura informática de la organización como base para otros ataques o como almacén de software, ataques masivos sin ningún objetivo en particular, etc)
Software dañino (virus, troyanos)
Desastres naturales o energéticos (tormenta eléctrica, corte de energía eléctrica, inundaciones, fallo de refrigeración, etc).

Seguridad como proceso continuo

2006-02-19T00:39:00.000-08:00

La conclusión de todas estas deficiencias es la consideración de la seguridad como un producto o conjunto de productos, no como un proceso de gestión continua que implica, en la mayoría de los casos, un cambio en la cultura y procesos de la organización. La seguridad no puede ser el resultado de una foto estática, sino que debe mantenerse después de implantada, así como evolucionar y adaptarse a los cambios de la organización y del negocio.

Es evidente que el remedio no debe resultar más caro que la enfermedad. La organización debe asumir el riesgo en caso de que la inversión necesaria para minimizarlo sea mayor que el coste económico o competitivo generado en caso de que se haga efectivo.

8 errores comunes

2006-02-19T00:34:00.000-08:00

Sin embargo, en la práctica se observan en la mayoría de los casos, una serie de errores comunes en la organización y gestión de la seguridad:

Inexistencia de un análisis previo de riesgos para evaluar las posibles amenazas que, aprovechando una vulnerabilidad en los activos de la organización, ocasionen un impacto económico en la misma. Es difícil, por no decir imposible, adoptar una visión estratégica y de negocio de la seguridad, cuando no se dispone de ninguna herramienta que determine el valor de los activos que intento proteger. Si no cuantifico y clasifico mis activos no sabré cual es la inversión en seguridad (personal, hardware, software, etc) que deberé mantener para evitar la pérdida, alteración, acceso no autorizado o indisponibilidad de los activos que se deben proteger.
Asignar una cantidad insuficiente de personal no cualificado para la definición, desarrollo y mantenimiento de la seguridad. Por lo general, al considerarse la seguridad como un coste y no como una inversión, los departamentos de seguridad se encuentran tradicionalmente escasamente dotados para realizar sus funciones. Adicionalmente, no se suele proporcionar formación a este personal para que adquieran el conocimiento necesario para realizar esta tarea con garantías.
Falta de comprensión de la íntima relación entre la seguridad de la información y el crecimiento del negocio (las organizaciones suelen entender la necesidad de una adecuada seguridad física pero son incapaces de ver las consecuencias de una pobre seguridad de la información, cuando cada vez más dependen en mayor medida de sus activos lógicos).
Incapacidad para gestionar los aspectos operativos de la seguridad. En muchos casos, se procede a la implantación de medidas correctoras y/o preventivas pero no se establecen mecanismos de control y actualización de dichas medidas (las organizaciones identifican la seguridad de la información como un aspecto estático y puntual, no como un proceso dinámico).
Centrar la responsabilidad de la seguridad de la información únicamente en mecanismos tecnológicos de seguridad (muchas organizaciones creen que por el solo hecho de tener instalado un firewall están protegiendo su negocio contra cualquier tipo de ataque, ignorando la posibilidad de una sanción legal por cesión indebida de datos personales, por ejemplo).
Incapacidad para darse cuenta de la influencia del valor de su información y su reputación en el aspecto económico del negocio.
Respuestas reactivas y correctivas a los problemas de seguridad e implantación de soluciones a corto plazo. No se adopta una estrategia proactiva que prevenga los incidentes de seguridad ni se minimizan los riesgos, sólo se buscan soluciones rápidas según se detectan. Esto, unido a la incapacidad de saber cual es el valor de los activos protegidos, provoca una gestión de la seguridad ineficaz que tiene como consecuencia un consumo de recursos humanos y económicos destinados a la gestión de la seguridad que no corresponde con el necesario.
Pretender que los riesgos desaparecerán si son ignorados (la gestión de la seguridad es un aspecto de baja prioridad para la organización). Esta visión miope es muy habitual en aquellos sectores donde la seguridad no se percibe como un componente crítico para el negocio. Se asume que alguien con el suficiente tiempo y recursos puede comprometer siempre una organización. Al fin y al cabo, se tiende a pensar que si organizaciones como la NASA, Microsoft y los grandes bancos son carne de titular por violaciones de seguridad, es inútil adoptar una estrategia de seguridad. Eso es un argumento tan sólido como decir que no voy a poner un cerrojo a la puerta de mi casa porque existen bandas organizadas con suficientes medios para reventar cualquier dispositivo de seguridad física. Y aunque nunca se pueda garantizar al 100% la seguridad de la información de la organización, el objetivo es minimizar en lo posible, siguiendo criterios de coste-beneficio, los riesgos particulares que amenazan a una organización, según sus exigencias internas y externas y el sector en el que opere.

Beneficios de organizar y gestionar la seguridad

2006-02-19T00:32:00.000-08:00

Destacamos los siguientes beneficios de una correcta gestión de la seguridad:

Competitividad: no se da ningún tipo de ventaja a la competencia.
Continuidad y capacidad operativa del negocio garantizada, en caso de desastre, dispondré de los mecanismos adecuados para recuperar la capacidad crítica en el menor tiempo posible.
Fidelización de clientes: la percepción de la Confianza es un intangible que todo cliente exige inconscientemente de sus proveedores. Una adecuada organización y gestión de la seguridad aumenta el prestigió ante los clientes actuales, potenciales y las propias administraciones que, de manera creciente para la adjudicación de concursos públicos o el otorgamiento de subvenciones, valoran el compromiso de las organizaciones con una gestión continua de la seguridad.

La organización de la seguridad debe ser un proceso continuo, sistematizado y comunicado, además de impulsado y liderado por la Dirección General.

Tipología de activos (II)

2006-02-19T00:31:00.000-08:00

La organización de la seguridad ha de basar su estrategia en prevenir que la
divulgación, manipulación o eliminación de esta información se traduzca en perjuicios económicos, competitivos o de imagen. La i
nformación y el conocimiento son los activos más valiosos de una organización (entendiendo el conocimiento como un tipo particular de información). Si se
quiere que la organización compita en el mercado con garantías y cumpla con sus previsiones de negocio es necesario proteger la información y gestionarla de acuerdo a una política de estricto cumplimiento.
Esta
política debe aplicarse rigurosa y sistemáticamente para garantizar que la información y la capacidad operativa de la organización están protegidos con un cierto margen de confianza aceptable. L
os mecanismos, análisis, auditorías, procedimientos y normas de seguridad, derivados de esta política, que contribuyen a proteger la información, implican una inversión de capital, pero las consecuencias de exponer la información y el negocio a los diversos riesgos que los amenazan pueden suponer un coste económico mucho mayor (o pérdida de negocio).
Normalmente, las organizaciones cometen el error de pensar
que esta inversión de capital es innecesaria debido a que la probabilidad de que nuestra información se vea amenazada es muy remota. Cada vez más se requieren menos conocimientos técnicos ni habilidades extraordinarias para acceder a información restringida que sea crítica para la competitividad de la empresa.
Los activos intangibles, como la reputación e imagen de la empresa son cada vez más importantes en la sociedad de la información, al estar directamente vinculados al concepto de Confianza. Pensemos en la repercusión en el negocio que puede resultar para un banco online la filtración de una vulnerabilidad en su aplicación web o que trascienda una sanción derivada de una infracción de la normativa de protección de datos. En determinados sectores, un incidente de estas características provoca un impacto tan grande en el negocio de la organización como difícilmente cuantificable, por lo que es preciso incidir en los mecanismos de prevención.

Tipología de activos (I)

2006-02-19T00:28:00.000-08:00

Una primera división sería entre activos físicos (tangibles) o l
ógicos (intangibles). Ejemplos de los primeros serían:

Las propias personas de la organización, el activo más imprescindible para la organización y cuya relación con la información y conocimiento que poseen requiere de una adecuada gestión.
Datos privados de clientes, datos de productos o servicios, datos económicos y financieros, datos privados de empleados, datos de investigación y desarrollo, previsiones de negocio, información estratégica para el negocio, etc.
Mecanismos y procesos que permiten la continuidad del negocio (infraestructura informática, infraestructura de comunicaciones, infraestructura de almacenamiento de datos, etc).

Las decisiones que marcan el crecimiento y la competitividad de una organización se toman basándose en la información y el conocimiento que dicha organización posee. Es fundamental identificar qué activos y procesos son críticos para el negocio, así como la información y conocimiento de la que se nutren.

Plan Director de Seguridad

2006-02-19T00:26:00.000-08:00

Partiendo de la premisa: “la seguridad no es un estado, sino un proceso”, la correcta gestión de la seguridad es un proceso continuo que requiere ser evaluado, adaptado y mejorado constantemente.
Podemos definir el Plan Director de la Seguridad como la definición, documentación, implantación, ejecución, promulgación y mantenimiento continuo de determinados controles, mecanismos, políticas, auditorías, procedimientos, normas y actitudes cuya única función es mantener permanentemente protegidos con un cierto margen mínimo y razonable de confianza los activos físicos o lógicos de una organización ante amenazas externas o internas.
En sí mismo es el pilar documental de cualquier estrategia integral de gestión de la seguridad. Incluye un detalle de los activos de la organización susceptibles de gestión, es decir, de los componentes o recursos de la organización objeto de protección.

¿ Seguridad tecnológica ?

2006-02-19T00:18:00.000-08:00

El gasto en seguridad ha venido tradicionalmente asociado a estrategias correctivas, es decir, resultado de buscar una solución a un problema de seguridad ya acaecido en la organización (virus destructivo, intrusión con robo de confidencialidad, sanción de la Agencia Española de Protección de Datos, desastre que requiere de un plan de continuidad de negocio, etc). No es habitual un enfoque proactivo que adopte medidas preventivas antes de que cualquier potencial riesgo se materialice.
De ahí una vez más la necesidad de establecer un sistema de gestión, basado en un análisis previo de los riesgos que afectan a la organización y que cuantifique el valor que significa para el negocio las acciones efectuadas para proteger la información, al tiempo que sirve de correa de transmisión a los altos niveles de la organización.
Uno de los estudios más rigurosos relacionados con la inversión en seguridad de la información arroja unos resultados bastante poco cercanos a la idea de seguridad predominante en el subconsciente colectivo: a la pregunta de cómo gastar 1 dólar en seguridad, la respuesta es que sólo un 20% se destinaría a la protección mediante herramientas tecnológicas, distribuyéndose el resto de la inversión entre el área de procesos, es decir, diseñar y ejecutar una metodología para integrar la seguridad en el proceso productivo (15%), realizar una evaluación del riesgo existente en la organización (10%), la definición de una política de seguridad (15%) y la sensibilización y formación del personal (40%), eslabón más débil por definición de la cadena de la seguridad, en cuanto a que es ignorante, por lo general, de los riesgos que su actividad supone para su organización. Como se ve, el esfuerzo de la organización debería centrarse fundamentalmente en aspectos procedimentales (40%) y formativos (40%), siendo la parte tecnológica (securización de los sistemas actuales y mantenimiento diario) una parte minoritaria en el proceso de gestión.

Pero...¿Cuánto vale lo que intento proteger?

2006-02-19T00:14:00.000-08:00

La organización de la seguridad adolece de otro problema atávico y difícil de erradicar. Los Departamentos de Seguridad se han visto tradicionalmente como centros de coste, desde el punto de vista de Dirección General. No existe en la mente directiva una vinculación muy clara entre mi gasto en seguridad y los beneficios directos asociados a ese gasto. Esta percepción hace difícil la aprobación de gastos e inversiones en personal, hardware, software, formación, definición y desarrollo de procesos y procedimientos sin una aproximación que no me garantice el retorno de la inversión. La seguridad es un intangible, una sensación subjetiva, difícilmente encorsetable en números y que sólo se cuantifica cuando “ya ha pasado algo”. El reto para las organizaciones es responder de antemano al ¿Qué pasa si...? o, dicho de otro modo, al coste que supone la no-seguridad para la organización.
Muy pocas empresas saben exactamente cuánto deben gastarse en seguridad, al desconocer el valor de los activos que pretenden proteger. También desconocen cual es la probabilidad de que se produzca un impacto económico en sus activos y cual sería el impacto caso de producirse un incidente que afecte a la confidencialidad, integridad y disponibilidad de los mismos. Pocos mimbres para una estructura propensa, por tanto, más a las decisiones emocionales, espontáneas y arbitrarias, cuyo grado de inmediatez es directamente proporcional al impacto sufrido, que a un análisis metódico y racional que priorice la protección de aquellos activos más críticos para el negocio.

La Agencia Española de Protección de Datos: La Gran "Amenaza"?

2006-02-19T00:11:00.000-08:00

El único contacto de la mayoría de las organizaciones con la seguridad proviene de su necesidad del cumplimiento a regañadientes de normativas como la Ley Orgánica de Protección de Datos, verdadero catalizador de la seguridad en España, al venir de serie con su “brazo armado”, es decir, la Agencia Española de Protección de Datos. Nada como una buena sanción económica, o la percepción de su amenaza cercana, para espabilar las conciencias directivas y percibir de golpe y porrazo que esto de la seguridad es algo más que redes y hackers. Pero, la realidad es que las organizaciones deberían aprovechar el imperativo legal para plantearse el proceso como una oportunidad real para comenzar a gestionar adecuadamente la seguridad de su información. De este propio proceso de adecuación a la normativa se infieren como siguiente frontera una serie de conceptos como el análisis de riesgos o el establecimiento de métricas, es decir, el germen de un cuadro de mando más cercano al conocimiento y sensibilidad de la alta dirección de la empresa, contribuyendo a reducir el gap entre tecnología y negocio y enfocando la seguridad como un proceso continuo que tiene un impacto directo en la cuenta de resultados.

Introducción al riesgo electrónico

2006-02-19T00:08:00.000-08:00

En la época donde los hackers y virus coexisten con los robos físicos, las sanciones legales, los empleados despechados, los desastres naturales y el terrorismo como ingredientes del mismo cóctel explosivo, no es suficiente una visión con enfoque puramente tecnológico, sino que la organización y planificación sistemática de todas las actividades asociadas a la seguridad se añade a las responsabilidades de gestión de la dirección general. En definitiva, se trata de conjugar la tecnología, los procesos y la gente que interviene en ellos en un todo indisoluble.
En la base del problema se encuentra el desconocimiento palmario de los Consejos de Administración sobre la magnitud del problema: en general, las empresas no son concientes de los descalabros que podrían provocarles la inexistencia de una adecuada gestión de la seguridad de la información. La extensión de los últimos escándalos relacionados con la falta de confianza, en este caso contable, derivados de episodios como ENRON o Parmalat han desencadenado una preocupación, comprensiva de los sistemas de información, sobre el establecimiento de unas normas de gobierno corporativo que aporten un grado de confianza y transparencia necesarias en la gestión de las empresas.

En este sentido, distintas iniciativas gubernamentales han tomado las riendas de esta tendencia, promoviendo leyes específicas, como la ley Sarbanes-Oxley en los Estados Unidos, que incluye el deber de certificar los controles internos, o la Ley de Transparencia española, que obliga a las sociedades anónimas cotizadas a establecer un sistema de gestión de riesgos e informar anualmente sobre el mismo.

Primeros pasos

2006-02-19T00:02:00.000-08:00

Como inicio de este weblog, incluiré el contenido del texto del capítulo sobre riesgos de la seguridad de la información del libro "Protección de Datos y Firma electrónica: Guía práctica hacia la seguridad", editado por el Colegio Oficial de Gestores Administrativos de Sevilla.
"Uno de los tópicos más extendidos al hablar de la seguridad de la información es asociarla de manera inconsciente a la imagen de un adolescente afanado en reventar, más por placer rebelde que por malicia, los sistemas de autenticación de cualquier compañía, con mayor ahínco cuanto más conocida sea esta por el público. La progresiva facilidad del uso de herramientas de intrusión, unido al auge de las redes inalámbricas, hace que los titulares de los medios de comunicación se centren en los aspectos tecnológicos que, al provenir de un universo oscuro, misterioso e inquietante, muy alejado del usuario y, por ende, del directivo medio de la empresa española, tienen un tirón lúdico y mediático incuestionable.
De esta imagen de tintes románticos y hollywoodienses no resulta evidente inferir la otra realidad que viven las empresas para abordar la protección de su información. Esta otra realidad gira en torno al concepto más amplio de Confianza, de solidez y sostenibilidad de una Gestión de la Seguridad de la Información que inspire un razonable nivel de crédito subjetivo entre mi entorno de trabajo. Para este nuevo edificio debemos incorporar pilares procedimentales, legales y formativos que, aun con menos atractivo público, son de una importancia capital para la traducción de la seguridad a objetivos de negocio. En estos últimos años estamos asistiendo a una evolución de la gestión de la seguridad hacia modelos de gestión más cercanos a la medición sistemática que al parcheo circunstancial, al depender de ello la propia imagen de la organización. Los difusos y precarios límites de la confianza obligan a las organizaciones a diseñar una planificación que les proteja en todos los frentes que el Responsable de Seguridad debe atender. Y la sociedad de la información acoge pensar en clave de riesgo empresarial como la mejor forma de abordar de manera integral lo que está destinado a integrarse en el Cuadro de Mando (Balanced Scorecard) como conjunto de indicadores de la organización mensurables y comparables en el tiempo."