Gestin de la Seguridad

Visin General
La Gestin de la Seguridad de la Informacin se remonta al albor de los tiempos. La criptologa o la ciencia de la confidencialidad de la informacin se remonta al inicio de nuestra civilizacin y ha ocupado algunas de las mentes matemticas ms brillantes de la historia, especialmente (y desafortunadamente) en tiempos de guerra. Sin embargo, desde el advenimiento de la ubicuas redes de comunicacin y en especial Internet los problemas asociados a la seguridad de la informacin se han agravado considerablemente y nos afectan prcticamente a todos. Que levante la mano el que no haya sido victima de algn virus informtico en su ordenador, del spam (ya sea por correo electrnico o telfono) por una deficiente proteccin de sus datos personales o, an peor, del robo del nmero de su tarjeta de crdito. La informacin es consustancial al negocio y su correcta gestin debe apoyarse en tres pilares fundamentales:

Confidencialidad: la informacin debe ser slo accesible a sus destinatarios predeterminados. Integridad: la informacin debe ser correcta y completa. Disponibilidad: debemos de tener acceso a la informacin cuando la necesitamos.

La Gestin de la Seguridad debe, por tanto, velar por que la informacin sea correcta y completa, est siempre a disposicin del negocio y sea utilizada slo por aquellos que tienen autorizacin para hacerlo. Las interacciones y funciones de la Gestin de la Seguridad se resumen sucintamente en el siguiente interactivo:

Introduccin y Objetivos
Los principales objetivos de la Gestin de la Seguridad se resumen en:

Disear una poltica de seguridad, en colaboracin con clientes y proveedores correctamente alineada con las necesidades del negocio. Asegurar el cumplimiento de los estndares de seguridad acordados. Minimizar los riesgos de seguridad que amenacen la continuidad del servicio.

La correcta Gestin de la Seguridad no es responsabilidad (exclusiva) de "expertos en seguridad" que desconocen los otros procesos de negocio. Si caemos en la tentacin de establecer la seguridad como una prioridad en s misma limitaremos las oportunidades de negocio que nos ofrece el flujo de informacin entre los diferentes agentes implicados y la apertura de nuevas redes y canales de comunicacin. La Gestin de la Seguridad debe conocer en profundidad el negocio y los servicios que presta la organizacin TI para establecer protocolos de seguridad que aseguren que la informacin est accesible cuando se necesita por aquellos que tengan autorizacin para utilizarla. Una vez comprendidos cuales son los requisitos de seguridad del negocio, la Gestin de la Seguridad debe supervisar que estos se hallen convenientemente plasmados en los SLAs correspondientes para, a rengln seguido, garantizar su cumplimiento. La Gestin de la Seguridad debe asimismo tener en cuenta los riesgos generales a los que est expuesta la infraestructura TI, y que no necesariamente tienen porque figurar en un SLA, para asegurar, en la medida de lo posible, que no representan un peligro para la continuidad del servicio. Es importante que la Gestin de la Seguridad sea proactiva y evale a priori los riesgos de seguridad que pueden suponer los cambios realizados en la infraestructura, nuevas lneas de negocio, etctera.

Proceso
La Gestin de la Seguridad esta estrechamente relacionada con prcticamente todos los otros procesos TI y necesita para su xito la colaboracin de toda la organizacin. Para que esa colaboracin sea eficaz es necesario que la Gestin de la Seguridad:

Establezca una clara y definida poltica de seguridad que sirva de gua a todos los otros procesos. Elabore un Plan de Seguridad que incluya los niveles de seguridad adecuados tanto en los servicios prestados a los clientes como en los acuerdos de servicio firmados con proveedores internos y externos. Implemente el Plan de Seguridad. Monitorice y evale el cumplimiento de dicho plan. Supervise proactivamente los niveles de seguridad analizando tendencias, nuevos riesgos y vulnerabilidades. Realice peridicamente auditoras de seguridad.

Poltica de Seguridad
Es imprescindible disponer de un marco general en el que encuadrar todos los subprocesos asociados a la Gestin de la Seguridad. Su complejidad e intricadas interrelaciones necesitan de una poltica global clara en donde se fijen aspectos tales como los objetivos, responsabilidades y recursos.

En particular la Poltica de Seguridad debe determinar:

La relacin con la poltica general del negocio. La coordinacin con los otros procesos TI. Los protocolos de acceso a la informacin. Los procedimientos de anlisis de riesgos. Los programas de formacin. El nivel de monitorizacin de la seguridad. Qu informes deben ser emitidos peridicamente. El alcance del Plan de Seguridad. La estructura y responsables del proceso de Gestin de la Seguridad. Los procesos y procedimientos empleados. Los responsables de cada subproceso. Los auditores externos e internos de seguridad. Los recursos necesarios: software, hardware y personal.

Plan de Seguridad
El objetivo del Plan de Seguridad es fijar los niveles de seguridad que han de ser incluidos como parte de los SLAs, OLAs y UCs. Este plan ha de ser desarrollado en colaboracin con la Gestin de Niveles de Servicio que es la responsable en ltima instancia tanto de la calidad del servicio prestado a los clientes como la del servicio recibido por la propia organizacin TI y los proveedores externos. El Plan de Seguridad debe disearse para ofrecer un mejor y ms seguro servicio al cliente y nunca como un obstculo para el desarrollo de sus actividades de negocio. Siempre que sea posible deben definirse mtricas e indicadores clave que permitan evaluar los niveles de seguridad acordados. Un aspecto esencial a tener en cuenta es el establecimiento de unos protocolos de seguridad coherentes en todas las fases del servicio y para todos los estamentos implicados. "Una cadena es tan resistente como el ms dbil de sus eslabones", por lo que carece de sentido, por ejemplo, establecer una estrictas normas de acceso si una aplicacin tiene vulnerabilidades frente a inyecciones de SQL. Quiz con ello podamos engaar a algn cliente durante algn tiempo ofreciendo la imagen de "fortaleza" pero esto valdr de poco si alguien descubre que la "puerta de atrs est abierta".

Aplicacin de las Medidas de Seguridad

Por muy buena que sea la planificacin de la seguridad resultar intil si las medidas previstas no se ponen en prctica. Es responsabilidad de la Gestin de Seguridad coordinar la implementacin de los protocolos y medidas de seguridad establecidas en la Poltica y el Plan de Seguridad. En primer lugar la Gestin de la Seguridad debe verificar que:

El personal conoce y acepta las medidas de seguridad establecidas as como sus responsabilidades al respecto. Los empleados firmen los acuerdos de confidencialidad correspondientes a su cargo y responsabilidad.

Se imparte la formacin pertinente.

Es tambin responsabilidad directa de la Gestin de la Seguridad:

Asignar los recursos necesarios. Generar la documentacin de referencia necesaria. Colaborar con el Service Desk y la Gestin de Incidentes en el tratamiento y resolucin de incidentes relacionados con la seguridad. Instalar y mantener las herramientas de hardware y software necesarias para garantizar la seguridad. Colaborar con la Gestin de Cambios y Versiones para asegurar que no se introducen nuevas vulnerabilidades en los sistemas en produccin o entornos de pruebas. Proponer RFCs a la Gestin de Cambios que aumenten los niveles de seguridad. Colaborar con la Gestin de la Continuidad del Servicio para asegurar que no peligra la integridad y confidencialidad de los datos en caso de desastre. Establecer las polticas y protocolos de acceso a la informacin. Monitorizar las redes y servicios en red para detectar intrusiones y ataques.

Es necesario que la gestin de la empresa reconozca la autoridad de la Gestin de la Seguridad respecto a todas estas cuestiones y que incluso permita que sta proponga medidas disciplinarias vinculantes cuando los empleados u otro personal relacionado con la seguridad de los servicios incumplan con sus responsabilidades.

Evaluacin y Mantenimiento
Evaluacin
No es posible mejorar aquello que no se conoce, es por la tanto indispensable evaluar el cumplimiento de las medidas de seguridad, sus resultados y el cumplimiento de los SLAs. Aunque no es imprescindible, es recomendable que estas evaluaciones se complementen con auditoras de seguridad externas y/o internas realizadas por personal independiente de laGestin de la Seguridad. Estas evaluaciones/auditorias deben valorar el rendimiento del proceso y proponer mejoras que se plasmaran en RFCs que habrn de ser evaluados por la Gestin de Cambios. Independientemente de estas evaluaciones de carcter peridico se debern generar informes independientes cada vez que ocurra algn incidente grave relacionado con la seguridad. De nuevo, si la Gestin de la Seguridad lo considera oportuno, estos informes se acompaaran de las RFCs correspondientes.

Mantenimiento
La Gestin de la Seguridad es un proceso continuo y se han de mantener al da el Plan de Seguridad y las secciones de seguridad de los SLAs. Los cambios en el Plan de Seguridad y los SLAs pueden ser resultado de la evaluacin arriba citada o de cambios implementados en la infraestructura o servicios TI. No hay nada ms peligroso que la falsa sensacin de seguridad que ofrecen medidas de seguridad obsoletas. Es asimismo importante que la Gestin de la Seguridad est al da en lo que respecta a nuevos riesgos y vulnerabilidades frente a virus, spyware, ataques de denegacin de servicio, etctera, y que adopte las medidas necesarias de actualizacin de equipos de hardware y software, sin olvidar el apartado de formacin: el factor humano es normalmente el eslabn ms dbil de la cadena.

Control del Proceso

Al igual que en el resto de procesos TI es necesario realizar un riguroso control del proceso para asegurar que la Gestin de la Seguridad cumple sus objetivos. Una buena Gestin de la Seguridad debe traducirse en una:

Disminucin del nmero de incidentes relacionados con la seguridad. Un acceso eficiente a la informacin por el personal autorizado. Gestin proactiva que permita identificar vulnerabilidades potenciales antes de que estas se manifiesten y provoquen una seria degradacin de la calidad del servicio.

La correcta elaboracin de informes permite evaluar el rendimiento de la Gestin de Seguridad y aporta informacin de vital importancia a otras reas de la infraestructura TI. Entre la documentacin generada cabra destacar:

Informes sobre el cumplimiento, en lo todo lo referente al apartado de seguridad, de los SLAs, OLAs y UCs en vigor. Relacin de incidentes relacionados con la seguridad calificados por su impacto sobre la calidad del servicio. Evaluacin de los programas de formacin impartidos y sus resultados. Identificacin de nuevos peligros y vulnerabilidades a las que se enfrenta la infraestructura TI. Auditoras de seguridad. Informes sobre el grado de implementacin y cumplimiento de los planes de seguridad establecidos.

Caso Prctico
La gestin de "Cater Matters" es consciente que un enfoque sobre la seguridad basado exclusivamente en el concepto de "fortificacin frente a ataques" no se corresponde con las necesidades de negocio. Es importante que los clientes de "Cater Matters" tengan acceso a informacin actualizada sobre sus pedidos, pagos pendientes, etctera y eso requiere la interaccin con el ERP de la empresa. Esto, obviamente, presenta algunos problemas de seguridad adicionales pues han de abrirse canales al exterior desde el ncleo TI de la organizacin. La direccin de "Cater Matters" ha decidido crear una serie de Web Services que permitan el acceso a dicha informacin preservando su confidencialidad e integridad. Esto requiere la revisin del Plan de Seguridad y las secciones de seguridad de los SLAs en vigor. Como medidas de seguridad bsicas:

Se limitan los rangos de IPs que pueden acceder al servicio. Slo IPs autorizadas de clientes podrn disponer del servicio. Se implementan protocolos de encriptacin de los archivos XML intercambiados. Se requiere autenticacin para el acceso al servicio. Se monitoriza la interaccin con la aplicacin para detectar posibles ataques externos. Se guarda un registro de uso: quin, cundo y cmo utiliz la aplicacin. Se autoriza un solo canal de entrada a los servidores locales a travs de los servidores web de la empresa.

Se propone una evaluacin peridica del servicio con el objetivo de detectar vulnerabilidades y adoptar medidas correctivas.

El objetivo es dar un servicio de calidad y con altos niveles de seguridad que fidelice a los clientes en un tiempo de rpido desarrollo en el que la competencia se encuentra a un "solo clic de distancia".