Feeds:
Entradas
Comentarios

Sin lugar a dudas, es una de las herramientas tecnológicas más utilizadas por empleados en todo el mundo.  El correo electrónico nos tiene ocupados gran parte del día; nos pasamos una buena parte de nuestra jornada diaria recibiendo y enviando mensajes de correo a compañeros de trabajo, proveedores y clientes en todo el mundo.

Según un estudio recientemente publicado por Radicati Group, el uso del correo electrónico va en aumento explosivo. Este año existen cerca de 4.116 millones de cuentas de correo electrónico, de las cuales 974 millones son cuentas de empresas, y para el 2018 se espera llegar a los 5.000 millones de cuentas. Por otro lado, cerca de 190 billones de correos electrónicos se envían a diario, siendo más de la mitad de ellos de carácter empresarial.

Debido a su masivo uso, el correo electrónico frecuentemente ha sido blanco de ataques informáticos. Estos ataques han ido evolucionando con el pasar del tiempo; hemos pasado de la época del famoso virus “I love U” a variantes bastante más evolucionadas y dirigidas, como lo son el phishing y otras técnicas similares que están asociadas a los conceptos de Ingeniería Social que  Kevin Mitnick viralizó y que tan increíblemente explica en su libro “The Art of Deception”.

De  hecho y dentro del mismo contexto, cabe destacar que los ataques informáticos más exitosos suelen ser aquellos que se aprovechan de las prácticas poco adecuadas que tenemos en el manejo de este tipo de herramientas, y de nuestra excesiva en el diario vivir. Por lo mismo, a continuación les entrego un conjunto de buenas prácticas a ser tomadas en cuenta en cuanto al uso del correo electrónico.

1) No crea todo lo que lee…

Usted va llegando a su casa y ve a un desconocido mirando insistentemente al interior de su hogar. ¿Qué piensa usted al respecto? Probablemente, le llamará la atención de inmediato, puesto que se encuentra ante una situación anormal. ¿Por qué no actuamos de igual manera con el uso de nuestras herramientas tecnológicas? El correo electrónico es una fuente de llegada de múltiples mensajes de todo tipo, y de todas partes. Sin embargo, ¿usted abre la puerta a todo desconocido que se acerque a tocarla? Con el correo electrónico deberíamos pensar de manera similar. Por dar un ejemplo sencillo, si trabajamos en una empresa local que no tiene contacto con proveedores ni partners en el extranjero, ¿qué tan razonable es recibir un correo en inglés?  Muchas veces abrimos correos sin preguntarnos su procedencia, incluso llegando a abrir correos que vienen en un idioma distinto al cual utilizamos a diario en nuestras labores. Este fenómeno generalmente se encuentra mitigado por los motores Antispam de nuestras compañías, pero en algunas ocasiones estas herramientas dejan pasar algunos correos de fuentes desconocidas.

Por otro lado, un tipo de ataque muy frecuente a través del correo electrónico es conocido como el “Hoax”. ¿A quién no le ha llegado alguna vez un correo advirtiendo sobre una herencia millonaria en Europa, un niño secuestrado en Nigeria o una oferta irresistible de teletrabajo con sueldos y comisiones atractivas?  Definitivamente, no crea en todo lo que recibe.

2) Hipervínculos engañosos

Hoy por hoy el phishing se ha transformado en uno de los ataques más difundidos a nivel mundial. Corresponde a una técnica de ingeniería social – fraude basado en la confianza –  en donde suelen colocarnos en una situación compleja (una giro no autorizado de nuestra cuenta bancaria, el pago de una multa o la infección de nuestro equipo), para luego sugerirnos amablemente hacer clic en el vínculo que nos permitirá solucionar el problema de raíz. Y precisamente en este inocente vínculo está el engaño: Dicho vínculo no tiene nada de inocente y nos llevará a una página que es la réplica de la original, generalmente residente en un sitio extranjero y que al momento de ingresar nuestras credenciales nos arrojará un error y nos derivará al sitio real, no sin antes quedarse con una copia de nuestras credenciales.

En este sentido, lo más recomendable es nunca hacer clic en un hipervínculo que venga en un correo electrónico. En lo personal, cuando me llega un correo con hipervínculos suelo pararme sobre el mismo, dar clic secundario y seleccionar la opción “copiar hipervínculo” para luego pegarlo en un portapapeles y examinarlo detenidamente. Así puedo entender en donde el atacante mantiene residiendo su página falsa. Cuando el hipervínculo me llega de parte de un compañero de trabajo, suelo tomar el teléfono y preguntarle directamente si quiso enviarme un vínculo a alguna página. Una de las maneras más eficientes de salir de dudas cuando uno cree ser víctima de un ataque de ingeniería social es contactarse directamente con las fuentes.

3) Tenga cuidado con lo que envía

Muchas veces centramos nuestra atención solamente en el correo entrante, pero no tenemos el mismo nivel de atención con el correo que enviamos a diario. Debemos recordar que por lo general en nuestro día a día hacemos uso y manejamos información confidencial, y el correo electrónico suele ser una herramienta muy utilizada para enviar dicha información a otras personas.

En ese sentido, es muy recomendable validar a conciencia los destinatarios de un correo electrónico, sobre todo si en dicho correo vamos a adjuntar información de relevancia para nuestro trabajo.  Muchas veces al utilizar la opción “Responder a todos” terminamos enviando datos a quien no necesitaba acceder a ellos, y por otro lado, basta un pequeño error en el nombre o en el apellido (sobre todo en compañías con un alto número de empleados) para que nuestros archivos confidenciales vaya a dar a manos de quien no corresponde.

Como complemento a esta preocupación, una buena práctica es etiquetar nuestros correos salientes en base al nivel de confidencialidad de la información que vaya en ellos. En ese sentido, las soluciones de prevención de fuga de información (DLP o Data Loss Prevention) suelen implementar estas medidas de control de forma automática, protegiendo además nuestros adjunto de tal manera que aunque los hayamos enviado por error a otra persona esta no pueda visualizar la información contenida en el correo si no le corresponde hacerlo.

Estas sencillas prácticas nos ayudarán a utilizar de mejor manera esta popular herramienta tecnológica, evitando de pasada que pasemos un mal rato en el trabajo o que incluso lleguemos a comprometer información personal de relevancia. ¡Nos vemos en otra ocasión para compartirles más tips de seguridad!

Cómo ha pasado el tiempo. El otro día – el 2 de Septiembre, para ser más exacto – me llegó a mi correo una solicitud de aprobación de un comentario de este blog. Y recién ahí vine a darme cuenta que han pasado casi 3 años desde mi última publicación en este sitio. Y vaya que ha pasado agua bajo el puente. Tanta como puedan imaginarse. Y posiblemente más.

Y en estos casi 10 años que llevo metido en el mundo de la Seguridad de la Información he deambulado por los distintos ámbitos y escenarios que ofrece este fascinante mundo. Desde el mundo de la pedagogía, la investigación y desarrollo, las soluciones técnicas de seguridad y ahora último, el amplio mundo de la gestión; formando parte del mundo de los clientes y también del mundo de los proveedores.

Casi 3 años han pasado desde la última vez que escribí en este blog. Y hoy decidí volver a darme una vuelta por éste, que fue mi hogar virtual por tanto tiempo, para abrir el debate sobre una pregunta que me siempre me dado vueltas por la cabeza referente al mundo de la seguridad de la Información.

La Seguridad y el Negocio, ¿Son amigos o rivales?

Es sin duda una pregunta que difícilmente podremos resolver acá.

Recuerdo mi época de proveedor de servicios. Trabajaba en el área más desafiante de cualquier consultora de tecnología: el área de seguridad de la información. Vender una solución de seguridad era sin duda un gran desafío; lograr vender un proyecto o servicio de seguridad era mucho más complejo que vender una actualización de Exchange o de Directorio Activo. Nuestra facturación siempre estaba en la cuerda floja, y había que extremar recursos para poder vender una migración de la plataforma antivirus, o un análisis de las políticas de grupo de una compañía o de las prácticas de seguridad de servidores que tenían en el área de informática. Siempre me pregunté el por qué se hacía tan difícil implementar este tipo de soluciones.

Pasaron los años y ya conociendo la otra cara de la moneda – vale decir, el lado del cliente – es que logré entender un poco mejor en donde residía la dificultad de introducir mejoras de seguridad en el mercado. Y es que por regla casi general, la seguridad es vista como un enemigo natural del negocio. Y es algo de lo cual no necesariamente podemos culpar a las organizaciones, ni al sistema. Hasta cierto punto, la seguridad si es enemiga del negocio. Los controles de seguridad incorporan actividades que impactan en tiempo y complejidad a los procesos. Pasando por el simple ejemplo de un firewall, que al ser implementado necesariamente introduce un delay en el flujo de paquetes, un antivirus que revisa constantemente los archivos en búsqueda de secciones de código que coincidan con algunas de las firmas existentes en la base de datos del motor o un proceso formal de autorización de intercambio de información, que incorpora actividades de análisis de riesgo que pueden dilatar la entrega de los datos en uno o dos días. Mirado desde ese punto de vista, la seguridad suele entorpecer el negocio, lo cual tiende a generar un rechazo casi inmediato del usuario final que desea maximizar su producción y quedar más cerca de cumplir con las metas de su negocio, lo que generalmente está asociado a la obtención de un bono de desempeño.

Por otro lado, la seguridad tiene el gran inconveniente de estar asociada intrínsecamente al concepto de Riesgo. En otras palabras, las soluciones de seguridad de la información consisten por lo general en controles que nos protegen sobre situaciones que no sabemos con certeza si van a ocurrir. “Pero si no hemos tenido un incidente en años” es un argumento al que constantemente los especialistas de seguridad de la información se ven enfrentados al defender la incorporación de un nuevo control en un proceso que “hasta ahora no ha fallado nunca”. La complejidad que tiene el cálculo del ROI (Retorno de inversión) de una solución de seguridad es otro factor a favor de la definición de la seguridad como un rival del negocio.

Sin embargo, la seguridad de la información no es necesariamente un rival del negocio. El establecer controles ciertamente puede hacer las cosas más lentas, pero puede por otro lado garantizar la continuidad de nuestro negocio, algo que si es ampliamente valorado por el mercado actual. O puede evitarnos la exposición a multas, sanciones o incluso la pérdida de nuestra imagen corporativa. El dicho de “no sabes lo que tienes hasta que lo pierdes” cobra gran sentido en este aspecto.

¿Cómo poder transformar la visión clásica de la seguridad como un enemigo del negocio en algo totalmente opuesto a ello?

¿Que opinan ustedes?

¡Bienvenidos de vuelta!

Cambios

 

En la vida existen distintos tipos de cambios. Algunos buenos, otros malos, otros inesperados y otros largamente deseados; sin embargo, aquellos cambios que realmente pueden transformar nuestras vidas se pierden, pues los dejamos ir debido al miedo que nos invoca la rutina, lo repetitivo, lo monótono, la comodidad en la que nos solemos encontrar cuando nos enfrentamos a ellos.

Todo cambio es una apuesta, en la que creemos que se puede ganar mucho pero a la vez se puede perder mucho también. Sin embargo, pocas veces visualizamos que en realidad todas aquellas cosas que podríamos perder en realidad no serán una pérdida, sino que más bien un sacrificio, una inversión, para llegar un poco más arriba del lugar donde estamos antes. Y en ese sentido, suelo siempre recordar una historia que leí en un libro cuando era 10 o 15 años más joven.

La historia hacía un paralelismo entre la vida y un edificio de departamentos. Nosotros partimos nuestra vida en el primer piso de este edificio, en el departamento más incómodo, frío y oscuro del lugar. Y a medida que ganamos experiencia, que vencemos en nuestras propias batallas personales, nos vamos moviendo de departamento en departamento en ese piso, a condiciones cada vez mejores, consiguiendo respeto y admiración de nuestros pares, hasta llegar al final del piso. Más cómodos no podemos estar; somos los más experimentados, los más sabios, los que viven en mejores condiciones del piso. Es ahí donde hemos llegado al fin de una etapa y es en ese momento donde cae una escalera desde el piso superior. Es la posibilidad de enfrentar un cambio, un cambio de nivel.

Y es ahí donde se plantea la gran paradoja del cambio. ¿Nos movemos? ¿Apostamos por un piso más arriba? Estamos cómodos donde estamos… Nos respetan, ¡nos admiran!. Somos los reyes del piso. ¿Y qué habrá arriba? ¿Valdrá la pena subir y enfrentar nuevos desafíos, o nos quedamos en nuestro marco de comodidad?

A través de los años, me ha tocado conocer visionarios y rutinarios. He visto gente que ha subido esa escala sin dudarlo, otros que lo han hecho con temor y muchísimos que han preferido la comodidad que las libertades que han obtenido con el tiempo. Mal que mal, el afrontar un cambio no es fácil. La ceguera y el temor a los cambios puede transformarse en un eterno castigo que mantiene a las personas atadas al piso de su edificio, viendo como algunos dan el salto, despidiéndose de ellos cada vez.

Hace algunos meses tuve la sensación de que había llegado al último departamento de mi piso. Y hace algunas semanas, la escala del piso superior bajó. Pensé en mis múltiples libertades y como las perdería. Pensé en utilizar corbata y entrar temprano todos los días. Pero también pesé rápidamente en el tremendo desafío y las posibilidades de crecer que afrontaría. Y decidí subir.

El día de mañana, a poco más de 7 años de haber obtenido mi título profesional, comienzo una nueva etapa. Lo que yo he llamado la fase de la especialización. Es un gran cambio sin duda, y no tengo otra cosa que muchas ganas de empezar a vivir dicho cambio.

Espero volver pronto a escribir en el blog, pero para comenzar a hablar de este nuevo gran mundo al cual comenzaré a enfrentarme: El mundo de la gestión de la seguridad.

 

Según la Wikipedia, Liderazgo está definido como "el proceso de influir en otros y apoyarlos para que trabajen con entusiasmo en el logro de objetivos comunes. Se entiende como la capacidad de tomar la iniciativa, gestionar, convocar, promover, incentivar, motivar y evaluar a un grupo o equipo".
 
Y bien, hace bastante rato que vengo reflexionando sobre lo que el liderazgo y su importancia en la vida laboral. Y es que ser líder es difícil, porque a mi juicio el liderazgo implica por sobre todas las cosas empatía con el equipo al cual el líder lidera (valga la redundancia).
 
Los líderes naturales suelen ser personas profundamente carismáticas, estudiosas de la gente y del ambiente, con un amplio sentido de la estrategia y con la capacidad de convencimiento necesaria para hacer que su equipo crea fehacientemente en su visión, independiente de que esta sea buena o mala. Porque a final de cuentas, han existido líderes tan potentes que han hecho creer a naciones enteras en cosas que hoy, 50 o 60 años después, encontramos simplemente aberrantes.
 
Si tuviese que hacer clasificaciones, creo que simplificaría todo a dos tipos de líderes. Por un lado existen los líderes motivadores, los que resaltan las virtudes de las personas que están en su equipo, buscando constantemente maneras de mejorar sus defectos o anularlos con las virtudes de otra persona. Los líderes motivadores siempre piden todo por favor, agradecen cuando se cumple el objetivo y no dudan en decir un ¡bien hecho! con mucho entusiasmo. El lider motivador logra, a través de un discurso cargado de energía, prender a la gente que lo rodea, entusiasmarse con el cumplimiento de los objetivos planteados y haciéndolos sentir parte importante de la tarea en total.
 
La labor de un líder motivador suele ser desgastante. Debe estar atento a los problemas de su equipo y tratar de resolverlos con prestancia, debe planificar que hacer para resolver las dificultades adicionales que se sucedan en el tiempo, y debe tener la sabiduría necesaria para salomónicamente poner fin a los problemas internos sin entrometerse demasiado.
 
Por otro lado, están los líderes desmotivadores. Utilizando el amedrentamiento y la amenaza como aliados, hablan golpeado, imponen reglas y castigos, hacen ver el objetivo final como algo que se debe cumplir "porque sí" y buscan la sumisión como método para mantener a su equipo de trabajo en acción. Rara vez destacan el buen trabajo de la gente y se limitan a decir "es tu trabajo".
 
¿Qué tipo de  líderes conocen ustedes?
Sin duda, las dantescas escenas que nos llegan a diario desde Concepción y sus alrededores nos muestran el otro lado del terremoto que hemos vivido en Chile el sábado recién pasado: El lado tecnológico del terremoto, del cual les hablo a continuación.
 
La continuidad de negocio tiene por objetivo tomar todas las precauciones necesarias para hacer funcionar a una compañía – del rubro que sea – y mantener sus servicios operativos, pase lo que pase. Y para poder mantener operativo un negocio, "pase lo que pase", es necesario ponerse en el peor de los escenarios. Y hoy por hoy, difícilmente podremos imaginar un escenario peor que el que hoy está viviendo nuestro país: un violento terremoto, seguido de un tsunami que es capaz de dejar cables, edificios, centros de datos y de comunicaciones en el suelo, en cosa de segundos.
 
Tecnológicamente hablando, este es quizá el desafío más grande que ha tenido nuestro país en su historia. Nos hemos dado cuenta lo frágil que es nuestra humanidad sin agua y sin luz. Si nos ponemos a enumerar las consecuencias tecnológicamente visibles, los miles de cajeros automáticos reseteados, la dificultad para fabricar pan y para distribuir agua en zonas elevadas (muchas veces esta distribución se realiza con bombas eléctricas) son los primeros que se vienen a la mente colectiva. Sin embargo, podemos mirar como este evento de gran magnitud gatillo la ejecución de los planes de recuperación de desastre en las principales compañías de servicios básicos en nuestro país, empezando rápidamente el proceso de normalización de los mismos en todo el territorio afectado.
 
Un plan de recuperación de desastre (DRP) es parte medular del plan de continuidad de negocio. Corresponde a un documento detallado de procedimientos, que prepara a la compañía para responder rápida y eficazmente ante cualquier incidente de seguridad que pueda afectar severamente la continuidad del negocio. A este incidente es al cual llamamos "desastre". Un plan de recuperación de desastre debe ser capaz de proveer instrucciones claras y precisas, coordinando las distintas fuerzas existentes en la compañía en la más amplia variedad de desastres: Terremotos, Tsunamis, Atentados, Incendios, Inundaciones, Cortes de energía e incluso fallas de hardware de cualquiera de los servidores críticos de la compañía deberán formar parte de este vital documento.
 
En líneas generales, la construcción de un plan de recuperación de desastres se inicia con un árduo proceso de levantamiento de los activos de la compañía. Los activos de información corresponden a la información misma, el software y hardware que lo soportan y los procesos con los cuales opera. Una vez realizado este levantamiento, es posible determinar a través de complejos estudios de tipo económico cuales activos son más valiosos para la organización y, por ende, cuales deben ser cubiertos con una mayor cantidad de recursos por parte de la misma. Este proceso, conocido como BIA (Bussiness Impact Analysis o análisis de impacto de negocio) permite optimizar el uso de recursos, y debe considerar los costos directos e indirectos que los diferentes incidentes de seguridad causan a los activos, además de la probabilidad de ocurrencia de los mismos. Tomando un ejemplo muy actual en nuestro país, un terremoto es un incidente altamente destructivo, con una probabilidad de ocurrencia media-baja, aunque bastante más probable que un tornado (algo – hasta ahora – casi imposible en nuestro país, gracias a la Cordillera de Los Andes).
 
Ahora, ¿cómo medir el impacto de los incidentes? Esta es una labor a veces titánica. Si ponemos por ejemplo, la página web de un banco como un activo de información, para poder calcular el impacto de un incidente en dicho activo debe considerar, entre otros costos:
 
a) Las horas hombre que cuesta volver el sitio a su funcionamiento normal
b) La inversión en software/hardware que esto pueda implicar
c) La cantidad de transacciones que no se realizaron (medible estadísticamente)
d) La cantidad de clientes potenciales que no se afiliaron al banco porque el sitio estaba abajo (también medible estadísticamente)
e) Las multas de los entes fiscalizadores por la falla
f) Los clientes que decidieron dejar de ser clientes del banco por la falla
g) Las posibles demandas recibidas por clientes
h) El daño a la imagen del banco
 
Como se puede ver, muchos de estos valores son bastante difíciles de inferir. Sin embargo este análisis es clave para priorizar las medidas a tomar sobre los activos de la organización.
 
Una vez categorizados e inventariados los activos, es necesario escribir los planes de continudad de negocio. Para ello, generalmente se define una etapa inicial de reconocimiento o evaluación de los daños debido a los incidentes existentes en cada uno de los escenarios definidos, para luego definir procedimientos estándar para la recuperación de cada uno de los componentes del activo en sí. Esto, entre otras cosas, debe considerar la recuperación de los datos, de los sistemas base que soportan el activo y de los componentes de comunicación, entre otros. Así, dependiendo del escenario definido se considerará la falla de uno o varios componentes anteriormente nombrados, lo que termina facilitando la redacción del plan en sí. Bajo este prisma, en la redacción de un DRP no habrá mucha diferencia entre un terremoto y un incendio del centro de datos, ya que en ambos casos los fallos provocados a los sistemas probablemente sean muy semejantes.
 
Dentro de la redacción de los DRP, también es muy importante determinar la manera en que los distintos activos se relacionan entre sí. Si esto no se considera, la ejecución del DRP puede añadir problemas nuevos que no estaban considerados y que de hecho podrían superar al problema original.
 
Finalmente, es clave poder probar los planes y actualizarlos de manera regular. Nuestro país en estos días ha vivido una prueba de fuego, y la mayoría de las compañías clave han logrado responder de manera bastante adecuada. A pocas horas del terremoto, muchos ya poseían los servicios básicos e incluso eran capaces de colocar en los distintos medios masivos de internet (Facebook, Twitter) sus primeras impresiones del terremoto. Es más, hace pocos minutos me comuniqué por MSN con un amigo que vive en Concepción, el epicentro de esta megacatástrofe, a poco menos de 96 horas de la misma, pese a que el terremoto arrasó con el sistema interconectado central de energía eléctrica y probablemente con gran parte del sistema telefónico. Aunque suene algo frívolo, la correcta definición de los DRP de estas compañías lograron dar una respuesta relativamente rápida; de no haber estado debidamente preparados para enfrentar este gran reto, probablemente hubiesen pasado semanas antes de que estos "milagros tecnológicos" salieran a la luz.
 
Este artículo está dedicado al pueblo chileno, y en particular a los amigos y conocidos de la zona sur de nuestro país. Fuerza Chile.

Al finalizar la primera parte de este artículo, les comentaba que existen en el mundo varias iniciativas orientadas a normar la seguridad de la información en las organizaciones. Algunas han llegado a transformarse en normas y son certificables, mientras que otras son sólo códigos de buenas prácticas o tocan de forma indirecta buenas prácticas asociables a la seguridad de la información.

Y es que en realidad es difícil crear una “norma de seguridad” que sea válida para todo el mundo. Y esto se debe sencillamente a dos cosas. La primera de ellas es lo que yo llamo “el paradigma de la seguridad”, o en otras palabras, la disyuntiva que existe entre seguridad y funcionalidad. Estos dos conceptos suelen ser como dos personas tirando de una cuerda; es decir, al ganar terreno uno, pierde terreno el otro. A no ser que incurra en costos adicionales – algo que generalmente no es visto con buenos ojos, sobre todo en el mercado latinoamericano – el aumento de la seguridad en una organización implica una disminución en las funcionalidades existentes, lo que en casos extremos puede afectar duramente la productividad. Por el contrario, el añadir nuevas funcionalidades o aumentar las cartas en el naipe del usuario, no hace otra cosa que abrir nuevos riesgos potenciales, lo cual está estrictamente relacionado con el concepto de “superficie de ataque”.

La segunda de las razones que hace difícil la creación y aplicación de una norma universal de seguridad tiene relación con la idiosincrasia de cada compañía, organización o institución. Y en ese sentido, esta es la explicación más frecuente ante el fracaso de una norma estadounidense en países de América del Sur. Cada empresa tiene su propia huella digital, su foco de trabajo, las herramientas que tiene que tener disponibles y las que no, y en muchos casos, la aplicación inflexible de una normativa termina trayendo más problemas que beneficios. En esto también influye mucho la “cultura organizacional” reinante y el “nivel de conciencia” de seguridad que tengan los distintos usuarios. Y que mejor ejemplo que el uso de messenger: mientras algunas compañías lo ven como un foco de ocio y un riesgo para mantener la productividad a niveles aceptables, otros lo ven como una herramienta indispensable para una comunicación ágil y eficiente entre personas que se ubican en lugares remotos. Lo mismo pasa con la definición del SPAM: Para la mayoría de la gente los correos de “ciertos medicamentos” son claramente correo no deseado, mientras que para algunos esos correos si pueden prestarles ayuda. Es por esto que por lo general las normativas o códigos de buenas prácticas de seguridad terminan siendo bastante ambiguos en su definición.

Revisemos entonces algunas de las normas más conocidas en el mundo de la seguridad:

BSI, los pioneros

El instituto británico de estándares (BSI) se puede jactar de ser una de las primeras instituciones que se dedicó en serio a tratar el tema de la seguridad de la información. De hecho, en 1995, la BSI publicó la primera versión de la famosa normativa BS 7799:1, conocida como “Information Security Management Standard”, el cual consiste en un código de buenas prácticas para la administración de la seguridad de la información. La principal fortaleza teórica de esta normativa es la división inteligente de la seguridad de la información en distintos “dominios”. Originalmente, estos dominios son 10 y se los presento a continuación:

  1. Política de seguridad corporativa. Implica la estructura, contenidos y sentido de la política de seguridad corporativa, la cual debe adaptarse a la realidad de la compañía y las necesidades de seguridad de la misma.
  2. Infraestructura de seguridad de la información. Implica la manera en que las compañías deben organizarse internamente para poder controlar de forma efectiva la seguridad de la información de forma interna. Esto implica además la existencia de procedimientos escritos para aquellas acciones en donde pueda existir un impacto en la seguridad de la información, de tal manera que se puedan definir los roles y las responsabilidades de cada uno de los participantes en dichos procesos.
  3. Control y clasificación de activos. En este punto, se abarca la definición de niveles de confidencialidad para los activos de información y la posterior clasificación de los mismos en dichos niveles. Este punto suele ser crítico y guarda estricta relación con el concepto de continuidad de negocio, que también es abarcado por este estándar.
  4. Seguridad del personal. En este punto, se trata el tema de las personas y su relación con la seguridad. Entre otras cosas, se abarca el concepto de “awareness” o “conciencia” de seguridad, y la implicancia de la seguridad en los procesos de selección y de desvinculación del personal.
  5. Seguridad física. Este dominio abarca los conceptos asociados al control de acceso físico a la información, abarcando también la seguridad en el diseño de las instalaciones orientadas al almacenamiento de información.
  6. Administración de comunicaciones y operaciones. Este dominio implica la creación de procedimientos para la administración y operación de todas las unidades de procesamiento de información, incluyendo operación detallada y respuesta a incidentes. Además, abarca los conceptos de seguridad de redes, el acceso remoto, el intercambio de información con terceros y el comercio electrónico.
  7. Control de acceso. Orientado al control de acceso lógico, este dominio controla los procesos de negocios que impliquen acceso a la información. Esto incluye la definición de políticas de control de acceso, administración del acceso de usuario, administración de privilegios, políticas de contraseñas, revisión de derechos de usuario, definición de métodos de autenticación de usuario, segmentación de redes, controles de acceso de red, NAC (O NAP, si lo llevamos a Windows 2008), monitoreo de sistemas y otros.
  8. Desarrollo y mantenimiento de sistemas. Este control abarca los procedimientos necesarios para controlar los procesos de desarrollo, QA y paso a producción de los distintos sistemas propios de una compañía. Aspectos críticos como el control de versiones, la documentación, y la definición de requerimientos de seguridad en cada una de estas etapas, además del concepto de desarrollo seguro son controlados por este dominio.
  9. Administración de la continuidad de negocio. La definición de estrategias, estándares, procedimientos y la posterior implementación de tecnologías orientadas a obtener respuestas ágiles a incidentes y así asegurar la continuidad de los sistemas que soportan la información en el tiempo es parte de los temas abarcados por este dominio. El plan de continuidad de negocio es el fruto de una correcta clasificación de activos de seguridad, de la determinación concreta y objetiva de las criticidades de los sistemas que soportan la información, de la consideración de todos los factores de riesgo existentes, de la redacción de medidas claras y concretas y de su posterior prueba y constante actualización. El plan de continuidad de negocio está íntimamente relacionado con el plan de recuperación de desastres, que se pone en el peor de los casos posibles al cual podría enfrentarse la organización.
  10. Compliance. Finalmente, el último dominio de la normativa abarca la adaptación de todos los otros puntos anteriormente tomados a las normativas legales vigentes en el país de aplicación de la norma, además de definir cuál es la estrategia para cumplir con los requisitos planteados en los 9 dominios anteriores.

La BS7799:1 abarca estos 10 dominios a través de 127 controles, que no son otra cosa que requisitos que deben ser cubiertos por la compañía que busca adaptarse a esta norma. Y es aquí donde algunos controles son algo ambiguos.

En 1999, BSI asestó el segundo golpe. Y lo hizo publicando la segunda parte de la norma, titulada “Information Security Management Systems: Specification with guidence to use”. Esta parte de la norma se enfoca en el concepto de la implementación de un ISMS (Information Security Management System). Como lo dice su nombre, un ISMS es un conjunto de políticas y procedimientos orientados a administrar de manera eficiente y efectiva la seguridad de la información a través del tiempo. Esto implica el uso de un concepto clave, que se repite en la mayoría de los frameworks orientados a la seguridad y a la madurez de los sistemas. Estamos hablando del PDCA, el cual fue incorporado a la BS7799:2 en el año 2002.

 1111111111111

En otras palabras, el PDCA indica que en una primera etapa se debe hacer un análisis de riesgo que permita identificar los puntos débiles y las prioridades que existen en la compañía, para posteriormente diseñar el conjunto de políticas, procedimientos y soluciones orientadas a mitigar los riesgos encontrados (Plan). Luego, en la siguiente fase se debe implementar el conjunto de soluciones anteriormente diseñadas y operarlas (Do). Esto debe ser acompañado de una constante revisión y monitoreo de las estrategias, políticas y soluciones entregadas, a fin de detectar fallas o deficiencias en la implementación del plan (Check), para finalmente, una vez establecidos los puntos de mejora, proponer nuevas ideas (Act) para volver a ser diseñadas (volvemos a Plan). La tercera parte de la BS779 fue publicada en 2005, y abarca el concepto de análisis de riesgo.

Sin duda y como sucede con todo pionero, BS7799 fue la base de otro de los gigantes en cuanto a normativas: La organización internacional de estándares (ISO) quien sacó dos familias de políticas inspiradas en la BS7799: La ISO 17799 y la ISO 27001. Estas dos normas serán parte del análisis de la tercera parte de es artículo. Nos vemos pronto y pasen felices fiestas!

Sin duda alguna, la seguridad de la información pasó de ser una inquietud a ser una función más en el negocio de cualquier empresa o institución que maneje información valiosa de sus clientes. Ya sea el historial médico, los antecedentes financieros o cualquier otro tipo de dato de negocio, un conflicto o incidente de seguridad que ponga en riesgo datos como éstos puede desembocar en cuantiosas pérdidas para quienes soportan o administran dicha información. En la siguiente seguidilla de artículos pondremos en la palestra varios puntos críticos sobre el que debería ser el gran desafío de toda organización que quiera incorporar la seguridad a su ADN corporativo: El compliance de seguridad.

Y para partir, cabe preguntarse: ¿Qué significa compliance? Como en muchas otras ocasiones, esta es una palabra de la lengua inglesa que guarda relación con el término “cumplimiento”. Y dentro de este contexto, el compliance apunta a una serie de requisitos mínimos que deben ser cubiertos para poder adoptar un nivel estándar de seguridad, que garantice – así como una ISO 9001 lo hace con la calidad – la seguridad no sólo de nuestros sistemas, sino que de nuestros procesos y de nuestra forma de acceder, editar, almacenar, distribuir y – en general – administrar los activos de información.

Y de aquí nace la segunda pregunta lógica. ¿Qué podemos definir por información? Un activo de información se va a definir como toda aquella cosa – tangible e intangible – que guarde relación directa o indirecta con cualquier dato cuya integridad, confidencialidad y disponibilidad deba ser garantizada por nosotros. Bajo esta definición, un activo de información suele pertenecer a las siguientes categorías:

  1. La información por si misma, como por ejemplo un correo electrónico, una hoja de papel con el detalle de los sueldos del área de servicios de una compañía, una presentación con la visión estratégica de un negocio o el resultado de una conversación informal donde un cliente entrega detalles importantes para adjudicarse un proyecto;
  2. Los medios físicos y lógicos que la soportan, como por ejemplo una base de datos, un servidor de correo electrónico, o un archivador con los contratos del personal de una compañía, o un portal de intranet (como SharePoint) y,
  3. Las personas que manejan dicha información, como el administrador de un sistema o un gerente de investigación y desarrollo.

Pues bien, uno de los primeros y más grandes desafíos que presenta el compliance de seguridad en cualquier compañía tiene que ver con la idiosincrasia de las mismas. Y de hecho, este fue el primer gran desafío al cual se enfrentaron las normativas de seguridad de la información a nivel mundial. Hace varios años atrás, la BS (British Standard) sacó uno de los más conocidos códigos de buenas prácticas de seguridad: BS7799 (Que de hecho, inspira la normativa chilena de seguridad de la información, la NCh 2777). Esta normativa puso en la mesa varios aspectos claves relacionados con la seguridad de la información. Sin embargo, uno de los problemas que tiene esta normativa – que de hecho, hereda la norma chilena – es la dificultad de poder adaptarla a la realidad única e irrepetible de nuestras empresas u organizaciones.

¿Por qué sucede esto? La respuesta a esta pregunta  no es tan simple, y establece uno de los principales paradigmas teóricos que tiene la seguridad de la información, y que corresponde a la dicotomía que existe entre la seguridad y la funcionalidad. Una de mis frases favoritas con respecto a la seguridad de la información es “no hay medida de seguridad popular”, y es que por lo general las visiones clásicas de la seguridad apuntan a las restricciones, y las restricciones lógicamente se transforman invariablemente en impactos directos o indirectos a la productividad de una compañía. O al menos, eso parece a primera vista, y es de hecho la percepción que tienen muchos usuarios en todos lados. ¿Es tan así? Este es un tema que da para un amplio debate; en lo personal pienso que en algunos casos, las restricciones de seguridad pueden ser un aporte a la productividad de una organización, puesto que disminuyen la posibilidad de fallas, minimizan el downtime de nuestras compañías y en muchos casos, hacen más rápido y expedita la operación de las labores de soporte y recuperación de nuestros sistemas. Sin embargo, otros resaltan – no sin justa razón – que en muchos casos las medidas de seguridad aumentan los tiempos de procesamiento de la información, afectando directamente el rendimiento o los resultados del negocio. Sin duda, es un tema que da para mucha discusión y que pretendo abarcar en artículos a futuro.

Volviendo al tema del compliance, existen varias instituciones internacionales que han hecho frente a este desafío de generar una normativa de seguridad que sea aplicable y que por sobre todo, sea tangible en su aplicación. Así, nos encontraremos con diferentes normativas y/o metodologías de seguridad las cuales podremos adoptar para nuestra organización. Si queremos iniciar un camino serio hacia la meta del compliance de seguridad, lo primero que tendremos que tener presente es la elección de un marco o metodología de buenas prácticas de seguridad a la cual adherirnos.

En el próximo capítulo de esta serie de artículos, revisaremos una a una las principales normativas y metodologías de seguridad de la información, desde sus fundamentos, y veremos sus semejanzas y sus diferencias. Así que si quieren conocer un poquito más de la ISO de seguridad, COBIT, el aporte de SOX en lo que es seguridad TI, la BS, el estándar del NIST y la norma chilena de seguridad de la información, los invito a seguir atento a los Tips de seguridad de este humilde servidor. :)

Seguir

Recibe cada nueva publicación en tu buzón de correo electrónico.