En este artículo se presenta una propuesta para que las organizaciones puedan controlar y dirigir sus acciones y decisiones con respecto a la mejora de la seguridad de su información, para llegar a obtener un modelo coherente con la naturaleza del negocio, y alineado con sus objetivos.
Se presenta un conjunto de gestiones que deberían definir e implementar las empresas para ir avanzando en el nivel de madurez de su modelo de seguridad de la información, teniendo como base:
- Los activos de información.
- Los riesgos de seguridad de la información.
- Los incidentes de seguridad de la información.
- El cumplimiento.
- La continuidad del Negocio.
- El cambio y cultura para la seguridad de la información.
- La Estrategia de seguridad de la información.
Para cada una de las gestiones se presenta su definición, la relación con cada una de las etapas del ciclo de mejora continua PHVA (Planear, Hacer, Verificar, Actuar) y la relaciones y dependencias que existen entre cada una deestas.
I. INTRODUCCIÓN
Los esfuerzos realizados por las organizaciones para afrontar la problemática de la seguridad de la información, con relación a los riesgos que conlleva la pérdida de su confidencialidad, integridad o disponibilidad, ha llevado a que las mismas aumenten cada año sus inversiones para minimizar el nivel de su exposición al riesgo. Estas inversiones se traducen en proyectos que van desde una implementación tecnológica, que constituye un control de seguridad específico para la información, hasta proyectos tendientes a definir e implementar modelos de seguridad que permitan hacer una gestión continua de una estrategia de seguridad de la información, que debe implementarse y mejorase a través del tiempo.
La norma internacional ISO/IEC 27001 ha sido presentada como un modelo para el establecimiento, implementación, operación, seguimiento, revisión, mantenimiento y mejora de un sistema de gestión de seguridad de la información, lo cual a priori nos indica que se puede generar un marco formal a través del cual se gestiona la seguridad de la información en las organizaciones. Es interesante ir a lo básico y preguntar: ¿Qué es la seguridad de la información? ¿Qué significa gestionar seguridad de la información?.
La seguridad de la información es definida por la norma ISO/IEC 27001 como: “La Preservación de la confidencialidad, la integridad y la disponibilidad de la información; además puede involucrar otras propiedades tales como: autenticidad, trazabilidad, no repudio y fiabilidad”, de otra forma, y en un sentido práctico, como elemento de valor al negocio, puede definirse como: “La protección de la información contra una serie de amenazas para reducir el daño al negocio y maximizar las oportunidades y utilidades del mismo”. Esta última definición nos sugiere con más fuerza que la seguridad de la información es un tema estratégico y de negocio que debe ser atendido desde la alta dirección.
En este sentido gestionar es coordinar y dirigir una serie de actividades, con uno recursos disponibles, para conseguir determinados objetivos, lo cual implica amplias y fuertes interacciones fundamentalmente entre el entorno, las estructuras, los procesos y los productos que se deseen obtener1.
Teniendo en cuenta lo anterior, debemos reconocer que la gestión de la seguridad de la información requiere de una estrategia alineada con el negocio y sus objetivos, requiere de unos recursos y de un conjunto de actividades dirigidas y coordinadas por una organización de la seguridad que se extienda a través de toda la organización, desde la alta dirección hasta los usuarios finales.
En el desarrollo de este artículo se presenta cual es ese conjunto de actividades principales que deben llevarse a cabo dentro de una gestión de seguridad de la información, en un ciclo de mejora continua PHVA, bajo el cual se orquestan varias gestiones que alineadas completan y soportan los objetivos de seguridad de la información que normalmente se buscan satisfacer en las organizaciones.
En este sentido es importante ir más allá de tener unos requisitos normativos y de conformidad con un estándar internacional y presentar los elementos prácticos que permitan que las organizaciones comprendan y dimensionen los esfuerzos que hay que llevar a cabo para gestionar la seguridad de la información de manera sistemática.
II. GESTIONES DE SEGURIDAD DE LA INFORMACIÓN
A. Gestión de Activos de Información
Definición
En esta gestión se requiere identificar, valorar y clasificar los activos de información más importantes del negocio. Un activo de información en el contexto de un SGSI y con base en la norma ISO/IEC 27001 es: “algo a lo que una organización directamente le asigna un valor y por lo tanto la organización debe proteger”.
Para las organizaciones esta definición de activo de información puede resultar muy amplia, por lo cual es necesario establecer unos criterios qué permitan identificar lo que es un activo de información y definir las distintas formas en las cuales se pueden reconocer estos en la organización.
Se debe considerar como un activo de información principalmente a cualquier conjunto de datos creado o utilizado por un proceso de la organización., así como el hardware y el software utilizado para su procesamiento o almacenamiento, los servicios utilizados para su transmisión o recepción y las herramientas y/o utilidades para el desarrollo y soporte de sistemas de información. En casos particulares, se puede considerar como un activo de información a personas que manejen datos, transacciones, o un conocimiento específico muy importante para la organización (Por ejemplo: secretos industriales, manejo de claves importantes, “know how”).
Bajo esta gestión se persigue dar cumplimiento a tres puntos principales:
1) Inventario de Activos: Todos los activos deben estar claramente identificados y se debe elaborar y mantener un inventario de todos los activos de información importantes de la organización.
Este inventario debe tener la valoración de cada activo, indicando bajo una escala definida por la organización, por ejemplo, si es de alto, medio, o bajo valor. Adicionalmente es importante que se indique cuáles son las propiedades más importantes de proteger para cada activo en términos de su Confidencialidad, Integridad y Disponibilidad, valorando cada propiedad. Se debe indicar cual es la ubicación del activo de información y cuales son los procesos que lo utilizan.
2) Propiedad de los Activos: Toda la información y los activos asociados con los servicios de procesamiento de información deben ser “propiedad” de una parte designada de la organización. En este sentido se puede determinar algunos entes que interactúan con los activos de información como lo son:
- Propietario de la Información: El cual es una parte designada de la organización, un cargo, proceso, o grupo de trabajo que tiene la responsabilidad de definir quienes tienen acceso, que pueden hacer con la información, y de determinar cuales son los requisitos para que la misma se salvaguarde ante accesos no autorizados, modificación, pérdida de la confidencialidad o destrucción deliberada y al mismo tiempo de definir que se hace con la información una vez ya no sea requerida, así como los tiempos de retención asociados a la misma.
- Custodio Técnico: Es una parte designada de la organización, un cargo, proceso, o grupo de trabajo encargado de administrar y hacer efectivos los controles de seguridad (Toma de copias de seguridad, asignar privilegios de: Acceso, Modificaciones, Borrado) que el propietario de la información haya definido, con base en los controles de seguridad y recursos disponibles en la organización.
- Usuario: Cualquier persona que genere, obtenga, transforme, conserve o utilice información de la organización en papel o en medio digital, físicamente o a través de las redes de datos y los sistemas de información de la organización. Son las personas que utilizan la información para propósitos propios de su labor, y que tendrán el derecho manifiesto de su uso dentro del inventario de información. Para cada usuario se debería definir los derechos y niveles de acceso al activo de información (lectura, escritura, borrado, entre otros).
- Los niveles de acceso permitidos.
- Los métodos de distribución y/o transmisión.
- Condiciones de almacenamiento.
- Condiciones de entrega de terceros.
- Destrucción.
- Definir que es un activo de información para la organización.
- Establecer un método de identificación y valoración de activos de información.
- Definir un esquema de clasificación.
- Establecer el tratamiento y manejo para los activos de información en cada nivel de clasificación establecido.
- Levantar la información de los activos de información utilizados en los procesos de la organización.
- dentificar y valorar los activos de información.
- Clasificar los activos de información.
- Hacer parte de las actividades del día a día, en los procesos de la organización, el tratamiento y manejo definido para cada nivel de clasificación.
- Revisar las valoraciones realizadas a los activos de información si ocurren cambios en el negocio o en la tecnología.
- Hacer una revisión de la calidad de la información consignada en el inventario.
- Realizar auditorías de cumplimiento del tratamiento y manejo de acuerdo a los niveles de clasificación estipulados.
- Realizar actualizaciones en la información del inventario de activos.
- Adelantar las recomendaciones producto de las auditorías realizadas.
- La gestión de activos de información es un prerrequisito para la gestión de riesgos de seguridad de la información.
- Cada vez que se reconozca un nuevo activo de información o se genere un cambio en alguno existente se deberá realizar una revisión del riesgo para dicho activo.
- Los incidentes de seguridad de la información se generan sobre uno o más activos de información del negocio.
- Los activos de mucho valor para el negocio, que posean necesidad de un alto grado de disponibilidad, normalmente están en el alcance de la gestión de la continuidad del negocio.
- Identificación: Identificar vulnerabilidades y amenazas para cada activo de información y describir el riesgo inherente.
- Evaluación: Establecer la probabilidad de ocurrencia del riesgo e identificar el impacto sobre los recursos del negocio, en términos de CID para cada recurso si es posible.
- Tratamiento: Identificar los controles de seguridad a nivel tecnológico, procedimiental o del talento humano existentes, o los nuevos que sean necesarios, para llevar los riesgos a los niveles residuales aceptables para el negocio, teniendo en cuenta una priorización de los riesgos que generan un mayor impacto. Para este tratamiento se utiliza como referencia la norma ISO/IEC 17799:2005, de la cual se pueden seleccionar los objetivos de control y los controles de seguridad a implementar, los cuales están debidamente tipificados en 11 dominios o áreas de trabajo.
- Monitoreo: Revisar periódicamente si las condiciones cambiantes de la organización pueden sugerir cambios en la información definida para la identificación y evaluación de los riesgos.
- Comunicación: Informar a los diferentes niveles de la organización y a los interesados en la gestión de riesgos, acerca de las acciones realizadas y los planes de tratamiento a ejecutar para asegurar los recursos necesarios para las tareas a llevar a cabo.
- Definir la metodología para la identificación, evaluación y tratamiento del riesgo.
- Establecer los recursos del negocio sobre los cuales de medirán los impactos.
- Establecer los criterios para definir los niveles de riesgos aceptables.
- Identificar la manera como se desplegarán y ejecutaran los planes para la implementación de controles para el tratamiento de los riesgos.
- Identificar vulnerabilidades, amenazas y riesgos de seguridad de la información.
- Determinar la probabilidad de ocurrencia del riesgo.
- Determinar el impacto al negocio sobre sus recursos del mismo.
- Definir los planes de tratamiento de riesgo.
- Monitorear si se realizan nuevas evaluaciones de riesgos con base en los cambios en el negocio.
- Hacer seguimiento a la implementación de los planes para el tratamiento de los riesgos.
- Revisar si los niveles de riesgos son aceptables o no.
- Realizar actualizaciones en la evaluación de riesgos existentes.
- Determinar acciones de mejora para las desviaciones que se presenten en el despliegue de los planes para el tratamiento de los riesgos.
- La gestión de activos de información es uno de los principales insumos de esta gestión. Adicionalmente, aunque no se presentan como gestiones sino como actividades de seguridad de la información, las pruebas de vulnerabilidades e intrusión lógica y física, los diagnósticos de capacidad de la infraestructura de TI y los diagnósticos de cumplimiento con normas y estándares de seguridad, son insumos para determinar amenazas, vulnerabilidades e impactos para la gestión de riesgos.
- Cada vez que se suscite un incidente de seguridad de la información se debe revisar y evaluar las amenazas y vulnerabilidades de los activos de información que estuvieron involucrados, para verificar si se tienen ya evaluados o no los elementos que se identificaron y analizaron como causas del incidente de seguridad de la información.
- Algunos riesgos de seguridad identificados generan la necesidad de tratamiento a través de planes de continuidad del negocio (entrada a la gestión de a continuidad del negocio).
- La gestión del cambio y la cultura de seguridad de la información debe ser un instrumento a través de cual se comunique a la organización la importancia de la seguridad de la información para mitigar los riesgos identificados e esta gestión.
- La gestión de riesgo, en su etapa de tratamiento, genera una serie de planes y proyectos a corto, mediano y largo plazo y a diferentes niveles, a los cuales se les debe hacer seguimiento a través de la gestión de la estrategia de seguridad de la información.
- Preparación para la gestión de Incidentes: En la preparación se debe procurar por obtener los recursos y las herramientas necesarias. Se deben validar los procedimientos existentes, programas de capacitación y propender por la mejora de los mismos de ser necesario. La preparación también involucra un componente de prevención de Incidentes.
- Detección y análisis: La fase de detección y análisis se puede descomponer en dos elementos:
- Clasificación de incidentes de acuerdo a la política y a las revisiones de esta clasificación con base en la experiencia generada por los incidentes ocurridos.
- Contención, Erradicación y Recuperación: Se deben establecer mecanismos para evitar que el incidente se propague y pueda generar más daños a través de toda la infraestructura, para lograr esto se debe definir una estrategia de contención. En este proceso se elimina cualquier rastro dejado pro el incidente, por ejemplo código malicioso, y posteriormente se procede a la recuperación a través de la restauración de los servicios afectados usando procedimientos de recuperación y quizás de continuidad.
- Actividades post incidente: Las actividades Post-Incidente básicamente se componen del reporte apropiado del incidente, de la generación de lecciones aprendidas, del establecimiento de medidas disciplinarias y penales de ser necesarias y el registro en la base de conocimiento para alimentar indicadores de gestión del SGSI.
- Reporte sobre los eventos y las debilidades de la seguridad de la información.
- Reporte sobre los eventos de seguridad de la información
- Reporte sobre las debilidades en la seguridad
- Gestión de los incidentes y las mejoras en la seguridad de la información
- Responsabilidades y procedimientos
- Aprendizaje debido a los incidentes de seguridad de la información
- Recolección de evidencias.
- Preparación para la gestión de incidentes.
- Definición de los procedimientos de detección y análisis, contención, erradicación y recuperación.
- Clasificación de los incidentes y su grado de severidad.
- Definición de los elementos indicadores de un incidente.
- Detectar y analizar incidentes.
- Comunicar y escalar los incidentes.
- Contener, erradicar y recuperarse de un incidente
- Documentar los incidentes de seguridad.
- Pruebas y auditorías a los procedimientos de atención de incidentes.
- Definir acciones preventivas y correctivas con base en los incidentes ocurridos.
- Un incidente de seguridad de la información debe ser analizado adicionalmente para determinar su connotación de responsabilidad penal y civil, para que de esta forma la disminución de los nuevos riesgos identificados y las actuaciones requeridas se administren en la gestión del cumplimiento.
- Los incidentes de seguridad deben comunicarse para que la organización aprenda de los mismos y no vuelvan a ocurrir. En este sentido debe incluirse el manejo de lecciones aprendidas en las comunicaciones y capacitaciones realizadas en la gestión del cambio y cultura en seguridad de la información.
- Un incidente de seguridad puede dar lugar a la identificación de nuevos riesgos de seguridad de la información.
- Los procedimientos de contención, erradicación y recuperación ante incidentes deben estar alineados con los planes de continuidad del negocio.
- Ciertos incidentes de seguridad deben estar formalmente tipificados, de tal forma que cuando se presenten sean el elemento disparador de la declaración formal de la ejecución de un plan de continuidad de negocio.
- Estudiar las áreas legales que apliquen y que puedan generar riesgos a la organización y determinar como se abordaría su identificación, evaluación y tratamiento.
- Identificar y evaluar los riesgos de cumplimiento y definir su tratamiento.
- Implementar los controles jurídicos indicados en el tratamiento.
- Revisar los controles jurídicos establecidos para determinar si siguen siendo suficientes de acuerdo a cambios que se susciten en el negocio o el entorno jurídico nacional e internacional.
- Realizar las acciones de cambio o mejora a los controles jurídicos establecidos.
- La gestión de riesgos de seguridad de la información puede ser utilizada como una entrada para la gestión de cumplimiento, en cuanto a identificar ciertos activos de información que presenten riesgos que puedan generar impactos importantes sobre las áreas legales.
- La clasificación de los incidentes permite identificar las actuaciones que a nivel legal se tendrían que llevar a cabo al momento de presentarse un incidente de seguridad de la información.
- Los controles jurídicos a implementar para el tratamiento de riesgos de incumplimiento generan cambios o proyectos a los cuales se les tiene que hacer seguimiento en la gestión de la estrategia de seguridad de la información.
- Realizar un análisis de impacto al negocio (BIA).
- Identificar y priorizar los recursos que soportan la actividad de los procesos de la organización.
- Elegir las estrategias apropiadas de recuperación.
- Elaborar planes de recuperación (DRP).
- Desarrollar planes de continuidad para las funciones críticas del negocio (BCP).
- Capacitar al personal en la ejecución y mantenimiento de los planes.
- Revisar y mantener los planes por cambio en el negocio o en la tecnología.
- Almacenar de manera segura los planes y contar con medios alternos de comunicación.
- Probar y auditar los planes.
- Los objetivos de tiempo de recuperación (RTO, tiempo máximo tolerado para la recuperación).
- Objetivos de punto de recuperación (RPO, máxima antigüedad de los datos tolerada una vez recuperada la continuidad).
- Objetivos de entrega de servicio (SDO, niveles de servicio que se tienen que soportar mientras persiste la eventualidad).
- El máximo tiempo de funcionamiento en modo alterno o de contingencia.
- Definir la metodología y los recursos del negocio que van a ser analizados en el BIA.
- Definir los objetivos de continuidad y recuperación.
- Desarrollar e implementar los planes de continuidad y recuperación.
- Capacitar al personal en la ejecución y mantenimiento de los planes.
- Diseñar e implementar la infraestructura de TI y de procesos que dará soporte a la ejecución de los planes.
- Revisar y mantener los planes por cambio en el negocio o en la infraestructura.
- Realizar pruebas y auditorías a los planes de continuidad y recuperación.
- Actualizar los planes de continuidad y recuperación.
- Reforzar debilidades detectadas en las pruebas y auditorias.
- La gestión de la continuidad del negocio debe responder a la necesidad de mitigación de varios riesgos de seguridad de la información que pueden afectar la disponibilidad varios activos de información críticos del negocio.
- Algunos riesgos identificados en la gestión del cumplimiento generan la necesidad de contar con planes de continuidad sobre ciertas funciones críticas del negocio que los entes reguladores del sector exigen.
- La gestión de riesgos de seguridad de la información puede ser utilizado como un insumo muy importante para identificar los riesgos asociados con la pérdida de la continuidad del negocio y así establecer un panorama más completo de perdida de continuidad en el BIA.
- Establecer los diferentes grupos objetivos y definir una estrategia para las actividades de gestión del cambio y la comunicación que debe llegar a cada grupo, si es posible, con base en los niveles de resistencia al cambio observados históricamente y utilizando a los líderes y stakeholders que puedan influenciar de manera positiva el desarrollo de las actividades planteadas.[3]
- Definir las herramientas y medios a través de los cuales se desplegará la estrategia de gestión de cambio.
- Comunicar la estrategia de seguridad de la información y las mejores prácticas y hábitos de comportamiento que son importantes para poder obtener un nivel adecuado de protección de los activos de información.
- Definir los planes de capacitación requeridos para generar las competencias necesarias en el personal, para que lleven a cabo las actividades de seguridad de la información que sean desplegadas hacia sus procesos y que se interiorice la importancia de la seguridad de la información.
- Realizar una medición periódica de la efectividad de los planes desarrollados y de los niveles de aprendizaje y comportamiento de las personas, para en caso de falencias establecer cambios y mejoras en la estrategia.
- Establecer una estrategia de gestión de cambio y formación de cultura de seguridad de la información.
- Desarrollar los planes y programas de gestión de cambio y sensibilización en seguridad de la información.
- Desarrollar los planes de capacitación.
- Revisar y medir periódicamente la efectividad de los planes implementados.
- Realizar las acciones de cambio o mejora a los planes de gestión de cambio y capacitación.
- La gestión del cambio debe comunicar de la mejor manera a la organización la estrategia de seguridad de la información y el panorama de riesgos de seguridad de la información y sus impactos a la organización y principalmente sobre el recurso humano.
- Los planes de capacitación definidos en esta gestión deben estar alineados con los planes y proyectos de tratamiento de riesgos para que las personas estén preparadas para hacer uso de nuevas tecnologías, procedimientos o tener nuevas actuaciones con respecto a la seguridad de la información.
- La gestión del cambio y cultura en seguridad debe ser una de las primeras en realizarse y debe ser lo suficientemente exitosa para que todas las demás gestiones se soporten en la buena actuación y compromiso del recurso humano, con respecto a las actividades que hay que desplegar a través de toda la organización.
- Definir la estrategia y la política de seguridad de la información.
- Definir la organización de la seguridad.
- Definir los objetivos de la seguridad de la información.
- Definir los indicadores de gestión y la metodología de despliegue y medición.
- Definir el alcance del modelo de seguridad de la información.
- Comunicar y establecer la estrategia de seguridad de la información.
- Medir los indicadores definidos.
- Implementar las acciones que conlleven a desplegar las diferentes gestiones de seguridad de la información.
- Hacer seguimiento a los planes de implementación de las diferentes gestiones de seguridad de la información.
- Revisar los productos y resultado de las pruebas y auditorías que deben generarse.
- Revisar el cumplimiento de los objetivos de seguridad de la información con base en los indicadores definidos.
- Ejecutar las acciones preventivas y correctivas generadas en las diferentes gestiones de seguridad.
No hay comentarios.:
Publicar un comentario