José Francisco Giménez Albacete - Seguridad en equipos informáticos. IFCT0510

La solución, sin embargo, es nuevamente sencilla, y consiste en aplicar un principio que será muy frecuente en el ámbito de la seguridad de la información: el principio de proporcionalidad,que nos dice que “las medidas deben adecuarse a sus objetivos”.En el ámbito de la seguridad de la información, “las salvaguardas deben ser proporcionales al riesgo”.

Por ejemplo, para el control de acceso a una estación de trabajo, donde los usuarios realizan labores ofimáticas sobre datos no confidenciales, bastaría inicialmente emplear un sistema de usuario y contraseña, integrado en el propio sistema operativo. Parece una medida proporcional en coste al objetivo de seguridad, que vendrá marcado por el riesgo que introducen en la empresa los sistemas informáticos accesibles desde esos puestos.

Por ejemplo, si desde una estación de trabajo, un usuario puede realizar transferencias entre cuentas de clientes y proveedores, debería emplearse –al menos en ese puesto de trabajo– un sistema de autenticación fuerte, basado no solo en algo que sepa el usuario, como su contraseña, sino también en algo que el usuario tenga, como su DNI electrónico.

El principio de proporcionalidad permite enfocar adecuadamente un sistema de gestión completo, y se puede afirmar que “el SGSI debe ser proporcional al valor de la continuidad del negocio”.

Las herramientas elementales para la correcta gestión de la seguridad informática, no son equipos de alta tecnología y costes inabordables. Las herramientas elementales son dos:

1 La redacción de una política de seguridad de la información, que recoja de las directrices del SGSI a partir de las cuales derivarán todas las demás acciones. En este libro se empleará el contenido y recomendaciones recogidas en ISO 17799 y en la serie ISO 27000, así como en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), de manera proporcional a la empresa objetivo de aplicación.

2 La adopción de una metodología sencilla, que permita evaluar el riesgo. En este libro se empleará el contenido y recomendaciones recogidas en MAGERIT, de manera proporcional a la empresa objetivo de aplicación.

Sabía que...

la serie de normas ISO 27000se comienza a crear en 2005, aunque existen normas parecidas de seguridad de la información bastante anteriores, como la BS 7799 de 1995 y la ISO 17799 de 2000.

La serie ISO 27000 está formada por muchas normas, entre las que destacan:

1 ISO 27000: términos y definiciones.

2 ISO 27001: requisitos de un SGSI.

3 ISO 27002: controles o salvaguardas (muy similar a la ISO 17799).

4 ISO 27004: cómo medir la eficacia de un SGSI.

5 ISO 27005: gestión de riesgos.

6 ISO 27007: auditoria de un SGSI.

7 ISO 27011: seguridad de la información para telecomunicaciones.

Ambas herramientas permiten dar los pasos de planificación y medida, y serán las armas esenciales de un SGSI. Por otro lado, la ejecución de las medidas, y las correcciones que se emprendan, deben adecuarse en virtud a la proporcionalidad que exista en la aplicación de la política de seguridad.

Lo anterior hace factible la aplicación de una metodología de complejidad adaptable a los recursos disponibles en una PYME, que, correctamente ejecutada, logrará una mejora continua en la seguridad de la información en la empresa.

En el otro extremo, la implantación de un SGSI muy exhaustivo puede ser inviable, y paralizar las repeticiones “Plan-Do-Check-Act” , conduciendo a no tener un SGSI, o a que su ejecución sea demasiado lenta. Ambos casos reducen la inversión en seguridad al valor aislado y con la caducidad que las medidas puntuales aporten a los equipos u objetos concretos.

Aplicación práctica

En una empresa ocurren muchos incidentes de seguridad; algunos son de pequeña importancia, como las frecuentes interrupciones en la conexión a internet, y otros son más críticos, como las paradas del sistema durante jornadas completas, debido a errores en los servidores. También se producen fugas de información, pequeños hurtos de periféricos, y otros accesorios. La empresa también es consciente del incumplimiento de alguna ley referente a la información. La Dirección expone la situación, y pide que se proponga un plan de acción para corregir todos esos problemas.

Resumir brevemente las acciones a realizar, dando al menos una justificación de las mismas.

SOLUCIÓN

1 JUSTIFICACIÓN: La situación descrita incluye multitud de amenazas, lo que indica que no conviene emprender un conjunto de medidas de seguridad aisladas para objetos concretos. Se necesitan también aspectos de gestión, aspectos legales, aspectos éticos u otros específicos de la naturaleza y ambiente interno y externo de la empresa.

2 ACCIONES A REALIZAR: Se debe implantar un Sistema de Gestión de Seguridad de la Información (SGSI), como sistema para establecer y mantener un entorno seguro, consistente en las siguientes 4 tareas de ejecución continua:Planificar: analizar las necesidades de seguridad de la empresa.Hacer: implantar las medidas de seguridad necesarias.Chequear: medir si se han alcanzado las necesidades de seguridad.Corregir: detectar y aplicar mejoras en las medidas de seguridad.El SGSI se apoyará en dos herramientas muy importantes:Una política de seguridad, a partir de normas como ISO 17799, la serie ISO 20000 y la legislación que sea aplicable, como la LOPD.Una metodología de evaluación del riesgo, como MAGERIT.

Los equipos informáticos son cada vez más relevantes para la actividad de las empresas, tanto por el valor de la información que manejan, como por las consecuencias de las acciones (u omisión de las mismas), en las que participan.

Existen amenazas de todo tipo, siempre presentes, que comprometen la actividad de los equipos, gracias a las vulnerabilidades que los equipos presentan a estas amenazas. No pudiendo eliminarlas por completo, se puede afirmar que no existe la inseguridad “cero”. Sin embargo, si se puede reducir el daño probable que una amenaza tendría en un equipo, es decir, el riesgo que el equipo entraña para la empresa.

El riesgo es mayor cuanto mayor sea el daño o impacto que una amenaza causaría en un equipo, y cuanto mayor sea la probabilidad de ocurrencia de la amenaza. Es posible reducir este riesgo, o bien reduciendo el daño que causaría una amenaza, o reduciendo la probabilidad de que esta se aplique sobre una vulnerabilidad del sistema, es decir, reduciendo las debilidades del equipo.

El daño, habitualmente, se evalúa en todas las dimensiones o propiedades de la información, que en el ámbito de la seguridad de la información son tres: la confidencialidad, la integridad, y la disponibilidad. Es decir, la información es segura si se pueda acceder a ella cuando se necesita (disponibilidad), solo por quien lo necesita (confidencialidad), y si es válida, porque solo la ha modificado quien puede hacerlo (integridad).

Para gestionar la seguridad, se emplea un modelo de gestión de la seguridad de la información basada en el riesgo, y que consta de dos fases. En una primera fase, el “análisis de riesgos”, se analiza el riesgo de las amenazas sobre los equipos informáticos. En una segunda fase, la “gestión de riesgos”, se evalúa si ese riesgo se puede asumir o no, de acuerdo con unas normas internas, o leyes que afecten a la empresa. En caso de que no se pueda asumir, hay que reducirlo, introduciendo para ello las salvaguardas o medidas adecuadas. Es muy frecuente emplear un criterio de coste/beneficio, o de análisis de viabilidad en términos económicos, para determinar la adecuación de una salvaguarda. Sencillamente, bastaría comparar el coste de la salvaguarda con el coste del riesgo, para presentar la decisión de viabilidad a la Dirección.