seguridad_empresa plan director

7/29/2019 Seguridad_empresa Plan Director

1/116


2/116


3/116

Gestin Estratgicade Seguridad en la Empresa

@anetcom


4/116

Edita:Anetcom

Creacin de contenidos:GMVJavier Megias TerolJavier Osuna Garca Malo de MolinaRoberto Lpez NavarroAntonio Cabaas AdameNathalie Dahan GarcaMariano J. Benito GmezLuis Miguel Simoni Granada

Coordinacin:Javier Megias TerolOlga Ramrez Snchez

Colaboracin:Jos Luis Colve

Revisin:Inmaculada ElumCarolina Izquierdo

Diseo editorial:Filmac Centre S.L.

Imagen de portada, maquetacin y composicin:Integral Comunicacin

Impresin:

Grficas Mar Montaana

Depsito legal:V-973-2008


5/116

ndice

Prlogo 7

1. Introduccin 11

1.1. Panorama actual y desafos para la empresa en seguridad 15

1.2. Seguridad y estrategia: una introduccin

prctica al buen Gobierno Corporativo TI 18

2. Planificacin de la seguridad 25

2.1. Estableciendo los cimientos de la estrategia:

la poltica de seguridad y la organizacin 25

2.2. Gestin del riesgo: cunto cuesta la seguridad? 292.2.1. Identificacin de activos: el corazn del negocio 32

2.2.2. Amenazas de seguridad y vulnerabilidades 34

2.2.3. El riesgo como factor de la seguridad 36

2.2.4. Algunas realidades en la Gestin del Riesgo 38

2.3. Abordando de forma prctica la planificacin de la seguridad

en la empresa: el plan director de seguridad 42

2.4. La seguridad en las TIC: requisitos bsicos 49

2.4.1. La seguridad lgica 50

2.4.2. Componentes de la defensa en profundidad 542.4.3. Seguridad en el permetro 55

2.5. Gestin de la continuidad y recuperacin de desastres 65

2.5.1. Entendimiento del negocio 69

2.5.2. Definicin de la estrategia de respaldo y continuidad 71

2.5.3. Desarrollo del plan de continuidad 72

2.5.4. Mantenimiento del plan 73

2.6. Cumplimiento legal: LOPD, LSSI y otras regulaciones 73

2.7. Gestin de las auditoras, o cmo evaluar la realidad 79

2.8. Cuadros de mando, mtricas e indicadores: midiendo la seguridad 83

2.9. Buenas prcticas de externalizacin de seguridad 88


6/116

3. Marcos de referencia para la Gestin Estratgica de la Seguridad 93

3.1. Sistemas de Gestin de Seguridad (SGSI): ISO 27001 e ISO 17799 943.2. Gobierno Corporativo y Seguridad: COBIT 101

3.3. Gestin de Servicios TI: ITIL/ISO 20000 104

4. Referencias 109

5. Bibliografa 111


7/116


8/116


9/116

La Seguridad de los Sistemas de Informacin es actualmente una de las principa-

les preocupaciones de los ciudadanos, empresas y profesionales de todo el mun-

do. La confianza en los servicios telemticos, elemento clave para el desarrollo de

una Sociedad de la Informacin sana est en entredicho.

En los ltimos tiempos proliferan las amenazas, que van desde los virus informti-

cos hasta el ciberterrorismo, pasando por la usurpacin de identidades banca-

rias o el robo de informacin confidencial. Resulta demoledor el efecto producido

por estos peligros, en usuarios y ciudadanos en general, por lo que respecta a la

percepcin de la seguridad en medios telemticos.

Conscientes de esta preocupacin, desde instituciones como la Generalitat Valen-

ciana hemos promovido iniciativas que garanticen la Seguridad de la Informacin.

De este modo, desde el Gobierno Valenciano y en concreto desde la Conselleria

de Justicia y Administraciones Pblicas hemos impulsado el Centro de Seguridad

TIC de la Comunidad Valenciana (CSIRT-CV), un proyecto que se enmarca en el

Plan Estratgico de Telecomunicaciones Avanzadas (AVANTIC) y que ha sido

recientemente inaugurado. El CSIRT-CV se cre para prevenir incidentes, en mate-

ria de seguridad informtica, as como para establecer las medidas ms adecuadaspara detectar, estudiar y evitar las amenazas.

No obstante, existen todava empresas que carecen de orientacin sobre los ajus-

tes que deben realizar en su negocio para proteger adecuadamente sus sistemas

de informacin o que desconocen la existencia de los mismos. En este sentido,

debemos insistir en el conocimiento, difusin e implantacin de cuantos medios

sean necesarios para garantizar la seguridad informtica del tejido empresarial.

Sobre los contenidos de esta interesante y necesaria publicacin, de la editorial de

Anetcom, que han sido redactados por expertos en seguridad de los sistemas de

7

Prlogo


10/116

8

informacin de GMV, a los que desde aqu felicito por el resultado de este

manual, tengo que sealar que el libro recoge una serie de buenas prcticas,planteamientos y herramientas tiles sobre esta materia para empresarios y

directores de informtica.

El objetivo de estas propuestas no es otro que el de ayudar a los directivos de

las empresas a orientar, desde un punto de vista estratgico, la gestin en mate-

ria de Seguridad de la Informacin. Este nuevo enfoque permite, tal y como

sealan los tcnicos, planificar con antelacin la proteccin de la empresa,

entender las consecuencias y el coste econmico de cada decisin y, sobre

todo, poder afrontar las inversiones de forma comprensible y justificada.

En este sentido, la publicacin abarca un planteamiento que va ms all de la

tecnologa y que no se centra, nicamente, en el plano tcnico como se haba

considerado hasta ahora sino tambin desde la gestin, analizando el conjun-

to de la empresa.

De este modo, el planteamiento buscado por Anetcom y los autores del libro

abarca la temtica aqu analizada desde una perspectiva ms all de la tecno-loga y del proceso, ampliando el anlisis a otros aspectos como la cultura

empresarial y profesional. De nuevo Anetcom acerca estos conceptos a la rea-

lidad empresarial y ste es el mensaje de cercana que queremos transmitir

desde el Gobierno Valenciano.

Fernando de Rosa

Conseller de Justicia y Administraciones Pblicas


11/116


12/116


13/116

Definitivamente era muy extrao. Eran las nueve de la noche deljueves, y reflexionando acerca de lo sucedido esa tarde, Juan se senta cadavez ms intranquilo. El presidente de su empresa, el seor Llopis, lo habaconvocado a una reunin sorpresa para las diez de la maana del dasiguiente. An recordaba mentalmente la escueta nota dejada sobre unaesquina de su abarrotada mesa: Juan, necesito una explicacin de por quhemos gastado miles de euros durante este ao en seguridad informtica, yan as solicitas un incremento del presupuesto para el prximo ao.

Desde que asumi hace algunos aos la direccin de informtica de laempresa, Juan crea haber hecho un buen trabajo modernizando los siste-mas de la compaa y, aunque haba gastado grandes sumas, nunca sehaba visto en esta situacin. A qu se deba que el seor Llopis quisierahablar justo entonces de esa partida presupuestaria? No era en absoluto delas ms grandes que haba solicitado, y tampoco recordaba haber tenidoninguna infeccin de virus ese ao Eso s, por si acaso y en previsin deposibles nuevos problemas, haba pedido un aumento del 15%, completa-mente razonable.

Resignado, abri un documento y comenz a desglosar metdicamente elpresupuesto que haba gastado durante el ao. Tras media hora, una crecien-te sensacin de pnico se fue apoderando de Juan: la conciencia de que todolo que haba invertido ese ao haba sido consecuencia de una respuestaurgente a un problema (el antispamen enero, la actualizacin del antivirusen marzo...), o de actuaciones a las que les haba obligado la dichosa Ley deProteccin de Datos se fue abriendo camino... y se dio cuenta que apenashaba podido planificar nada. Qu le dir Juan al seor Llopis cuando le pre-gunte por la estrategia adoptada para la inversin en seguridad?

11

Introduccin


14/116

A las organizaciones que operan en esta poca sin duda les ha sido dado vivir

tiempos interesantes. Cada vez ms, los procesos de negocio crecen en com-plejidad, y a la vez aumenta la dependencia de los mismos hacia la tecnolo-ga (ms marcada si cabe en ciertos sectores). Por contraposicin, las mismasorganizaciones se enfrentan a un crecimiento paulatino de exigencias, tantoen el plano regulatorio como en de la eficiencia (costes y tiempo). Esta situa-cin nada halagea se ve empeorada por multitud de amenazas hacia losactivos que soportan dichos procesos. Pero, a pesar de que histricamentediversos actores asociados al mercado de la Seguridad de la Informacin hanbasado sus preceptos comerciales en el miedo, cada vez resulta ms patentelo caduco de este planteamiento.

En esta situacin, hoy en da no son pocas las organizaciones que adolecende una visin y conciencia clara de la importancia de que sus servicios y pro-cesos, cimentados en la tecnologa o no, se relacionen y operen de formasegura. Aun as, existen dificultades para engarzar esta visin con unas dota-ciones presupuestarias apropiadas, o dicho de otra forma, para interpretar ypoder razonar apropiadamente los gastos (o, mejor inversiones) que inevita-

blemente se producirn.

En primer lugar, es primordial abandonar la visin reduccionista y entenderque la Seguridad de la Informacin abarca varias reas convergentes perocon foco comn. En numerosas ocasiones su mbito excede a la tecnologa,e incluye otros enfoques asociados a la estructura organizativa de la empresa,al cumplimiento de las regulaciones (sectoriales o globales) o incluso a la for-ma en que los procesos de negocio operan. Es fundamental pues adoptar unavisin holstica e integrada de la Seguridad de la Informacin para poder ofre-

cer una respuesta completa, eficiente y conmensurada a las necesidades deproteccin y seguridad de la organizacin.

El corazn de este enfoque no debe ser slo la tecnologa, tal como se havenido planteando hasta ahora (servidores, softwareu otros activos). El ele-mento esencial que permite que la empresa prospere y que representa suprincipal capital es la informacin, y alrededor de ella es donde se debeconstruir la seguridad.

12


15/116

En este punto nace la intuicin de que el enfoque correcto no puede situarseen un plano puramente operativo o tctico: tiene implicaciones demasiadorelevantes en el rumbo que sigue la empresa y afecta de forma profunda yhorizontal a la operativa de la organizacin. El planteamiento apropiado

debera alinearse con el negocio y tratarse desde una dimensin estratgica,superando las barreras del presente para entender cules sern los requisitosde la organizacin para el futuro, pudiendo as cumplir su objetivo: entregarvalor de forma clara y, sobre todo, mesurable.

Pero estn las organizaciones de hoy en da preparadas para este cambio dementalidad? La respuesta variar de forma ostensible atendiendo a varios fac-tores: el negocio de la empresa, su cultura interna, la orientacin a la mejorao incluso la flexibilidad de sus procesos. En cualquier caso, en este punto sehace patente que la seguridad debe ser planificada alinendola con la estra-tegia de la empresa, y fundamentada en metodologas claras y medibles. Este

13

Ilustracin 1.- Seguridad de la Informacin: un enfoque global.


16/116

cambio de paradigma supone dejar atrs la seguridad basada en intuiciones o

reacciones, y construirla desde un nuevo enfoque: el de la estrategia. Estaconstruccin, clave para un buen comienzo, se debe basar en tres puntosprincipales:

El autoconocimiento de las necesidades de proteccin de los procesosde negocio, para lo cual es importante interiorizar y entender la distin-cin entre lo que aporta valor y lo que no lo aporta.

El origen o punto del que se parte, y el nivel de compromiso de la orga-nizacin (factor clave, y al que este libro dedica un captulo).

El destino o dnde se quiere llegar, ya sea en trminos cualitativos o cuan-titativos, pero en todos los casos con la mejora continua como camino.

Con estos datos se puede definir un camino basado en una planificacin cla-ra, tangible y, sobre todo, medible. Para ayudar a las organizaciones a cons-truir este camino hoy en da existen numerosas normas y guas de buenas

prcticas, que resultan de gran ayuda. Aun as, es importante advertir quedichas normas, vistas en conjunto y si no se posee un conocimiento profundosobre ellas, pueden representar una tupida malla que podra hacer perder elfoco a la empresa. En consecuencia, ser imprescindible no dejarse llevar pormodas y aplicar el sentido comn en su implantacin, usando nicamentelas partes ms apropiadas para la organizacin.

Asimismo, es importante no olvidar que el objetivo ltimo de cualquier reade Sistemas de Informacin (excepto en empresas cuyo negocio son los pro-

pios procesos TIC), es apoyar al resto de procesos productivos de la empresa,aportando valor y cuando sea posible, reduciendo el coste de los serviciosque soportan (ya sea monetario o temporal).

Tras todo lo expuesto, empieza a resultar claro que para conseguir los pin-ges beneficios que ofrece este cambio, es imprescindible adems hacer unaprofunda reflexin sobre la propia organizacin: Cul es el ritmo al que pue-de cambiar la empresa? Se dispone internamente de todos los conocimien-tos necesarios para acometer este cambio o se deber buscar ayuda fuera? Elpersonal que debe cambiar de paradigma y comenzar a gestionar la seguri-dad puede (y quiere) hacerlo?

14


17/116

Dado el escenario planteado, en el que se han hablado de dotaciones presu-

puestarias adicionales, cambios organizacionales, nuevos enfoques de ges-tin y diversas normas y procesos de referencia, es fcil caer en el desnimoy continuar en el camino de menor resistencia, la reactividad. Pero, paraaquellas organizaciones que tengan la paciencia y valenta de seguir profun-dizando en la gestin estratgica de seguridad, se abrirn nuevas oportunida-des, un idioma comn de negocio y un entendimiento claro de en qu y porqu se gasta cada euro dedicado a la seguridad.

En resumen, el objeto de este libro es acompaar tanto al Director de Siste-mas de Informacin (CIO segn los parmetros anglosajones), que se planteadar el paso hacia la Gestin Estratgica de la Seguridad, como al profesionalde la seguridad, consciente de que puede aportar ms valor a su organiza-cin. Tambin servir, sin duda, como orientacin para el Director Gerente(CEO), que busca un modelo que le permita reducir la complejidad de sugestin de TI y seguridad, a la vez que consigue que sta se convierta en unproceso comprensible y alineado con el negocio de su empresa.

1.1. Panorama actual y desafos para la empresa en seguridad

Existen diversos desafos o retos de carcter estructural a los que se enfrentanactualmente las organizaciones y que es importante conocer. Conocimientoes anticipacin en este nuevo paradigma. Uno de los principales desafos esla imperiosa necesidad de adoptar una visin global de la seguridad en susservicios y procesos. Para ello no es suficiente la mera supervisin de losrequisitos puntuales de seguridad en determinados sistemas o aplicaciones,sino que se debe disponer de controles engarzados en los procesos de nego-

cio que soportan la organizacin. Este punto lleva al primer cambio esencialque debe afrontar la percepcin de la organizacin: la seguridad debe pasarde la clsica concepcin de mal necesario hacia su visin como un factorhabilitador de negocio ms que facilita la confianza en la organizacin.

Quizs este ltimo aspecto merece una mayor reflexin: los clientes (o usua-rios) de la organizacin tambin han evolucionado, y cada vez ms valoranla confianza y otros aspectos, percibidos como diferenciadores y necesarios:

Confidencialidad de las relaciones y operaciones con la organizacinque le presta servicios o de quien adquieren productos.

15

N


18/116

Habilidad de poder seguir prestando servicios o produciendo ante una

amenaza a la continuidad del negocio.

Posibilidad de relacionarse mediante canales alternativos (movilidad, fir-ma electrnica, telefona) con las mismas garantas que ofrecen losentornos tradicionales.

Tambin es necesario recordar y destacar el aumento de complejidad en losnegocios y los entornos TIC que los soportan, as como las nuevas formas detrabajo, significativamente ms cmodas pero con requisitos de seguridadnotablemente complejos (desde teletrabajo hasta la movilidad). Las palabrasclave que deben definir el papel de la seguridad en esta situacin son flexibi-lidad y adaptacin.

Ciertos controles de proteccin estn parcialmente recogidos por diversasregulaciones y normativas, como las relativas a la proteccin de datos decarcter personal. Pero la realidad es que el alcance del cambio de paradig-ma debe ir mucho ms all, ya que tiene que ver con el activo principal que

diferenciar a la organizacin: la confianza. La percepcin de la importanciae impacto de la confianza en las relaciones con los clientes/usuarios varaaunque su necesidad es considerada un hecho en sectores como el financie-ro o el sanitario, y slo se intuye su relevancia en otros muchos. En todos loscasos, la relacin entre la Gestin de la Seguridad y la confianza es de carc-ter intrnseco y no debera ser subestimada.

Dicho esto, y tras esta exhortacin para apreciar justamente el valor de laGestin de Seguridad en la organizacin, subyace otra consideracin no

menos importante: la seguridad debe quedar subordinada a la operativa de laempresa. Aunque quizs evidente, no deben existir controles que impidan odificulten el buen rendimiento de los procesos y servicios de la organizacin,a menos que su justificacin sea clara (ya sea por imperativo legal, norma dela industria o necesidad justificada).

Es precisamente en los aspectos normativos donde se adivinan los principalesmimbres sobre los que se deber construir la estrategia de cumplimiento ygestin de la organizacin en los prximos tiempos. En cierto nmero de sec-tores, como el financiero, ya existen regulaciones que no slo incentivan oincluso obligan a que la alta direccin conozca y sea consciente del riesgo al

16


19/116

que se enfrenta su organizacin, sino que adems sta debe aceptar por escri-

to dicho nivel de riesgo. Las ramificaciones de este hecho son abrumadoras,dado que para cumplirlas es imprescindible un alto nivel de apoyo y compro-miso de las reas de direccin, lo que a su vez condicionar el planteamien-to de la Gestin de Seguridad. En este nuevo enfoque no es aceptable queresponsables de un rea tcnica nicamente hablen de elementos de carcterpuramente operativo (como por ejemplo los virus), sino que debern transfor-marse en estrategas que planteen sus movimientos en base a los factores deriesgo que afectan a los procesos de negocio, justificando y planificando lasacciones necesarias para mitigar dichos riesgos.

Este cambio supondr que un cierto nmero de profesionales no sern capa-ces de completar la transicin que los llevar de un rea puramente operativay reactiva a una de carcter marcadamente estratgico, lo que a su vez exigi-r un conjunto de conocimientos y habilidades diferentes y adicionales a lospreviamente existentes.

En esta nueva era de seguridad, que en determinadas organizaciones ya es

presente, las reas de seguridad deben, al igual que el resto de reas que apor-tan valor a la empresa, poder justificar, tanto a nivel econmico como operati-vo cada decisin, y poder controlar su rendimiento. Para ello, instrumentoshistricamente asociados a reas diferentes, como las financieras, pasarn aconvertirse en herramientas para la gestin estratgica de seguridad.

Entre ellas, pueden citarse como las ms relevantes los Cuadros de mando,los Planes Directores y Sistemas de Gestin Integrada. Asimismo, estas mis-mas herramientas, que ayudarn a controlar la Gestin de la Seguridad en la

organizacin, debern ser capaces de ofrecer informacin a varios niveles.Otra de las claves que marca la Gestin Estratgica de la Seguridad es la dis-ponibilidad de informacin estratificada y segregada segn su destinatario ymbito, con el fin de ofrecer informacin de carcter operativo a las reastcnicas, datos de rendimiento de los procesos a los responsables de serviciose informacin de gestin a los miembros de las reas ejecutivas.

Finalmente, y como consecuencia de esta orientacin a la mejora continuaen la seguridad, la medicin del nivel de madurez en el que opera la organi-zacin se convierte en un punto de alta relevancia. Cobra esta importanciano slo por su carcter de meta sino porque su estandarizacin permitir a

17


20/116

diferentes compaas de sectores similares comparar su gestin (lo que en

muchos casos se considera til pero no deseable).

1.2. Seguridad y Estrategia: una introduccin prctica

al buen Gobierno Corporativo TI

El Gobierno Corporativo TI, trmino que nace del anglosajn IT Governance,es una disciplina de gestin que se integra en las prcticas de Gobierno Cor-porativo de la organizacin. Su fin es ofrecer un marco para ayudar a que lasreas de TI se alineen y cumplan con los objetivos del negocio, demostrandocon informacin contrastada el impacto positivo de las inversiones realiza-das, o dicho de otra forma, es la profesionalizacin de la gestin de TI paraasegurar la creacin de valor.

Esta disciplina comienza a tener una mayor difusin como consecuencia delos escndalos financieros acaecidos a lo largo de 2002, y nace con el obje-tivo de ofrecer confianza a accionistas e interesados en la gestin de laempresa y, en el caso especfico de la tecnologa, reducir el abismo que exis-

te habitualmente entre las expectativas de la organizacin para las reas deTI y los resultados ofrecidos. En EE.UU. tuvo una derivada adicional: la crea-cin de la ley federal Sarbanes-Oaxley Act (tambin conocido como SOX),cuyo fin es definir requisitos de gestin, y supervisar las compaas que coti-zan en bolsa en EEUU, haciendo especial hincapi en la aplicacin de con-troles.

Uno de los principales puntos a los que hace referencia el Gobierno Corpora-tivo de TI es la obligatoriedad de conocer y controlar el riesgo operativo, tr-

mino heredado de los sectores financieros y que se refiere a la necesidad deentender y gestionar posibles problemas o deficiencias asociados a procesosinternos, personas, sistemas de informacin o factores externos. El riesgo ope-rativo (u operacional) acta como nexo claro y especfico entre el GobiernoCorporativo y la gestin estratgica de seguridad, dado que el foco del riesgooperativo no es en absoluto nicamente la tecnologa o los riesgos fiducia-rios, sino que para poder cubrirlo apropiadamente se debe plantear y actuartambin sobre la seguridad de procesos, personas y estructura organizativa.

El fin ltimo de la Gestin Estratgica de Seguridad, en lo tocante al marco deGobierno Corporativo, es definir y cumplir una serie de requisitos de calidad,

18

N


21/116

fiduciarios y especficos de seguridad que ayudarn a la organizacin a aline-

ar sus requisitos de gestin de riesgo con los de negocio, consiguiendo porfin una visin clara y objetiva del valor que aporta fusionar la Gestin deSeguridad con la componente estratgica.

Para poder entender cmo ambos planteamientos se entrelazan se debe teneren cuenta cmo y por qu la gestin estratgica de seguridad aporta valor alGobierno Corporativo. Dicho valor nace de diversos elementos, como lamejora de la eficiencia operacional, la reduccin de costes o el crecimientode la confianza en la organizacin. Existen adems diversas derivadas a loselementos que aportan valor:

Involucrar al negocio en la toma de decisiones relacionadas con la segu-ridad. Tal como se comienza a perfilar, uno de los principales factores dexito es la necesidad de hablar un idioma comn, el estratgico, posibili-tando que los objetivos de Gestin de Seguridad nazcan de los objetivosde la organizacin. Si se consigue alcanzar este punto se podr, porejemplo, solicitar a las unidades de negocio que participen en la estima-

cin del impacto de un riesgo, lo que adems de ofrecer una visin realde cmo ste afecta a la organizacin como un todo, facilitar que dichasunidades comprendan y hagan suyo dicho riesgo.

Potenciar la transparencia, y como primera herramienta, las auditoras,disciplina a la que este libro dedica un captulo. Pueden ser de cumpli-miento, legales o voluntarias, y aunque las motivaciones para la realiza-cin de las mismas pueden ser diversas, su objetivo siempre es la valora-cin y el control, por parte de un rgano independiente de la adecuacin

de un proceso a un estndar (sea una legislacin, una poltica interna ouna buena prctica). Su fin ltimo es ofrecer confianza a accionistas,clientes, entidades constituidas u rganos de gobierno de la entidad.

Aportar informacin de Gestin de Seguridad, en contraposicin con lacarencia endmica de informacin que han venido sufriendo las reas dedireccin en lo tocante a ste rea. Aunque no se trata en absoluto de unproblema nuevo, la medicin de la Gestin de Seguridad se ha converti-do en requisito de las pujantes normas y cdigos de buenas prcticas, ypor tanto, en elemento clave para una correcta conexin entre la estrate-gia del Gobierno Corporativo y la seguridad, debiendo determinados

19


22/116

indicadores de los Cuadros de Mando de Seguridad formar parte inequ-

voca de los Cuadros de Mando de la alta direccin. Para ello, dichos indi-cadores deben estructurarse en diferentes niveles:

Negocio: definen lo que el negocio espera de la Estrategia de Seguri-dad TI.

Direccin IT: definen qu se espera de los servicios para permitiralcanzar los objetivos de TI en seguridad.

Servicio: miden el rendimiento de los procesos (para indicar si losobjetivos van a cumplirse o no).

Proceso: indicadores especficos de rendimiento del proceso, opera-cionales.

Automatizacin de los procesos IT, consecuencia directa de la necesidadde medir y gestionar de forma sencilla entornos complejos. En este escena-

rio, la tradicional aproximacin artesanal a la operacin de las diversas face-tas que conforman la Gestin de Seguridad (gestin de riesgos, control delPlan Director, Cuadros de Mando) no puede ser adoptada, debiendo tenderhacia la automatizacin soportada por herramientas apropiadas.

Controles orientados al negocio, enlazados con l y planteados basn-dose en los activos en los que se apoyan los procesos de negocio y servi-cios de la organizacin. Aunque fcil de plantear, esta aproximacinsupone un esfuerzo importante de interiorizacin, dado que requiere un

replanteamiento del enfoque clsico y pasando a centrarse en el papelde cada activo en la cadena de valor de la empresa.

Afortunadamente para guiar esta transicin existen diversas metodologas ybuenas prcticas, que abarcan desde el Gobierno Corporativo TI a la Gestinde Servicios.

Una de las metodologas de mayor implantacin en lo tocante a GobiernoCorporativo de TI es COBIT, el modelo para el Gobierno de la TI desarrolladopor la Information Systems Audit and Control Association (ISACA) y el ITGovernance Institute (ITGI). Independientemente de la realidad tecnolgica

20


23/116

de cada caso concreto, COBIT determina, con el respaldo de las principalesnormas tcnicas internacionales, un conjunto de mejores prcticas para laseguridad, la calidad, la eficacia y la eficiencia en TI que son necesarias paraalinear TI con el negocio, identificar riesgos, entregar valor al negocio, gestio-

nar recursos y medir el desempeo, el cumplimiento de metas y el nivel demadurez de los procesos de la organizacin.

Sin duda, por su relevancia y popularidad es necesario mencionar el conjun-to de buenas prcticas propuestas en ITIL, que aunque en diversos entornosse asocian al Gobierno Corporativo, formalmente no se sitan en esa capa,sino que pertenecen ms propiamente al nivel de Gestin de Servicios TI. ITILes parte nuclear de la norma ISO 20000 de Gestin de Servicios, a la que sededicar ms adelante un breve captulo, y que propone una serie de proce-sos formales que permitirn gestionar los servicios de forma ms ptima y,sobre todo, ms eficiente y controlada.

21

Ilustracin 2.- El papel del Gobierno de Seguridad en la estrategia global.


24/116

El marco certificable que recoge de forma ms global los requisitos y proce-

sos para dotar a la organizacin de una buena Gestin de Seguridad es el delos Sistemas de Gestin de Seguridad de la Informacin (SGSI o ISMS eningls). El planteamiento de los SGSI se traducen en diversas normas que sesuperponen, dependiendo de su mbito y foco y que sern enumeradas msadelante, pero cuyo mximo exponente es la internacional ISO 27001, cuyaimplementacin espaola es la norma UNE 71502.

Un SGSI define una serie de procesos de gestin, alineados con el GobiernoCorporativo de la organizacin, y un marco de seleccin de controles (actual-mente recogido en la norma ISO 17799:2005) que abarca las principales re-as que deben ser supervisadas en la entidad (normativas, organizacin, recur-

22

Ilustracin 3.- Dominios de las diferentes estrategias de Gestin.


25/116

sos humanos, tecnologa, continuidad, cumplimiento legal y regulatorio).

Este conjunto de procesos de gestin ser el hilo conductor del presente libro,aunque en diversos puntos se har referencia a otras metodologas que tratende forma ms especfica algn rea (como la norma BS25999 para la Gestinde la Continuidad de Negocio).

En cualquier caso, afortunadamente y dado el laberinto de normas descritascon anterioridad, existen elementos comunes en todas las metodologas indi-cadas, lo que permite que sea factible disponer de cierta trazabilidad entreellas. Esta trazabilidad permite entre otros que, si en algn momento se deci-de trabajar o complementar unas normas con otras, se puedan convalidarprocesos entre los diferentes marcos.

Como conclusin, aquella organizacin que consiga alinear su Gestin deSeguridad con el negocio y plantee sta basndose en la mejora continua,aunque quizs no perfecta, ser capaz de entender sus debilidades y planifi-car las acciones apropiadas para cubrirlas de forma acorde a sus necesida-des, no al mercado, caprichos o requerimientos puntuales.

23


26/116


27/116

2.1. Estableciendo los cimientos de la estrategia:

la poltica de seguridad y la organizacin

La planificacin de la Seguridad de Informacin, verdadero corazn de unabuena gestin estratgica, formalmente se define como la combinacin depolticas, operaciones y estructuras organizativas que buscan asegurar que losplanteamientos en Seguridad de la Informacin estn alineados con los obje-tivos del negocio y son consistentes con las leyes y regulaciones aplicables.

Partiendo de esta ampulosa definicin, la realidad tangible y de la que partires que, como organizacin, ser necesario dar respuesta no slo a problemasde ndole tcnica sino que, en muchos casos, los incidentes de mayor rele-vancia se deben a debilidades o puntos mejorables en la organizacin (desdedefectos de control en procesos a la incorrecta supervisin del personal delimpieza).

Qu es entonces la Poltica de Seguridad? Existen varias definiciones, aten-diendo a la visin o alcance estratgico, pero que en el plano ms tangible

no es ni ms ni menos que un conjunto de documentos, con un orden y unasistematizacin determinados, que indican las normas, procedimientos yactuaciones que se deben cumplir en la entidad.

Sin embargo, ahondando en el concepto y ubicando la definicin en el planode la estrategia (donde a partir de ahora se deben mover las reflexiones delresponsable de seguridad), la Poltica de Seguridad es un instrumento quedesarrolla los objetivos de seguridad de la organizacin a largo plazo,siguiendo un ciclo de vida (desde su definicin hasta la implementacin yrevisin posterior), y deber ser la base a partir de la cual se disee el sistemade seguridad. Para ello, es absolutamente imprescindible que la alta direc-

25

2. Planificacin de la seguridad

N


28/116

cin haga suya dicha poltica, la firme y establezca la obligatoriedad de su

cumplimiento. Esto garantizar una apropiada consideracin y compromisopor parte de la organizacin, factor clave para su xito.

Algunos de los atributos ms relevantes que ayudarn a poner en contexto laPoltica de Seguridad son:

La Poltica de Seguridad y cuerpo normativo adjunto establecen formal-mente qu se puede hacer y qu no, no quedando slo un conjunto vagode recomendaciones tornadizas.

Si est apropiadamente organizada y recoge fehacientemente los objeti-vos de la organizacin, ser una excelente base sobre la que tomar lasdecisiones en materia de inversiones en seguridad.

Demuestra un compromiso de la direccin de la entidad con la seguri-dad.

Su presencia y aprobacin es uno de los elementos estructurales de lasprincipales normativas y estndares de seguridad, no siendo en ningncaso opcional o accesoria.

La Poltica de Seguridad y normativas asociadas son un elemento extre-madamente til frente a las auditorias de cumplimiento, dado que ofreceuna lista clara de los elementos a comprobar, ofreciendo en consecuen-cia resultados tiles y objetivos, no basados en parmetros de valoracinajenos a la organizacin.

Aunque no existe una definicin formal, clara y ampliamente aceptada delos diversos componentes del cuerpo normativo de seguridad, una de losdesarrollos documentales ms coherentes es el que se describe en esteesquema.

26


29/116

Poltica: objetivos a alto nivel de la organizacin, compromiso de direc-cin y su obligatoriedad.

Normativas: desarrollo de la poltica para campos concretos del alcance

(personal, seguridad fsica, comunicaciones).

Procedimientos: cmo aplicar la normativa en los activos concretos de laorganizacin.

Es de vital importancia entender que la poltica de seguridad y sus norma-tivas asociadas no son elementos estticos e impermutables, sino un con-

junto vivo de directivas que deben evolucionar junto con la organizacin.Para ello, ser necesario definir un ciclo de vida, que aunque por simplici-dad se plasma en una lista ordenada no es un proceso secuencial, y que aalto nivel podra ser:

27

Ilustracin 4.- Estructura del cuerpo normativo.


30/116

1. Definicin del equipo de redaccin y de aprobacin.

2. Desarrollar la poltica general.3. Definicin de la estructura.4. Anlisis de la integracin con otras normas.5. Definicin de los temas de seguridad a incluir en normativa.6. Definicin del esquema de cada documento.7. Desarrollar las normas.8. Desarrollar los procedimientos.9. Desarrollar las instrucciones de trabajo.

10. Aprobar el contenido en sus distintos niveles.11. Definir el mtodo de difusin y mantenimiento permanente.12. Definir el mtodo de premios y castigos.13. Implementar la normativa.14. Ejecutar los mecanismos de actualizacin.

Como resalte, es importante destacar que la aprobacin de la Poltica deSeguridad y de su cuerpo normativo asociado es uno de los puntos ms com-plejos dentro del ciclo de vida de la misma, dado que implica la necesidad

de alcanzar un consenso entre todos los implicados en su redaccin. Estaaprobacin adems suele aflorar derivadas no contempladas, como por ejem-plo la dificultad de que alta direccin preste su apoyo en algo que, si no se hatransmitido apropiadamente, puede ser percibido como inhabilitacin delos procesos productivos o de negocio.

La estructura y papel de las reas de Seguridad de la Informacin tambinest sufriendo una evolucin paralela a este proceso de madurez, similar ala experimentada por las reas de Recursos Humanos, que comenzaron

como reas de Personal adscritas a Apdos. Financieros (personal comocoste), actualmente son generalmente denominadas Recursos Humanos(personal como recurso), existiendo una clara tendencia hacia la evolu-cin a reas de Capital Humano (personal como activo que aportavalor).

De esta forma, aunque la seguridad ha sido histricamente adscrita a lasreas de informtica o TI, se est observando una tendencia creciente asituarla como un rea de staff, en dependencia directa de la alta direccin,similar a las de Calidad o Recursos Humanos y cuya funcin es horizontala toda la organizacin (dado que desde su nicho dentro de TI le ofreca

28


31/116

una visin muy limitada del negocio y una capacidad de actuacin ms

reducida an sobre reas diferentes a TI).

Este nuevo papel no infiere automticamente en que las habilidades delpersonal de Gestin de Seguridad vayan a ser compatibles con su nuevaposicin, sino que representar una importante dosis de esfuerzo para laDireccin de Seguridad tradicional. Este nuevo responsable deber contarcon nuevas habilidades y capacidades, acordes a sus nuevas responsabili-dades e imprescindibles para una relacin armoniosa con otras reas conlas que deber tratar y hacer partcipes de su estrategia, como Calidad,Direccin o Marketing.

Para conseguir la mxima integracin de los objetivos de negocio con los deseguridad es muy recomendable el establecimiento de un Comit de Seguri-dad, cuya principal funcin ser la toma de decisiones y gestin continuadaen todo lo tocante a la Seguridad de la Informacin, debiendo constituirsecomo el rgano de gestin mximo en esta materia. Sus funciones y relevan-cia se tratan de forma especfica en diversas normas, especialmente en la ISO

17799:2005, por lo que, en mor de la brevedad, se recomienda al lector acu-dir a esta fuentes para ampliar informacin.

Resumiendo de forma simplista la transicin organizativa descrita previamen-te, el papel que deber desempear el responsable de seguridad estar condi-cionado en gran medida por s mismo y su capacidad, convirtindose en undirector en el que se confa, implicado en las decisiones de negocio, o en ungestor tcnico cuya labor es mantener las luces encendidas y funcionando loms barato posible.

2.2. Gestin del riesgo: Cunto cuesta la seguridad?

Cualquier organizacin que se enfrente a la problemtica de proteger susactivos de informacin debe responder dos preguntas:

qu seguridad necesito? cunto me cuesta la seguridad?

A la primera de estas preguntas se responde a travs de un trabajo de anlisisen el cual la organizacin reflexiona sobre la importancia de sus activos deinformacin y evala los requisitos de seguridad que ha de satisfacer.

29

N


32/116

A la segunda de las preguntas se responde identificando los medios que la

organizacin ha de disponer para cumplir sus requisitos de seguridad y eva-luando el coste de los mismos.

La principal dificultad a la que se enfrentar la organizacin a la hora de des-arrollar estos trabajos ser disponer de un modelo de referencia que le permi-ta medir la seguridad requerida y evaluar el coste asociado.

En la actualidad es posible identificar dos tendencias o modelos de referenciasignificativos:

Modelos basados en buenas prcticas o controles generales. Modelos basados en anlisis y gestin de riesgos.

Los primeros de estos modelos se basan en clasificar los activos de informa-cin por niveles de seguridad y establecer los controles o medidas de seguri-dad que deben aplicarse a cada nivel definido. Estos modelos reducen lacomplejidad en el tratamiento de los requisitos de seguridad y establecen un

modelo de gestin sencillo.

Los segundos de estos modelos se basan en la definicin del concepto deriesgo como medida de la seguridad. El concepto de riesgo puede represen-tarse tal y como se muestra en la siguiente ilustracin.

30


33/116

Desde la perspectiva de los modelos basados en el anlisis y gestin de ries-gos, los activos de informacin de la organizacin estn sujetos a un conjun-to de amenazas internas y externas que pueden hacer uso de vulnerabilida-des presentes en los activos para ocasionar incidentes de seguridad. Estosincidentes producirn una degradacin o impacto en los activos de informa-cin y, por ende, en los procesos y servicios de negocio.

Con el fin de evitar dichos incidentes, la organizacin debe desplegar un con-junto de controles de seguridad.

El riesgo se define pues como una funcin de los activos, las vulnerabilida-des, las amenazas y los posibles impactos sobre los procesos y servicios denegocio.

El modelo de anlisis y gestin de riesgos se postula como una slida alterna-tiva para la Gestin de la Seguridad en la organizacin. Su relevancia estavalada por el desarrollo de numerosos estndares nacionales e internaciona-

31

Ilustracin 5.- Modelo del Riesgo.


34/116

les (ISO, NIST, etc.), as como en el desarrollo de numerosas metodologas y

herramientas que los implementan (MAGERIT, CRAMM, Octave, etc.)

El proceso de anlisis y gestin de riesgo propuesto por estos estndares pue-de resumirse en los siguientes pasos:

Establecimiento del alcance del anlisis, identificando los activos deinformacin que deban ser contemplados.

Identificacin de los riesgos. Identificacin de las vulnerabilidades yamenazas a las que estn sujetos los activos de informacin comprendi-dos en el alcance.

Anlisis de los riesgos. Valoracin de los riesgos identificados, en funcinde su probabilidad de ocurrencia e impacto asociado.

Evaluacin de los riesgos. A partir del anlisis de riesgo, la organizacinprocede a evaluar los mismos y decidir si son asumibles o no. En caso de

no serlos, se proceder a tratar los mismos.

Tratamiento de los riesgos. Despliegue de controles y contramedidas deseguridad que mitiguen los riesgos.

2.2.1. Identificacin de activos: el corazn del negocio

El objetivo de toda Estrategia de Seguridad de la Informacin es proteger losactivos de informacin de la organizacin. Y la razn para ello es la depen-

dencia entre los servicios y procesos de negocio de una organizacin ydichos activos.

Hoy por hoy, cualquier actividad, servicio o proceso de negocio desarrolladopor una organizacin depende, en mayor o menor medida, de la informaciny los medios empleados para su procesamiento, almacenamiento o trasmi-sin. Cualquier disrupcin en estos ltimos supone un impacto en las activi-dades de la organizacin.

Como se ha comentado con anterioridad, el modelo de anlisis y gestin deriesgos persigue identificar los riesgos a los que se encuentran sometidos los

32


35/116

activos de informacin, de forma que la organizacin pueda priorizar los mis-

mos y adoptar las medidas adecuadas.

Por lo tanto, el primer paso que debe plantearse toda organizacin es cono-cer cules son sus activos de informacin y cmo sus servicios y procesos denegocio se apoyan en los mismos.

A tal fin, la organizacin debe abordar un proceso de inventariado de activosde informacin. Este proceso debe seguir una aproximacin de arriba a abajo(top down), identificando en primer lugar los servicios proporcionados por laorganizacin. A continuacin, se debe proceder a identificar los procesos denegocio implicados para, finalmente, identificar los activos de informacinque dan soporte a dichos procesos. De esta forma, la organizacin dispondrde un inventario o mapa de activos sobre el cual desarrollar el posterior an-lisis de riesgos.

Es importante resaltar que no slo interesa disponer de una enumeracin deservicios, procesos y activos, si no que resulta indispensable conocer las rela-ciones y dependencias existentes entre los mismos.

33

Ilustracin 6.- De los servicios a los activos.


36/116

Por qu incluir en un inventario de activos los servicios y procesos de nego-

cio de la organizacin? El modelo de anlisis y gestin de riesgos es capaz deidentificar las amenazas y vulnerabilidades a las que se encuentran someti-dos los activos de informacin. En caso de materializarse una determinadaamenaza en forma de un incidente de seguridad, el impacto tendr una doblevertiente:

En primer lugar, afectar al propio activo de informacin, en forma dedegradacin o prdida del mismo.

En segundo lugar, la degradacin o prdida de un activo afectar a losprocesos de negocio que lo utilizaban y, por ende, a los servicios propor-cionados por la organizacin.

Es decir, las amenazas se materializan, explotando las vulnerabilidades, enlos activos de informacin, mientras que el impacto repercute en los serviciosy procesos de negocio.

Un enfoque alternativo es pensar que los activos de informacin tienen aso-ciado un determinado valor. De qu depende el valor de un activo? Funda-mentalmente de su importancia desde la perspectiva de los servicios y proce-sos de negocio de la organizacin. As, un activo de escasa relevancia desde laperspectiva de los procesos de negocio tiene poco valor para la organizacin.

2.2.2. Amenazas de seguridad y vulnerabilidades

Establecido el mapa o inventario de activos de informacin de la organiza-

cin, el anlisis de riesgos prosigue con la identificacin de las amenazas yvulnerabilidades.

Por amenaza debe entenderse cualquier escenario o situacin que potencial-mente puede materializarse como un incidente de seguridad. El abanico deamenazas al que se encuentra sometido el inventario o mapa de activos de laorganizacin es variado:

Desastres naturales: terremotos, huracanes, etc. Siniestros: inundaciones, incendios, etc. Accidentes.

34


37/116

Agresiones.

Etc.

Toda organizacin debe elaborar una lista exhaustiva de las amenazas a lasque pueda estar sometida para, posteriormente, evaluar la probabilidad deque dicha amenaza se materialice sobre los activos de informacin.

Por ejemplo, al considerar como posible amenaza un terremoto, la organiza-cin debe analizar la probabilidad de ocurrencia a partir de los informes deactividad ssmica de la zona en la que se ubiquen los activos de informacinen cuestin.

En ocasiones, como el caso de la amenaza por terremoto, la probabilidadpuede calcularse a partir de informacin estadstica existente. En otras oca-siones, esto no ser posible, por lo que tendremos que recurrir a estimacionesy aproximacin.

A la hora de estimar la probabilidad de materializacin de una amenaza, es

necesario tener en consideracin si el activo de informacin es vulnerable ono ante dicha amenaza.

Vemoslo con un ejemplo: el virus del sarampin. Cul ser la probabilidadde materializacin de esta amenaza? Pues depender de si nos hemos vacu-nado o no contra dicho virus. Toda persona vacunada contra el virus delsarampin ser inmune a dicho virus, es decir, no ser vulnerable ante elvirus. La probabilidad de contraer el virus es cero. Sin embargo, una personaque no haya sido vacunada contra el virus tendr una cierta probabilidad,

mayor que cero, de contraer la enfermedad.

En el caso de las amenazas y activos de informacin, estamos ante el mis-mo caso. La pregunta a hacerse para estimar la probabilidad de materiali-zacin es, en primer lugar, si el activo es o no vulnerable ante determinadaamenaza.

Existen amenazas ante las cuales todos lo activos son vulnerables: desastres,siniestros y accidentes. Existen otras antes las cuales, dependiendo de lasmedidas y controles de seguridad adoptados por la organizacin, se puede ono ser vulnerable: las agresiones y actos intencionados.

35


38/116

2.2.3. El riesgo como factor de la seguridad

Como ya se ha anticipado en un captulo anterior el concepto de riesgo per-mite definir un marco de referencia para evaluar la seguridad de la informa-cin.

El proceso de evaluacin y valoracin del riesgo permite a la organizacindeterminar el grado de exposicin de sus activos y definir una estrategiaorientada a reducir la misma.

Mediante el despliegue de controles de seguridad, la organizacin puedeactuar sobre los factores del riesgo, mitigando las vulnerabilidades, reducien-do la probabilidad de materializacin de una amenaza o minimizando elimpacto sobre los activos en caso de producirse un incidente de seguridad.

La siguiente ilustracin muestra cmo evoluciona el riesgo.

La definicin y ejecucin de un Plan de Gestin de Riesgos permitir a laorganizacin alcanzar un nivel ptimo de seguridad definido por un riesgoresidual. Este riesgo residual comprende el conjunto de riesgos que la organi-zacin considera asumible, bien porque la probabilidad de ocurrencia esbaja o porque el impacto es desdeable.

36

Ilustracin 7.- El Plan de Gestin de Riesgos.


39/116

La definicin de este umbral de riesgo residual es una decisin que estar

relacionada con la aversin al riesgo de la organizacin.

Finalmente, es necesario reflexionar sobre la necesidad de desplegar un pro-ceso de monitorizacin continua del riesgo. Ciertamente, el entorno dinmicoen el que se encuentran las organizaciones obliga a las mismas a realizar cam-bios continuos para adaptarse. Estos cambios se producen a distintos niveles yen distintos entornos: reorganizaciones, fusiones y adquisiciones, crecimiento,etc. Todos estos cambios afectan al perfil de riesgo de la organizacin.

Dicho de otra forma, el riesgo al que se encuentra sometida la organacin esvariable y, desgraciadamente, con una clara tendencia creciente. En conse-cuencia, el proceso de evaluacin y valoracin de riesgos debe ser un proce-so continuo para adaptar la estrategia de seguridad de la organizacin y ubi-car a la misma en el umbral de riesgo residual requerido.

37

Ilustracin 8.- El concepto del umbral de riesgos.


40/116

2.2.4. Algunas realidades en la Gestin del Riesgo

Lo cierto es que toda la teora expuesta en los captulos anteriores es aplica-ble y de gran utilidad. Sin embargo, tal y como se suele decir, de lo dicho alhecho hay un gran trecho.

Ms an, una buena cantidad de aos en el sector deja claras algunas reali-dades. Entre ellas, que hay multitud de entidades que desconocen lo que tie-nen, para qu lo usan, quines lo usan, y quines lo deberan usar. General-mente, el problema es ms acuciante cuanto mayor es la entidad y ms com-pleja su organizacin.

Si una entidad no sabe qu activos componen sus sistemas de informacin,difcilmente podr abordar un anlisis de riesgos. Obviamente, si una entidadno sabe qu activos tiene ser incapaz de determinar su valor, sus vulnerabi-lidades y las amenazas a las que se encuentra expuesta.

En mayor o menor medida las responsabilidades, los presupuestos y los

activos se encuentran generalmente diluidos en la organizacin. De estemodo, cada unidad o departamento es razonablemente consciente de losactivos que utiliza para la explotacin de sus procesos. Sin embargo, engeneral es desconocedor de los activos de soporte. Como es de esperar,exactamente lo opuesto suele ocurrir en los departamentos de sistemas ycomunicaciones.

Similarmente, es complicado determinar la valoracin intangible de los acti-vos de una organizacin y mantenerlos razonablemente actualizados. Por

ejemplo, una entidad puede determinar que su imagen es un activo muyimportante o incluso crtico; sin embargo, valorar la imagen no es algo obvio,y mucho menos determinar cmo los activos de los sistemas de informacinafectan a la misma.

Posiblemente, despus del cumplimiento de requisitos legales, la caracte-rstica de la seguridad de los sistemas de informacin ms fcil de justificarsea la disponibilidad. Cunto dinero pierdes si no tienes disponible duran-te 24 horas el servicio? La respuesta a esta pregunta suele ser inmediatacuando te contesta el responsable de una unidad que a su vez es un centrode beneficios.

38


41/116

Por el contrario, qu ocurre cuando le haces esta pregunta al responsable de

sistemas sobre el servicio de correo electrnico o navegacin en Internet. Enestos casos, lo habitual es que el responsable de sistemas conteste que no losabe; sin embargo, es capaz de asegurar el alto nmero de incidencias y/o elnmero de coscorrones que le llegaran.

Obviamente, si se hablase sobre aspectos relacionados con la confidenciali-dad o integridad, las discrepancias o la complejidad seran an mayores.

Aun contemplando nicamente la caracterstica de disponibilidad, es com-plicado patrocinar la implantacin de salvaguardas globales. Puesto queinfluyen a la totalidad de la entidad, estos anlisis y seleccin de contramedi-das deben ser patrocinados y financiados desde los estamentos ms altos dela organizacin.

Adicionalmente, los requisitos de seguridad son bastante particulares segnel sector y relativamente dinmicos. Consecuentemente, puesto que uno delos aspectos de mayor consideracin a la hora de cuantificar el riesgo es la

valoracin del activo o del impacto. Algo que antes era considerado de bajoriesgo puede haber evolucionado hasta considerarse en la actualidad comocrtico. Con el fin de evitar falsas sensaciones de seguridad es importantemantenerlo actualizado.

Paralelamente, a la hora de abordar un anlisis de riesgos es fcil caer en latentacin de considerar la disponibilidad como la caracterstica principal dela seguridad. La disponibilidad es un concepto que prcticamente todosconocen, que han sufrido en alguna ocasin y que fcilmente es asociado a

prdidas. Seguro que para muchas entidades la disponibilidad de sus siste-mas es la piedra filosofal; sin embargo, tericamente hablando es cuestiona-ble abordar el Plan de Continuidad de un CPD valorado en 10 millones deeuros con un 0,1% de probabilidad de que un desastre natural lo inutilice. Amenos, claro est, que dicho CDP d soporte al negocio de una cantidadnada despreciable de euros anuales.

Tal y como se ha mencionado con anterioridad, la valoracin del riesgo rela-cionado con la disponibilidad de los sistemas de informacin es relativamen-te sencilla. Sin embargo, Qu ocurre cuando se tratan las otras dos dimen-siones de la seguridad?

39


42/116

40

Cuando se aborda la determinacin del impacto relacionado con la confiden-

cialidad y/o integridad, la valoracin se complica ms an. Cunto vale la infor-macin que tiene una entidad o qu impacto supone su revelacin pblica.Esta pregunta me la formul en su momento un cliente, lo cierto es que es unapregunta bastante complicada. Sin embargo, la respuesta formulada a la gallegafue prcticamente inmediata. En el supuesto caso de que pudieseis, y que estono fuese ilcito, cunto estara dispuesto a pagar vuestro departamento comer-cial por disponer de esa misma informacin de vuestra feroz competencia.

Pensemos en un gran banco y en lo que le sucedera si sus sistemas no estu-viesen disponibles durante 9 horas laborables. Posiblemente las prdidas ser-an considerables. Ahora, valoremos la posibilidad de que toda la informacinrelacionada con sus clientes fuese repentinamente publicada en medios alter-nativos, posiblemente el banco las pasara canutas. Por ltimo, pensemos quetodos los datos de sus clientes y que las transacciones realizadas durante elltimo mes fuesen errneas. Lo cierto es que es difcil escoger joyas entre estasposibilidades. Sin embargo, si se le pregunta a un banco o se analizan losescenarios propuestos, posiblemente se concluir que los impactos son

importantes, pero que la probabilidad de ocurrencia no es la misma.

Como entidad privada, un banco puede tener ms o menos clara la valoracinde su informacin. Sin embargo, siendo an ms quisquilloso, cmo se valo-raran los riesgos enumerados en los tres escenarios anteriores en una Admi-nistracin Pblica. Qu ocurrira si esto le sucediese a la Agencia Tributaria.

Bsicamente, estos son los ejercicios que hay que realizar a la hora de abor-dar un anlisis de riesgos de los sistemas de informacin. Obviamente, es

complejo determinar el impacto econmico en cualquiera de los casos. Sinembargo, es relativamente sencillo llevar a cabo estudios cualitativos basadosen las premisas enumeradas en los captulos anteriores.

En cualquier caso, a la hora de abordar un anlisis de riesgos hay que tenertres consideraciones adicionales. La primera consideracin es ser metdicopara poder realizar el anlisis tantas veces como sea necesario a lo largo deltiempo. La segunda consideracin es ser realista, el anlisis de riesgos sertan bueno como la informacin disponible. Adicionalmente, hay que ser rigu-roso, y justificar los impactos. Para los responsables de servicios, los suyosson siempre los ms crticos.


43/116

41

Realmente, los objetivos fundamentales de un anlisis de riesgos son conocer

mejor los sistemas de informacin y sus dependencias con el negocio, ypoder establecer las contramedidas apropiadas acorde al nivel de riesgo quese est dispuesto a aceptar.

En consecuencia, la Gestin del Riesgo deber incluir por un lado el propioanlisis de riesgos, idealmente actualizado, y por otro una planificacin deacciones, tareas y proyectos que permitan a la Entidad alcanzar y mantener elnivel de riesgo que est dispuesto a asumir.

De este modo, se parte del riesgo intrnseco, que equivale al riesgo de unaentidad sin la implantacin de contramedidas, y, conforme se van aplicandolas contramedidas se podr ir viendo cmo el riesgo efectivo disminuye.

Obviamente, para gestionar el riesgo se implantarn distintos tipos de medi-das que debieran disminuirlo. De este modo, existirn medidas tcnicas,documentales, procedimentales, funcionales, etc.

Al final, lo importante es sentirse razonablemente a gusto con el resultado delanlisis de riesgos. Dicho anlisis siempre ser mejorable, se podr entrar enmayor detalle. Se podrn incluir nuevas funcionalidades e incluso valoracio-nes econmicas. Sin embargo, en la elaboracin del primer anlisis de ries-gos es aconsejable delimitar el alcance y evitar en gran medida el detalle.

De hecho, el propio anlisis nos indicar aquellos aspectos sobre los que sedeber profundizar. Del mismo modo, si a la hora de realizar el anlisis deriesgos no se encuentra algo sorprendente, puede ser porque se conozca

demasiado bien el negocio o porque no se haya realizado con la rigurosidadoportuna.

Si por el contrario, uno se encuentra con que la prctica totalidad de activosde los sistemas de informacin tienen consideracin muy crtica para las tresdimensiones de seguridad, es que no se ha entendido correctamente el espri-tu del propio anlisis o que se tiene un gran desconocimiento del negocio.

En s, abordar la realizacin de un anlisis de riesgos es una experiencia enri-quecedora y si hay una participacin generalizada por parte de la entidadpuede ser una actividad divertida. En cualquiera de los casos, el resultado de


44/116

dicho anlisis debe ser validado por una persona de peso en la organizacin.

Generalmente, l dar una visin adicional sobre la criticidad de los distintosprocesos que componen el negocio.

2.3. Abordando de forma prctica la planificacin de la seguridad

en la empresa: el Plan Director de Seguridad

Como ya se ha expuesto anteriormente, la gestin de riesgos es la verdaderapiedra angular y punto de partida de todas las iniciativas de Gestin de la Segu-ridad, y permite conocer cules son las prioridades reales de proteccin. Comodice la mxima Si no sabes dnde ests, para qu quieres un mapa?

En este punto, la organizacin no slo intuye cul es el verdadero corazn desu negocio, sino que ha conseguido identificar los activos ms relevantes quesoportan sus procesos, y conoce las relaciones y dependencias que existenentre ellos, configurando un mapa de activos y sistemas. La entidad entiendelos puntos dbiles de los que adolecen los activos (tanto solos como en con-

junto), y el impacto de las amenazas que pueden materializarse sobre ellos.

Este camino de reflexin y anlisis interno, que ha servido para valorar elriesgo al que se enfrenta la organizacin, habr conseguido adems concien-ciar tanto a los sectores tcnicos como a los de negocio acerca del papel queejerce la seguridad en la estrategia de la compaa. Sin embargo, a pesar deque el Anlisis de Riesgos es un proceso extremadamente til que permitecomprender mejor las necesidades de la organizacin, est anclado almomento temporal en el que se realiza. En contraposicin, el objetivo perse-guido por la organizacin debe ser dinmico y adaptable, y debe permitirgestionar la seguridad desde el plano estratgico.

El Plan Director de Seguridad, o Plan de Seguridad, supone el desarrollo delos objetivos estratgicos identificados en la poltica y normativas de seguri-dad de la organizacin, y su finalidad es ubicar a la entidad, a nivel global,en un entorno de riesgo aceptable. En la prctica es una herramienta sistem-tica que permite establecer pautas y directrices para planificar de forma gillas diferentes iniciativas que la organizacin, hasta ese punto, haba aborda-do de forma aislada y parcial. Hilando esta definicin con el aforismo que haabierto el captulo, el Plan Director de Seguridad es el camino, que se reflejaen el mapa, que sirve para guiar los pasos de la organizacin en el cumpli-miento de sus objetivos de seguridad.

42

N


45/116

Recapitulando, los pasos que la Entidad ha recorrido en la senda hacia la

Gestin Estratgica de Seguridad son:

Diseo, redaccin y aprobacin de la Poltica de Seguridad de la organi-zacin. Este documento desgrana los objetivos estratgicos de la entidaden materia de seguridad, y plantea el alcance de los mismos.

Anlisis de Riesgos de los procesos incluidos en el alcance de la Polticade Seguridad. Gracias a l, se conocen los activos que soportan los pro-cesos (conocimiento del entorno), as como las vulnerabilidades de lasque adolecen y las amenazas a las que se enfrentan.

En este punto, el objetivo es identificar y planificar las acciones, correctivas ode mejora que permitirn reducir los riesgos identificados para los activos, yluego plasmarlas y gestionarlas a travs del Plan Director de Seguridad.Muchos de los riesgos podrn ser reducidos mediante la aplicacin de un ni-co control de baja complejidad (como por ejemplo, la implantacin de unsencillo antivirus). No obstante, en numerosas situaciones no bastar con una

actividad sencilla y habr que disear proyectos especficos para afrontar ries-gos complejos (como el diseo e implantacin de un Plan de Contingencias).

El principal sustrato de la elaboracin de un Plan Director de Seguridad esuna coleccin de actividades, muchas de ellas con carcter complejo, que sedebern abordar para alcanzar el objetivo de seguridad establecido a travsdel umbral de riesgo. En sntesis, para cubrir cada uno de los riesgos quedeben ser controlados a travs del Plan Director de Seguridad se proponenun conjunto de lneas de accin, as como proyectos mediante los cuales

implementarlas.

Tras disponer de dicha coleccin de actividades y proyectos derivados, lasiguiente incgnita es el orden en el que se debern acometer. Sin duda, lamejor opcin es priorizar las acciones en base a un nico criterio maestro,aunque luego se utilizarn otros que matizarn dicha ponderacin. El criteriobase a la hora de planificar y priorizar el despliegue de los controles de segu-ridad ser el nivel de riesgo cubierto por el control. Asociada a cada lnea deaccin se dimensiona tambin el beneficio cuantitativo obtenido tras suimplementacin para cada dimensin de seguridad (confidencialidad/integri-dad/disponibilidad).

43


46/116

Su objetivo es por tanto priorizar las lneas de accin y definir diferentes cate-

goras de proyectos:

Inmediatos (tambin denominadas Quickwins, y que permiten obtenerresultados importantes en un tiempo o con unos recursos mnimos).

Corto plazo.

Medio plazo (como mximo 2 3 aos)

La adopcin del criterio de largo plazo en un Plan Director de Seguridad esde escasa aplicacin, dada la alta mutabilidad de los riesgos, que evolucio-narn de forma muy significativa en un perodo de tiempo largo.

Una vez definidas y priorizadas en una primera iteracin las acciones y pro-yectos en base al nivel de riesgo cubierto, se deben plantear ciertos subcrite-rios que servirn para matizar el orden con el que las acciones y proyectos seacometen:

El primer criterio que se deber contemplar e intentar maximizar es el dela aplicacin de controles que cubren ms de un riesgo. Aunque por

44

Ilustracin 9.- Visin del Plan de Seguridad.


47/116

defecto el orden estricto de aplicacin sea el basado en el concepto de

riesgo cubierto, es muy recomendable aumentar la prioridad de accio-nes que cubran mltiples riesgos, y que por tanto, disminuyan el riesgosoportado de forma global.

Dado que cada una de las lneas de accin que derivan del Plan Directorde Seguridad tendr asociada una serie de costes, es posible seleccionarqu lneas de actuacin abordar en funcin de un criterio deeficiencia/eficacia/coste. Este planteamiento es especialmente relevanteen los casos que se cumpla por defecto, es decir, aquellas iniciativas que,aunque no cubran un riesgo muy significativo, su coste es bajo o inexis-tente. Es recomendable que dichas iniciativas se ubiquen dentro de lasacciones consideradas como quickwins.

Asimismo, y siguiendo los criterios planteados a lo largo de la obra, esimprescindible tener en cuenta las consideraciones de negocio en cuan-to a su aplicabilidad de controles: se debe identificar y determinar qucontroles son ms relevantes para la organizacin, especialmente los

adyacentes que se ubiquen en el mismo nivel de riesgo cubierto. Unejemplo prctico es el uso de controles que potencian la imagen o rendi-miento de un rea especfica de la compaa.

Finalmente, es importante hacer notar que, dado que el Plan Director deSeguridad se ubica en el plano de la estrategia, se deben definir ciertos atri-butos indispensables para cualquier iniciativa que se vaya a planificar:

Fecha de comienzo y duracin: cada proyecto derivado del Plan Director

de Seguridad, independientemente de su prioridad, debe planificarse enun marco temporal concreto, indicndose as mismo su duracin. Esespecialmente recomendable mantener de forma paralela a la represen-tacin tradicional del Plan Director de Seguridad (apoyada normalmenteen hojas de clculo o herramientas avanzadas) un diagrama de Gantt delproyecto. Gracias a esta representacin, ser posible entender de formams clara las dependencias y ejecuciones paralelas de tareas, lo que per-mitir a su vez optimizar la planificacin.

Recursos y presupuesto: este punto es donde se produce el nexo msimportante con el negocio de la organizacin en el plano financiero. Dado

45


48/116

que a travs del Plan Director de Seguridad se planifica la seguridad de for-

ma proactiva y proporcional, a partir de su creacin ser posible presu-puestar y aprovisionar apropiadamente este captulo. As mismo, y dada sunaturaleza, en muchos casos los conceptos asociados al epgrafe de gastospodrn ser gestionados como inversiones. De forma adicional, este puntodebe desgranar el coste econmico de cada proyecto o lnea de accin en,al menos, materiales, contrataciones externas y personal (se debe contem-plar el coste tanto para personal externo como la ocupacin interna derecursos).

Responsable de proyecto/accin: toda accin deber tener un nico respon-sable cuya funcin principal en el marco del Plan Director ser controlar que

dicha tarea se inicia en el momento que debe y cumple la planificacin pro-

puesta. Ante desvos sobre lo esperado, ya sea en el plano temporal, de recur-

sos o presupuestario, ste deber informar inmediatamente para emprender

las acciones correctivas pertinentes. Adems, una de sus principales funcio-

nes ser presentar el estado y logros de cada iniciativa al resto de personal

involucrado y crear resmenes ejecutivos para la alta direccin.

Nivel de riesgo que cubre: tal como se ha comentado con anterioridad,ste es el verdadero indicador de prioridad de cada accin y se deberaindicar en el Plan Director. Este punto es uno de los principales nexos deunin con la Gestin de Riesgos realizada.

Otros: adicionalmente, se pueden reunir, segn el nivel de madurez enla Gestin de Seguridad de la organizacin, diversos indicadores. Entreellos, siempre resulta interesante el ratio coste/beneficio, las dependen-

cias con otras acciones correctivas y, en caso de que se usen normas ISOpara la seleccin de controles, trazabilidad con los controles de las mis-mas que cubre cada lnea de accin o proyecto.

Una de las principales dificultades detectadas por parte de diversas organizacio-nes en este campo es la gestin del Plan Director de Seguridad. Estos conflictos,especialmente en organizaciones de cierto tamao, nacen de la complejidadque supone la implantacin de diversos proyectos de un rea en la que habitual-mente no existe suficiente personal cualificado. Es recomendable el agrupar losproyectos segn las reas de conocimiento para facilitar su control (procesos yservicios, tecnologa, seguridad fsica, legislacin o iniciativas mixtas).

46


49/116

Con las prcticas descritas en esta publicacin debera resultar ms senci-

llo abordar dicho proceso, dado que en el plano de gestin los conceptosson comunes a los clsicos de la direccin estratgica. Aun as, es vitaldisponer de asesoramiento experto en las reas tcnicas relacionadas conla seguridad, y asegurarse de que en la definicin de los roles y responsa-bilidades en la compaa se incluyan actividades de planificacin en segu-ridad de la informacin.

Por otra parte, existe una alternativa a esta metodologa de gestin del PlanDirector de Seguridad: la Oficina de Gestin de Seguridad. Se trata de unaestructura de gestin que se responsabiliza de organizar y supervisar lacoleccin de proyectos y lneas de accin definidas en el Plan Director. Sepuede abordar su creacin de forma interna a la organizacin o externali-zarla, pero en todos los casos y dado su foco, deber tener una compo-nente importante en gestin de proyectos (un punto til de partida puedeser el modelo de Oficina de Gestin de Proyectos propuesto por el PMI,Project Management Institute).

En ambos casos, es importante que dicha oficina no pierda el foco sobre supapel, y afronte sus decisiones desde una visin global de los objetivos deseguridad de la entidad. Otra de sus principales funciones es la de desarrollarestudios de situacin y anlisis de valor de organizacin, que puedan ser uti-lizados para justificar la inversin en seguridad de la informacin.

47

Ilustracin 10.- Herramientas de Gestin del Plan de Seguridad.


50/116

48

El ltimo aspecto que se debe recalcar sobre la Gestin de los Planes Direc-

tores de Seguridad es precisamente el relacionado con su control y supervi-sin. Como se expone a continuacin, se pueden utilizar diversas aproxima-ciones para gestionar la operativa del Plan Director de Seguridad.

Para entornos sencillos o medianamente complejos es aceptable el uso deherramientas manuales, como por ejemplo las hojas de clculo. Medianteuna hoja de clculo es factible representar cada una de las acciones definidasen el Plan Director de Seguridad e incluir los aspectos bsicos que las defi-nen (fechas, recursos y coste y responsable)

Sin embargo, en entornos ms complejos (la complejidad no necesariamenteimplica una organizacin de mayor tamao), se debe apostar por el uso deuna herramienta especfica que soporte la gestin del plan. Dichas herra-mientas aportan ciertas funcionalidades adicionales, en particular, a la horade analizar la relacin coste/beneficio de las acciones y en el seguimiento delas mismas. En todos los casos, el uso de una herramienta de gestin de ries-gos es imprescindible, o al menos altamente recomendable. Su papel es ser-

vir como base para el anlisis de riesgos y valoracin de contramedidas, ascomo su posterior seguimiento, verdadera clave para mantener una gestinde seguridad viva.

Dejando el plano de gestin del propio Plan Director, es necesario tambinentender el papel que desempea ste en el marco de la Gestin Estratgicade Seguridad. Existen diferentes concepciones sobre cmo se debe posicio-nar en relacin con el resto de planteamientos dentro de la organizacin, quecondicionan la mejor aproximacin para plantear su creacin:

El enfoque clsico ubica al Plan Director de Seguridad como la iniciativade ms alto nivel dentro de la organizacin, que subordina al resto deplanteamientos y sirve como sistema de control. En este escenario, laimplantacin de un SGSI es un proyecto ms derivado del plan.

En los ltimos tiempos, y consecuencia del advenimiento y crecienteimportancia de los SGSI, el Plan Director de Seguridad ha sido parcial-mente desmitificado. Segn este enfoque, el Plan Director es una deri-vada de la implantacin de un SGSI y sirve como herramienta de gestinen la implantacin de los controles de seguridad propuestos.


51/116

49

Aunque ambas visiones son perfectamente vlidas, y realmente se puede

escoger cualquiera de ellas sin riesgo a utilizar un enfoque incorrecto, estelibro adoptar la de Plan de Seguridad como herramienta de gestin derivadade la implantacin de un SGSI. La motivacin por la que se adopta este plan-teamiento es la ventaja de estandarizar los criterios de implantacin de con-troles, ms acorde a la filosofa de los SGSI.

Aunque est fuera del mbito de este captulo, y ser tratado de forma msexhaustiva ms adelante, es importante hacer ciertas aclaraciones: el PlanDirector de Seguridad, segn el planteamiento escogido, es la herramienta degestin de controles de seguridad definidos en la norma ISO 27002. Esta nor-ma identifica un conjunto mnimo de controles a considerar en la proteccinde los activos de la organizacin. Para cada riesgo identificado, se valora laaplicabilidad de los controles recogidos en la norma, y se recoge en un docu-mento denominado Declaracin de Aplicabilidad.

En resumen, tanto si se decide escoger un enfoque tradicional como uno inte-grado en el SGSI, el Plan Director de Seguridad es la herramienta estratgica

que permitir justificar y comprender las acciones de seguridad que se debenabordar, alinendolas con el negocio de la organizacin.

2.4. La seguridad en las TIC: requisitos bsicos

La seguridad en las TIC se define como la capacidad de las infraestructuras osistemas de informacin de minimizar o prevenir, con un determinado nivelde confianza, ante accidentes o acciones malintencionadas que pueden com-

prometer la disponibilidad, autenticidad, integridad y confidencialidad de lainformacin transmitida o almacenada y de los servicios que ofrecen lasinfraestructuras o sistemas para acceder a est informacin.

Actualmente las necesidades de seguridad en las organizaciones estn basa-das en tres componentes fundamentales para su implementacin:

Las personas Profesionales de las TIC con formacin especializada y acreditada. Usuarios con niveles de educacin para un uso responsable de las

TIC.

N


52/116

50

La gestin.

Los sistemas de Gestin de la Seguridad de la Informacin (certificables). La seguridad englobada dentro de los procedimientos y procesos de

negocio o actividad en las organizaciones.

Las tecnologas y sistemas de informaciny comunicaciones.

Sistemas que cumplen certificaciones de calidad de la seguridad de losproductos TIC.

Estos tres componentes y su interrelacin son las base fundamental paraimplementar la seguridad en las organizaciones, provocando un mayor riesgoen la seguridad si alguno de estos componentes no es tenido en cuenta comoparte de la seguridad TIC.

El objetivo principal de los responsables de Seguridad de la Informacin essaber en tiempo real qu est pasando en los sistemas que pueda ser relevan-te para la seguridad de la informacin de sus organizaciones y, en conse-

cuencia, poder tomar decisiones que prevengan o minimicen las amenazasque pueden afectar a la organizacin.

La seguridad lgica y las tecnologas de proteccin han de implementar lasmedidas y controles que permitan prevenir y gestionar el riesgo de amenazasy han de ayudar a crear procesos automatizados tendentes a disponer deinformacin sobre eventos completa, til y de calidad en el momento que searequerido y que, adems, permitan la implantacin de mecanismos para laextraccin, preservacin y conservacin de evidencias y registros de utiliza-

cin de las infraestructuras.

2.4.1. La seguridad lgica

La seguridad lgica implementa las tecnologas de proteccin mediantemedidas y controles que permitan prevenir y minimizar las posibles amena-zas a las que estn expuestas las organizaciones. Esta seguridad lgica debeestar basada en el concepto de la defensa en profundidad.

El concepto de defensa en profundidad tiene sus orgenes en el siglo XVII(Vauban) y se basaba en los siguientes puntos:


53/116

51

Los bienes que se protegen estn rodeados de varias lneas de defensa.

Cada lnea de defensa participa en la defensa global.

Cada lnea de defensa desempea un papel: debilitar el ataque, entorpe-cerlo, retardarlo o pararlo.

Cada lnea de defensa es autnoma (est prevista la prdida de la lneaanterior para evitar la prdida del resto de lneas de defensa): la prdidade una lnea de defensa debilita a la siguiente pero sta dispone de suspropios medios de defensa frente a los distintos ataques (cada posibleproceso de ataque ocasiona su correspondiente defensa).

Se ponen en marcha todos los medios para reforzar la defensa de las dis-tintas lneas:

Adaptar la fortificacin. Muros para limitar los efectos de penetraciones.

Informarse de la situacin en cada lnea.

Este concepto de defensa en profundidad se utiliza actualmente en los mbi-tos militares, industriales (industria nuclear) y de la seguridad de los sistemasde informacin, mbito en el que nos centraremos.

Actualmente, el concepto de defensa en profundidad se ha adaptado al mbi-to de la seguridad de los sistemas de informacin. Este concepto ha incluidonuevos principios que han tomado mayor relevancia en el concepto de la

seguridad TIC:

La informacin ha pasado a convertirse en la primera lnea de defensa: lainformacin debe alcanzar desde el registro de las amenazas efectivas,ataques comprobados e identificados, la deteccin de actuaciones sos-pechosas (indicios o precursoras de posibles ataques) hasta los compor-tamientos anormales dentro de la organizacin.

La defensa se ha convertido en un concepto dinmico que permita adap-tarse a los requerimientos de seguridad de la organizacin.


54/116

52

Existen varias lneas de defensa coordinadas y ordenadas segn su capa-

cidad y las necesidades que requiere la organizacin de forma propor-cionada (coste del activo/coste salvaguarda).

La prdida de una lnea de defensa debe debilitar el ataque (al menosindirectamente proporcionndonos un mximo de informacin sobre laamenaza, su naturaleza, sobre el posible comportamiento y las posiblesetapas que seguir), esta perdida no debe ocasionar la prdida de otraslneas de defensa sino por el contrario reforzarlas o adquirir un mayorconocimiento de la amenaza.

Las lneas de defensa deben incluir el registro de las amenazas (aunquese limite a la deteccin de anomalas y el registro de trazas en caso deataques no identificables) en todos los ataques posibles, permitiendoadquirir un mayor nivel de conocimiento y anlisis de la situacin gene-rada por la amenaza.

La defensa no excluir medidas de carcter ofensivo para mitigar los efec-

tos del ataque.

Un ejemplo de la implementacin de la defensa en profundidad es el caso deun puesto de trabajo protegido por un cortafuegos y un antivirus contra losaccesos no autorizados, el antivirus constituye la segunda barrera frente alintento de acceso de un cdigo malicioso por intrusin, pero se transformaen la primera barrera si el medio desde el que proviene la amenaza es elcorreo electrnico, puesto que el mensaje de correo electrnico es autoriza-do por el cortafuegos.

En este momento, la seguridad lgica en las TIC debe adaptarse al conceptode una lnea de defensa formada por barreras que estn coordinadas y pro-porcionen informacin a los responsables y especialistas de la Gestin de laSeguridad de la organizacin para que puedan tomar decisiones.

Las barreras que componen la lnea de defensa estarn relacionadas con losniveles de gravedad y la reaccin correspondiente en caso de superarse estasbarreras de forma planificada dentro de la organizacin.

La seguridad TIC es una defensa global y dinmica:


55/116

53

El concepto global implica que se debe entender como una lnea de

seguridad y no un conjunto de medios de proteccin independientes,toda la lnea de defensa debe disponer de dispositivos y de medios quepermitan la deteccin, monitorizacin y notificacin ante las posiblesamenazas.

El concepto dinmico implica que se debe adaptar a las necesidades dela seguridad, permitiendo la toma de acciones de neutralizacin con elmenor coste y tiempo posibles, la posibilidad de gestionar el riesgo, lageneracin de informes, la planificacin de las reacciones y el enriqueci-miento permanente gracias a la experiencia adquirida.

La implementacin de la seguridad lgica debe tener como finalidad:

Reforzar la proteccin del sistema de informacin mediante un enfoquecualitativo de las barreras de seguridad que permita verificar la finalidady la calidad del dispositivo o control que proporciona la seguridad.

Proporcionar un medio de comunicacin que permita a los responsablesde la organizacin la toma de decisiones y a los usuarios tomar concien-cia de la gravedad de los incidentes de seguridad.

La seguridad en las TIC segn el concepto de la lnea de defensa debe cen-trarse en la implementacin y las tecnologas que la van a sustentar.

La implementacin de la seguridad debe estar basada en polticas vlidas yprobadas. Los sistemas y los usuarios deben participar en la generacin de

informes sobre incidentes y estar informados sobre posibles amenazas quepueden afectar a la organizacin.

El sistema de informacin debe contar con polticas dinmicas de actualiza-cin de las herramientas que sustentan la lnea de defensa dentro de la orga-nizacin.

Toda implementacin de herramientas dentro de la lnea de seguridad debentener como requerimientos su gestin, seguimiento y control. Permitiendorealizar un anlisis de las trazas que proporcionen para permitir detectar posi-bles incidentes.


56/116

54

La poltica de mantenimiento debe estar contenida dentro de la seguridad en

profundidad, diversificando los proveedores, verificando y comprobando loscontratos para verificar que cumplen con los requerimientos definidos en lapoltica de seguridad de la organizacin.

La defensa en profundidad se debe basar en lneas de defensa tecnolgicascoordinadas e independientes. No debiendo existir un punto nico en el quese apoye toda la seguridad de la organizacin. Esto implica que la seguridadno debe basarse en una tecnologa o un producto de seguridad (aunque tengauna calidad certificada).

Todo producto de seguridad debe ser controlado, protegido y proporcionarun plan de reaccin en caso de incidente.

Es necesario limitar la exposicin de los elementos de seguridad a las amena-zas mediante la creacin de zonas protegidas por cortafuegos y monitoriza-das por sistemas de deteccin de intrusos y limitar sistemticamente los servi-cios ofrecidos a los estrictamente necesarios (lnea base de securizacin de

los sistemas).

La defensa en profundidad en las tecnologas debe llegar a los puestos deusuarios y a los accesos a la infraestructura de la organizacin mediante tec-nologas de cortafuegos personales, antivirus actualizados y de diferente tipoa los utilizados en las pasarelas de correo electrnico, actualizacin de lossistemas operativos y polticas de control de acceso en los puntos de cone-xin a la infraestructura de la organizacin.

La formacin de los usuarios debe sumarse a todas las tecnologas que apli-quemos en las infraestructuras y los puestos clientes, esta formacin debehacer conscientes a los usuarios del riesgo que tienen las organizaciones anaplicando tecnologas en la seguridad de la organizacin.

2.4.2. Componentes de la defensa en profundidad

Las organizaciones deben aplicar la defensa en profundidad en base a unaserie de capas o niveles aplicando las tecnologas que mejor se adapten a losprocesos del negocio y los activos que tienen que proteger.


57/116

Estas tecnologas deben estar coordinadas y proporcionar informacin a los

responsables de la seguridad para permitirles tomar decisiones y conocer elestado de la seguridad dentro de la organizacin.

El siguiente esquema muestra un ejemplo de defensa en profundidad aplican-do distintos niveles y las posibles tecnologas que proporcionaran seguridaddentro de cada uno de ellos.

A continuacin se detallan los niveles que componen la Seguridad Lgicadentro de las organizaciones y las tecnologas ms comunes utilizadas encada uno de ellos:

2.4.3. Seguridad en el permetro

Es el nivel donde se delimitan las fronteras de la organizacin con el exterior.Este nivel ha sufrido cambios en las infraestructuras actuales, siendo muy difcildelimitarlo por la introduccin de nuevas tecnologas (mviles, accesos remo-tos por VPN y redes wifi) que han provocado el aumento de los accesos y unaprdida de control de los lmites del permetro en las organizaciones.

En este nivel se deben implementar tecnologas que permitan:

Delimitar los accesos desde y hacia la organizacin.

Controlar y filtrar los accesos de entrada y salida de la informacin.

55

Ilustracin 11.- Defensa en profundidad.


58/116

56

Proporcionar seguridad de los servicios ofrecidos.

Registrar y controlar los accesos que se han producido en el permetro dela organizacin.

Se deben considerar mltiples aspectos para disear una infraestructura peri-metral

seguridad_empresa plan director

Documents