Seguridad de la Información: Conceptos Fundamentales y Gestión

La Seguridad de la Información consiste en proteger una de las partes más importantes del negocio: la información. Sin embargo, debemos distinguir entre Seguridad Informática, que es la protección de las infraestructuras tecnológicas sobre las que funciona la empresa, y Seguridad de la Información, que tiene como objetivo la protección de sistemas e información en cuanto a que estén siempre accesibles (Disponibilidad), que no sean alterados malintencionadamente o por error (Integridad) y que su acceso sea permitido solo a personas autorizadas (Confidencialidad).

El Riesgo en la Seguridad de la Información

La Organización Internacional de Normalización (ISO) define el riesgo tecnológico (según las Guías para la Gestión de la Seguridad) como: «La probabilidad de que una amenaza se materialice de acuerdo con el nivel de vulnerabilidad existente de un activo, generando un impacto negativo específico, el cual puede estar representado por pérdidas y daños».

La Información como Activo Clave

La información es un activo que, como otros activos importantes, tiene valor y requiere, en consecuencia, una protección adecuada.

La información puede estar:

• Impresa o escrita en papel.
• Almacenada electrónicamente.
• Transmitida por correo o medios electrónicos.
• Mostrada en filmes.
• Hablada en conversación (grabada).

Debe protegerse adecuadamente, cualquiera que sea la forma que tome o los medios por los que se comparta o almacene.

La Tríada CIA: Pilares de la Seguridad

La seguridad de la información posee los siguientes atributos:

• Confidencialidad: Asegura que solo quienes estén autorizados pueden acceder a la información.
• Integridad: Asegura que la información y sus métodos de proceso son exactos y completos.
• Disponibilidad: Asegura que los usuarios autorizados tienen acceso a la información y a sus activos asociados cuando lo requieran.

Vulnerabilidades Comunes

Algunas vulnerabilidades frecuentes incluyen:

• Inadecuado compromiso de la dirección.
• Personal inadecuadamente capacitado y concientizado.
• Inadecuada asignación de responsabilidades.
• Ausencia de políticas o procedimientos.
• Ausencia de controles:
  • Físicos/lógicos.
  • Disuasivos/preventivos/detectivos/correctivos.
• Ausencia de reportes de incidentes y vulnerabilidades.
• Inadecuado seguimiento y monitoreo de los controles.

Determinación de los Requisitos de Seguridad

Es esencial que la organización identifique sus requisitos de seguridad a partir de las siguientes tres fuentes principales:

1. Valoración de los riesgos de la organización:
   • Se identifican las amenazas a los activos.
   • Se evalúa la vulnerabilidad y la probabilidad de su ocurrencia.
   • Se estima su posible impacto.
2. Requisitos legales, estatutarios, regulatorios y contractuales: Que deben satisfacer la organización, sus socios comerciales, los contratistas y los proveedores de servicios.
3. Principios, objetivos y requisitos internos: Que la organización ha desarrollado para apoyar sus operaciones.

Sistema de Gestión de Seguridad de la Información (SGSI)

Definición de SGSI

Un Sistema de Gestión de Seguridad de la Información (SGSI) es un sistema gerencial general basado en un enfoque de riesgos para establecer, implementar, operar, monitorear, revisar, mantener y mejorar la seguridad de la información.

El SGSI es la parte del sistema de gestión de la empresa, basado en un enfoque de riesgos del negocio, para:

• Establecer.
• Implementar.
• Operar.
• Monitorear.
• Mantener y mejorar la seguridad de la información.

Incluye:

• Estructura, políticas, actividades, responsabilidades, prácticas, procedimientos, procesos y controles.

Áreas de Control ISO 27000

La norma ISO 27000 (y sus relacionadas como ISO 27001/27002) define áreas de control clave:

• Política de Seguridad.
• Organización de la Seguridad de la Información.
• Gestión de Activos.
• Seguridad en los Recursos Humanos.
• Seguridad física y del entorno.
• Gestión de comunicaciones y operaciones.
• Control de accesos.
• Adquisición, desarrollo y mantenimiento de sistemas de información.
• Gestión de incidentes de seguridad.
• Gestión de continuidad del negocio.
• Conformidad.

Establecer un SGSI: El Ciclo PDCA

PLAN: Establecer un SGSI

Establecer la política de seguridad, objetivos, metas, procesos y procedimientos relevantes para manejar riesgos y mejorar la seguridad de la información, generando resultados de acuerdo con una política y objetivos marco de la organización.

• Definir el alcance del SGSI a la luz de la organización.
• Definir la Política de Seguridad.
• Aplicar un enfoque sistémico para evaluar el riesgo. (No se establece una metodología a seguir).
• Identificar y evaluar opciones para tratar el riesgo:
  • Mitigar.
  • Eliminar.
  • Transferir.
  • Aceptar.
• Seleccionar objetivos de Control y controles a implementar (Mitigar). (A partir de los controles definidos por la ISO/IEC 17799).
• Establecer enunciado de aplicabilidad.

DO: Implementar y Operar

Implementar y operar la política de seguridad, controles, procesos y procedimientos.

• Implementar plan de tratamiento de riesgos:
  • Transferir.
  • Eliminar.
  • Aceptar.
• Implementar los controles seleccionados (Mitigar).
• Aceptar riesgo residual. (Firma de la alta dirección para riesgos que superan el nivel definido).
• Implementar medidas para evaluar la eficacia de los controles.
• Gestionar operaciones y recursos.
• Implementar programas de capacitación y concientización.
• Implementar procedimientos y controles de detección y respuesta a incidentes.

CHECK: Monitoreo y Revisión

Evaluar y medir el desempeño de los procesos contra la política de seguridad, los objetivos y la experiencia práctica, y reportar los resultados a la dirección para su revisión.

• Revisar el nivel de riesgo residual aceptable, considerando:
  • Cambios en la organización.
  • Cambios en las tecnologías.
  • Cambios en los objetivos del negocio.
  • Cambios en las amenazas.
  • Cambios en las condiciones externas (ej. regulaciones, leyes).
• Realizar auditorías internas.
• Realizar revisiones por parte de la dirección del SGSI.

Se deben establecer y ejecutar procedimientos de monitoreo para:

• Detectar errores.
• Identificar ataques a la seguridad fallidos y exitosos.
• Brindar a la gerencia indicadores para determinar la adecuación de los controles y el logro de los objetivos de seguridad.
• Determinar las acciones realizadas para resolver brechas de seguridad.
• Mantener registros de las acciones y eventos que pueden impactar al SGSI.
• Realizar revisiones regulares a la eficiencia del SGSI.

ACT: Mantenimiento y Mejora del SGSI

Tomar acciones correctivas y preventivas, basadas en los resultados de la revisión de la dirección, para lograr la mejora continua del SGSI.

• Medir el desempeño del SGSI.
• Identificar mejoras en el SGSI a fin de implementarlas.
• Tomar las acciones apropiadas a implementar en el ciclo en cuestión (preventivas y correctivas).
• Comunicar los resultados y las acciones a emprender, y consultar con todas las partes involucradas.
• Revisar el SGSI donde sea necesario, implementando las acciones seleccionadas.

Factores Clave para el Éxito en la Implementación de un SGSI

• Política de seguridad documentada y alineada con los objetivos del negocio.
• Apoyo y participación visible de la alta gerencia.
• Entendimiento de los requerimientos de seguridad, evaluación y gestión de los riesgos asociados.
• Compatibilidad con la cultura organizacional.
• Entrenamiento y educación para lograr la concientización.

Ventajas en la Adopción de un SGSI

• Reducción de riesgos: Ayudará a reducir el nivel de riesgo hasta un valor asumible para la organización.
• Ahorro económico: Mayor continuidad de negocio, lo que redundará en un mayor beneficio. Además, al abordar la seguridad de forma integral, permitirá a las empresas gestionar mejor el gasto en TI.
• Calidad en la seguridad: A través de un modelo de seguridad en un ciclo de vida metódico y controlado. Al participar toda la organización, se crea un compromiso de seguridad que involucra a todos.
• Cumplimiento legal: La certificación ofrece una garantía en este aspecto.
• Competitividad en el mercado: Es común que grandes empresas y socios de negocio exijan el cumplimiento de esta normativa para abrir y compartir sus sistemas con las PYMES.