En los artículos anteriores publicados como parte de esta columna se han abordado los temas de Gobierno de Seguridad de la Información y las funciones que deben existir dentro de las organizaciones para lograr un nivel adecuado de protección.
Lo anterior es una base fundamental para el éxito de una estrategia de seguridad, pero ahora conviene precisar que también lo es el construir un programa, cuyas características básicas son contar con cimientos sólidos y un adecuado horizonte en el tiempo para alcanzar la madurez.
Este programa debe basarse en una arquitectura de procesos de seguridad de información, que requiere sustentarse en una filosofía muy clara: la seguridad no puede concebirse como algo con un principio y un final, sino como un trabajo continuo sustentado en flujos que se planean, diseñan, desarrollan, implementan y mejoran.
Para empezar a implementar este framework o arquitectura de procesos de seguridad de información, lo adecuado es ejecutar un assessment o evaluación del nivel de seguridad, que contemple una fase técnica y otra de mejores prácticas.
La primera puede basarse en una evaluación de la infraestructura de IT y en un escaneo de las vulnerabilidades a las cuales está sujeta para luego presentar la información, de acuerdo a su nivel de impacto, a los directivos del negocio.
Aunque para esta fase técnica será necesario contar con personal altamente competente, capaz de obtener información valiosa, sin poner en riesgo las aplicaciones involucradas en la evaluación.
La fase de mejores prácticas se deberá apoyar en entrevistas guiadas, basadas en cuestionarios aplicados a usuarios de diversas áreas de la organización. Quien puede apoyar en esta labor es el personal con experiencia en estándares como COBIT, ITIL, ISO27001, etc.
Una vez que el assessment concluya y ya con los riesgos completamente visibles, habrá que elaborar un plan de actividades a corto, mediano y largo plazo, cuyo objetivo será avanzar en la remediación de las vulnerabilidades técnicas y no técnicas.
Algunas de éstas deberán analizarse en sus causas raíz para evitar que se presenten en forma recurrente, por ejemplo, si se detectan problemas de actualización de parches o versiones en diversas plataformas y aplicaciones, no bastará con hacer la actualización pendiente, faltará crear o mejorar el proceso de administración de los mismos y de sus respectivas versiones y alinear esto con las mejores prácticas.
Y es que uno de los aspectos fundamentales en toda esta tarea es poder determinar qué procesos básicos deben establecerse dentro del plan para poder desarrollarlos e implementarlos.
Los candidatos a procesos
A la larga tales procesos formarán ese framework de seguridad de la información, pero, ¿cuáles son?
- El primero es la concientización, la meta de éste es desarrollar un esfuerzo constante, repetible y medible para mejorar y mantener el nivel de conocimiento de seguridad a lo largo de toda la empresa.
La concientización también implica educar a todo el staff en cuanto a exposiciones al riesgo y resumirlas en las medidas que se han tomado para reducir éstas al mínimo.
Por algo el Computer Security Institute sostiene que la primera línea de defensa para la seguridad de la información es la conciencia y preocupación del personal de dicha área.
- Administración de riesgos. Esto debe basarse en: identificar los activos críticos y sus amenazas; cuantificar los impactos que éstas pudieran generar al negocio; calcular los riesgos; aceptarlos, reducirlos, transferirlos o evitarlos, de acuerdo a las pérdidas que podrían generarle a la empresa, implementar los controles que ayuden a mitigarlos y monitoreo de la efectividad de tales controles y su impacto.
- Manejo de incidentes. De acuerdo a Bruce Schneier, en su Libro Secrets & Lies, los ataques, sean ocasionados por criminales o no, son imprevistos, son eventos que toman a la gente por sorpresa, son anomalías en el aspecto social y afectan las vidas de las víctimas.
Es necesario, entonces, desarrollar un proceso de manejo de incidentes que contemple los dos grandes aspectos, uno el de comunicación de los mismos y el otro el proceso o modelo de respuesta a incidentes. Un staff calificado deberá estar preparado para poder responder en forma efectiva.
- Continuidad de negocios. Los planes de continuidad y de recuperación en caso de desastres aseguran la viabilidad de la organización. Las compañías modernas dependen cada día más de la tecnología para su continuidad operativa.
De manera que asegurar la continuidad del buen funcionamiento de IT se torna un factor clave cuando una contingencia o desastre ocurre. Por lo tanto, es necesario desarrollar un proceso robusto que cubra los aspectos tecnológicos (Plan de recuperación en caso de desastres-DRP) pero además los de negocio (Plan de continuidad del negocio –BCP).
- Control de accesos. Uno de los fundamentos de la seguridad de la información es controlar la manera en la que los usuarios acceden a los activos de la organización, con el objetivo de protegerlos contra divulgación o cambios no autorizados.
Los niveles de acceso a los activos se asignan en función al grado de sensibilidad o criticidad de los mismos. Claro que para esto debe hacerse una evaluación previa, que permita tener claro cuáles son los más críticos para la organización. Además, se requiere crear un proceso de controles de ingreso que considere los roles necesarios de los usuarios y la plataforma tecnológica adecuada.
- Monitoreo de seguridad. Uno de los puntos básicos es definir un proceso que considere el monitoreo de las variables definidas en cada uno de los procesos descritos anteriormente, y en el cual se asienten muy claramente las acciones a tomar cuando los valores permitidos sean rebasados.
Como una buena práctica, se deberá incluir un proceso formal para reportar las variables del monitoreo al comité de seguridad de la información, si es que existe esta figura dentro de la empresa, o a la alta directiva.
Una vez que los procesos del framework han madurado, se puede ya decir que el nivel del programa de seguridad de información se ha incrementado también.
La siguiente etapa podría ser, si las condiciones del negocio lo permiten y justifican, buscar a una entidad externa que “certifique” ese nuevo grado de seguridad dentro de la compañía.
Entre las alternativas para esto está ejecutar un análisis “gap” versus el estándar ISO27001, si el ejercicio arroja que la organización no tiene grandes desviaciones respecto a esto, se puede buscar la certificación.
Por supuesto, el framework de seguridad de la información será determinante para obtener dicho certificado, que al ser avalado por entidades internacionales, proporciona un gran valor a la compañía.
Para empezar a implementar una arquitectura de procesos de seguridad de información, lo adecuado es ejecutar una evaluación del nivel de protección dentro la empresa, que contemple una fase técnica y otra de mejores prácticas.
La arquitectura de procesos de seguridad de información debe ser un trabajo continuo, sustentado en flujos que se planean, diseñan, desarrollan, implementan y mejoran.
Una vez que los procesos de la arquitectura han madurado, se puede decir que el nivel del programa de seguridad se ha incrementado también. La siguiente etapa podría ser, si las condiciones del negocio lo permiten y justifican, buscar a una entidad externa que “certifique” ese nuevo grado de protección.
Ricardo Morales está a cargo del área de seguridad de la información de Alestra, es presidente de ALAPSI, capítulo Noreste. rmoralesg@alestra.com.mx |
Para lograr un nivel adecuado de protección y resguardo a los activos de IT, conviene crear una arquitectura de procesos de seguridad de la información.
![[Valid RSS]](../images/backEnd/valid-rss.gif "Validate my RSS feed")