jueves, 16 de junio de 2011

Gestión de Seguridad de la Información: más allá de los fierros y los bits

Escrito por caBazan el junio 13, 2011
La mayoría de las organizaciones, sino es que todas, cuentan con mecanismo de protección de su información, algunos sencillos como antivirus o firewalls y otros sofisticados con sistemas de control de acceso, SOC, IPC y combinaciones interesantes de hardware y software. Estos mecanismos están enfocados a preservar los tres principios básicos de la seguridad informática: Integridad, Disponibilidad y Confidencialidad.

Sin embargo, la mayoría son esfuerzos separados que no permiten tener un control centralizado ni la certidumbre de que esos controles funcionan de manera eficaz y eficiente, lo que muchas veces termina en inversiones mal aprovechadas, gastos no justificados y poco alineados a la realidad del negocio. Este problema se resuelve mediante la implementación de un Sistema de Gestión.

Los sistemas de gestión tienen como objetivo garantizar que cada una de las actividades que se realizan bajo la “sombrilla” del sistema esté coordinada bajo el famoso ciclo de Deming (Plan-Do-Check-Act), que permite asegurar que estas actividades siguen siendo vigentes con el paso del tiempo, que fueron creadas bajo un plan con objetivos claros y medibles, que se verifica su eficacia y que, en caso de ser necesario, se llevan a cabo los ajustes necesarios para que continúen siendo eficientes en toda circunstancia. En particular ISO 27001 es un estándar que determina los requisitos para un Sistema Gestión de Seguridad de la Información.

ISO 27000 es un conjunto de estándares enfocados a la seguridad informática, que establecen requisitos basados en las mejores prácticas, formando un marco de referencia para la adopción, establecimiento y verificación de un sistema de Gestión de Seguridad de Información SGSI. La norma incluye requisitos dirigidos a distintos ámbitos de la gestión de la seguridad en una organización, desde la creación de una política, planes de capacitación y concientización, auditorías y revisiones internas de la efectividad del sistema y de los indicadores establecidos, hasta la selección, justificación, implantación y monitoreo de 133 controles de seguridad específicos orientados a cubrir las vulnerabilidades detectadas durante un análisis de riesgos.

Todo lo anterior obliga a que las organizaciones formalicen los controles de seguridad que tienen implementados, que midan su efectividad en el tiempo y que logren adaptarlos a las necesidades cambiantes de la organización y su entorno, lo que se transforma en un mejor aprovechamiento de recursos y en valor competitivo para la organización y sus clientes.

De todo esto una pregunta frecuente es “¿Qué tan factible es para las PyMES mexicanas adoptar y cumplir con los requisitos de la norma ISO 27001?” lo que nos refiere al inicio de este escrito: “La mayoría de las organizaciones, sino es que todas, cuentan con mecanismo de protección de su información…”. Lo que la norma les exigirá es que adopten mecanismos formales para dar seguimiento a los “artefactos” que utilizan para reforzar la seguridad de la información que resguardan y utilizan en el día a día. Estamos convencidos de que el cumplimiento de estos requisitos no es privativo para las organizaciones pequeñas y medianas, simplemente es necesario que dediquen tiempo y recursos a profesionalizar las labores que ya realizan hoy día y busquen alinear todos los esfuerzos a un objetivo común.

Por último es importante señalar que la norma no exige el uso o adquisición de una tecnología o equipo en particular, cada organización tiene la libertad de elegir de qué forma refuerza cada uno de los controles que pide la norma y atiende las vulnerabilidades específicas a las que está expuesta la organización.

Factores de éxito para la implementación de un SGSI

  • El eslabón más débil en los sistemas informáticos es el factor humano. Esto lo afirma Kevin Mitnick, uno de los hackers más reconocidos y que ha trabajado en el campo de la ingeniería social por más de 30 años. Por ello, la concientización del personal (awareness) es un factor determinante en el fortalecimiento de la seguridad de la información.

  • Como todo proyecto organizacional, se requiere de un compromiso de todas las partes, pero sobre todo de la alta dirección, que ésta provea el “patrocinio” necesario para legitimar las iniciativas y fomentar el compromiso del personal. La creación de comités a distintos niveles (operativos, de dirección, etcétera) facilita que los miembros de la organización hagan suyas las iniciativas, colaboren con ideas y refuercen su cumplimiento diario.

  • La comunicación constante con el cliente permite mantener actualizadas sus necesidades e identificar qué controles son los adecuados y justificados por el negocio. La pronta atención y corrección de los problemas derivados de incidentes de seguridad permite mantener la satisfacción del cliente.

  • Es importante hacer un análisis de riesgos, identificando las amenazas y vulnerabilidades a las que es susceptible la organización y la información que en ella reside. Cada uno de los riesgos identificados deberá ser tratado de forma que sea reducido lo más posible, siempre tomando en cuenta que la seguridad absoluta no existe, se trata de reducir el riesgo a niveles aceptables.

  • La seguridad y los controles seleccionados deben estar alineados a la criticidad y valor de la información que resguardan, de forma que se justifiquen las inversiones y se maximice el ROI (retorno de la inversión)

  • La seguridad de la información no es la implementación de productos o equipos, se trata de la integración de acciones en distintos procesos que integran un sistema, el sistema de Gestión de Seguridad de la Información.
  • La Gestión de la Seguridad de la Información no concluye al contar con todos los requisitos de la norma implantados, es más bien en este momento cuando el sistema comienza a trabajar y se le debe dar un seguimiento constante.
Fuente: b:Secure Magazine / Pablo Corona Fraga

Artículo tomado de:
http://www.mattica.com/2011/06/gestion-de-seguridad-de-la-informacion-mas-alla-de-los-fierros-y-los-bits/

No hay comentarios.:

Publicar un comentario