Al finalizar la primera parte de este artículo, les comentaba que existen en el mundo varias iniciativas orientadas a normar la seguridad de la información en las organizaciones. Algunas han llegado a transformarse en normas y son certificables, mientras que otras son sólo códigos de buenas prácticas o tocan de forma indirecta buenas prácticas asociables a la seguridad de la información.
Y es que en realidad es difícil crear una “norma de seguridad” que sea válida para todo el mundo. Y esto se debe sencillamente a dos cosas. La primera de ellas es lo que yo llamo “el paradigma de la seguridad”, o en otras palabras, la disyuntiva que existe entre seguridad y funcionalidad. Estos dos conceptos suelen ser como dos personas tirando de una cuerda; es decir, al ganar terreno uno, pierde terreno el otro. A no ser que incurra en costos adicionales – algo que generalmente no es visto con buenos ojos, sobre todo en el mercado latinoamericano – el aumento de la seguridad en una organización implica una disminución en las funcionalidades existentes, lo que en casos extremos puede afectar duramente la productividad. Por el contrario, el añadir nuevas funcionalidades o aumentar las cartas en el naipe del usuario, no hace otra cosa que abrir nuevos riesgos potenciales, lo cual está estrictamente relacionado con el concepto de “superficie de ataque”.
La segunda de las razones que hace difícil la creación y aplicación de una norma universal de seguridad tiene relación con la idiosincrasia de cada compañía, organización o institución. Y en ese sentido, esta es la explicación más frecuente ante el fracaso de una norma estadounidense en países de América del Sur. Cada empresa tiene su propia huella digital, su foco de trabajo, las herramientas que tiene que tener disponibles y las que no, y en muchos casos, la aplicación inflexible de una normativa termina trayendo más problemas que beneficios. En esto también influye mucho la “cultura organizacional” reinante y el “nivel de conciencia” de seguridad que tengan los distintos usuarios. Y que mejor ejemplo que el uso de messenger: mientras algunas compañías lo ven como un foco de ocio y un riesgo para mantener la productividad a niveles aceptables, otros lo ven como una herramienta indispensable para una comunicación ágil y eficiente entre personas que se ubican en lugares remotos. Lo mismo pasa con la definición del SPAM: Para la mayoría de la gente los correos de “ciertos medicamentos” son claramente correo no deseado, mientras que para algunos esos correos si pueden prestarles ayuda. Es por esto que por lo general las normativas o códigos de buenas prácticas de seguridad terminan siendo bastante ambiguos en su definición.
Revisemos entonces algunas de las normas más conocidas en el mundo de la seguridad:
BSI, los pioneros
El instituto británico de estándares (BSI) se puede jactar de ser una de las primeras instituciones que se dedicó en serio a tratar el tema de la seguridad de la información. De hecho, en 1995, la BSI publicó la primera versión de la famosa normativa BS 7799:1, conocida como “Information Security Management Standard”, el cual consiste en un código de buenas prácticas para la administración de la seguridad de la información. La principal fortaleza teórica de esta normativa es la división inteligente de la seguridad de la información en distintos “dominios”. Originalmente, estos dominios son 10 y se los presento a continuación:
-
Política de seguridad corporativa. Implica la estructura, contenidos y sentido de la política de seguridad corporativa, la cual debe adaptarse a la realidad de la compañía y las necesidades de seguridad de la misma.
-
Infraestructura de seguridad de la información. Implica la manera en que las compañías deben organizarse internamente para poder controlar de forma efectiva la seguridad de la información de forma interna. Esto implica además la existencia de procedimientos escritos para aquellas acciones en donde pueda existir un impacto en la seguridad de la información, de tal manera que se puedan definir los roles y las responsabilidades de cada uno de los participantes en dichos procesos.
-
Control y clasificación de activos. En este punto, se abarca la definición de niveles de confidencialidad para los activos de información y la posterior clasificación de los mismos en dichos niveles. Este punto suele ser crítico y guarda estricta relación con el concepto de continuidad de negocio, que también es abarcado por este estándar.
-
Seguridad del personal. En este punto, se trata el tema de las personas y su relación con la seguridad. Entre otras cosas, se abarca el concepto de “awareness” o “conciencia” de seguridad, y la implicancia de la seguridad en los procesos de selección y de desvinculación del personal.
-
Seguridad física. Este dominio abarca los conceptos asociados al control de acceso físico a la información, abarcando también la seguridad en el diseño de las instalaciones orientadas al almacenamiento de información.
-
Administración de comunicaciones y operaciones. Este dominio implica la creación de procedimientos para la administración y operación de todas las unidades de procesamiento de información, incluyendo operación detallada y respuesta a incidentes. Además, abarca los conceptos de seguridad de redes, el acceso remoto, el intercambio de información con terceros y el comercio electrónico.
-
Control de acceso. Orientado al control de acceso lógico, este dominio controla los procesos de negocios que impliquen acceso a la información. Esto incluye la definición de políticas de control de acceso, administración del acceso de usuario, administración de privilegios, políticas de contraseñas, revisión de derechos de usuario, definición de métodos de autenticación de usuario, segmentación de redes, controles de acceso de red, NAC (O NAP, si lo llevamos a Windows 2008), monitoreo de sistemas y otros.
-
Desarrollo y mantenimiento de sistemas. Este control abarca los procedimientos necesarios para controlar los procesos de desarrollo, QA y paso a producción de los distintos sistemas propios de una compañía. Aspectos críticos como el control de versiones, la documentación, y la definición de requerimientos de seguridad en cada una de estas etapas, además del concepto de desarrollo seguro son controlados por este dominio.
-
Administración de la continuidad de negocio. La definición de estrategias, estándares, procedimientos y la posterior implementación de tecnologías orientadas a obtener respuestas ágiles a incidentes y así asegurar la continuidad de los sistemas que soportan la información en el tiempo es parte de los temas abarcados por este dominio. El plan de continuidad de negocio es el fruto de una correcta clasificación de activos de seguridad, de la determinación concreta y objetiva de las criticidades de los sistemas que soportan la información, de la consideración de todos los factores de riesgo existentes, de la redacción de medidas claras y concretas y de su posterior prueba y constante actualización. El plan de continuidad de negocio está íntimamente relacionado con el plan de recuperación de desastres, que se pone en el peor de los casos posibles al cual podría enfrentarse la organización.
-
Compliance. Finalmente, el último dominio de la normativa abarca la adaptación de todos los otros puntos anteriormente tomados a las normativas legales vigentes en el país de aplicación de la norma, además de definir cuál es la estrategia para cumplir con los requisitos planteados en los 9 dominios anteriores.
La BS7799:1 abarca estos 10 dominios a través de 127 controles, que no son otra cosa que requisitos que deben ser cubiertos por la compañía que busca adaptarse a esta norma. Y es aquí donde algunos controles son algo ambiguos.
En 1999, BSI asestó el segundo golpe. Y lo hizo publicando la segunda parte de la norma, titulada “Information Security Management Systems: Specification with guidence to use”. Esta parte de la norma se enfoca en el concepto de la implementación de un ISMS (Information Security Management System). Como lo dice su nombre, un ISMS es un conjunto de políticas y procedimientos orientados a administrar de manera eficiente y efectiva la seguridad de la información a través del tiempo. Esto implica el uso de un concepto clave, que se repite en la mayoría de los frameworks orientados a la seguridad y a la madurez de los sistemas. Estamos hablando del PDCA, el cual fue incorporado a la BS7799:2 en el año 2002.
En otras palabras, el PDCA indica que en una primera etapa se debe hacer un análisis de riesgo que permita identificar los puntos débiles y las prioridades que existen en la compañía, para posteriormente diseñar el conjunto de políticas, procedimientos y soluciones orientadas a mitigar los riesgos encontrados (Plan). Luego, en la siguiente fase se debe implementar el conjunto de soluciones anteriormente diseñadas y operarlas (Do). Esto debe ser acompañado de una constante revisión y monitoreo de las estrategias, políticas y soluciones entregadas, a fin de detectar fallas o deficiencias en la implementación del plan (Check), para finalmente, una vez establecidos los puntos de mejora, proponer nuevas ideas (Act) para volver a ser diseñadas (volvemos a Plan). La tercera parte de la BS779 fue publicada en 2005, y abarca el concepto de análisis de riesgo.
Sin duda y como sucede con todo pionero, BS7799 fue la base de otro de los gigantes en cuanto a normativas: La organización internacional de estándares (ISO) quien sacó dos familias de políticas inspiradas en la BS7799: La ISO 17799 y la ISO 27001. Estas dos normas serán parte del análisis de la tercera parte de es artículo. Nos vemos pronto y pasen felices fiestas!