banner

¿Seguridad como Proceso?

A lo largo de estos años, me he encontrado que las Organizaciones ,a menudo, destinan practicamente todos los recursos a la aplicación de medidas técnicas necesarias para combatir los ataques informáticos, olvidando una parte fundamental de la Seguridad como son las medidas humanas necesarias para mantener el buen nivel de Seguridad que aporta la técnica.

Estoy hablando de los Procedimientos de Seguridad en la Organización, si existen procedimientos ¿Será posible definir la Seguridad de la Organización como un Proceso más dentro de la misma?

Y precisamente de esto trata este artículo. Antes de meternos en faena, definamos que es un Proceso y un Procedimiento:

Proceso: es un conjunto de actividades mutuamente relacionadas que interactúan y transforman elementos de entrada (entradas) en resultados o productos (salidas), todo ello bajo unas condiciones de control (limitaciones y condiciones de contorno) y utilizando para ello un conjunto de medios o recursos (humanos y materiales). Los productos (salidas) pueden ser de diversa naturaleza como por ejemplo: documentos, medios para ser usados por otro proceso, controles para otros procesos, servicio al cliente, etc.

Procedimiento: es un documento que contiene información sobre la forma específica de llevar a cabo (secuenciar) actividades o procesos. En muchos casos los procedimientos se expresan en documentos que contienen actividades desglosadas en tareas; que indican que debe hacerse y quien debe hacerlo; cuando, donde y como se debe llevar a cabo; que materiales, equipos y documentos deben utilizarse; y como debe controlarse.

Entonces, ¿Se puede entender la Seguridad como un Proceso?

La Seguridad de la Información como yo la entiendo se basa en tres pilares fundamentales:

 - 1) Medidas Técnicas
 - 2) Medidas Procidimentales
 - 3) Concienciación, educación y entrenamiento

De echo ninguna puede ir sin la otra, para explicarme mejor, voy a poner un ejemplo: Si se instala una red de sensores que analizan el tráfico de nuestra empresa, donde se detectan los ataques y se registran en una consola de gestión, pero nadie se encarga de verificar periódicamente el estado, o no se analizan las alertas registradas en la consola de gestión:

¿Creeís entonces que la medida técnica esta siendo efectiva? 

Desde el punto de vista técnico, la herramienta y la red de sensores instaladas están realizando su cometido a la perfección, pero desde el punto de vista de la organización ¿Esta obteniendo el resultado deseado? Es decir, la medida técnica instalada le esta ayudando a detectar y prevenir los ataques informáticos. La respuesta es técnicamente que SI, pero entre "comillas".

En principio, la herramienta detecta los ataques y los registra en una consola, pero si no se analizan y comprueba de manera periódica, los ataques detectados por la herramienta serán ignorados por el personal de "Sistemas" y es más que probable, que no seamos conscientes que nuestro sistema esta siendo atacado, o peor aún, no sabremos que tipo de ataque son y como protegernos ante ellos.

Esto se entiende mejor con el ejemplo de la realización de copias de seguridad ¿De que te sirve disponer de un sistema de backup si nadie se encarga de realizar las copias? 

Ahora suponiendo que se realizan las actividades de backup, de análisis de las alertas por un equipo determinado, pero cada uno realiza su trabajo de una forma diferente ¿Qué ocurre si los miembros del equipo de trabajo que realizan esa tarea enferman? ¿El sustituto sabrá realizar la tarea de manera adecuada?

Los procesos, ayudan a la Organización a realizar el trabajo de manera homogenea y proporcionan la capacidad de mantener el mismo nivel de calidad en el servicio. Esto aplicado a la Seguridad de la Información significa mantener en el tiempo nivel de seguridad definido por la Organización.

Introducir la Seguridad como un Proceso en la Organización, ayudaría a:

- Identificación y depuración de responsabilidades.
- Simplificación y homogeneización de las rutinas de trabajo.
- Capacitación y adiestramiento del personal.
- Facilitar las labores de auditorías y control interno.
- Mejoras en la coordinación interna de los departamentos y evitando duplicidades.

Pero para poder materializar la Seguridad como Procedimiento, se necesita concienciar a la Organización y obtener el apoyo de la Dirección, esto se traduce, en disponer de una Política de Seguridad que se articula y desarrolla mediante un Plan de Seguridad - comúnmente llamado Plan Director de Seguridad.

UNE/ISO/IEC 17799 / 27002


La Política de Seguridad debe establecer las necesidades y requisitos de protección en el ámbito de la organización y es la guía o marco para la creación de otro tipo de documento más detallado que denominamos norma de seguridad. Formalmente describe qué tipo de gestión de la seguridad se pretende lograr y cuáles son los objetivos perseguidos. Definen qué quiere la organización a muy alto nivel, de forma muy genérica, quedando como una declaración de intenciones sobre la seguridad de la Organización. 
A su vez, una política de seguridad puede apoyarse en documentos de menor rango que sirven para materializar en hechos tangibles y concretos los principios y objetivos de seguridad establecidos. Hablamos entonces del marco normativo que puede estar constituido por documentos de rango inferior, como pueden ser las normas, políticas de uso, procedimientos de seguridad e instrucciones técnicas de trabajo.

El Plan Director de Seguridad (PDS) es la herramienta que permite a una organización definir sus actividades en Seguridad de la Información a corto, medio y largo plazo. Determinando el estado de seguridad en que se encuentra mi organización y conociendo mi estado objetivo, puedo trazar una planificación que me permita alcanzar dicho objetivo

En definitiva, la Seguridad de la Información no solo consiste en un conjunto de técnicas para combatir a los ataques, es "toda acción llevada a cabo humana y técnicamente para evitar que se comprometa la confidencialidad, integridad y disponibilidad de la información".

¡La Seguridad de la Información debe de ser Gestionada!


Referencias
Afortunadamente existen varias normas, estándares y buenas practicas para ayudarnos en esta labor, como por ejemplo:


  • El Proceso de la Gestión de la Seguridad TI - ITILv3 - Asegurar la confidencialidad, la integridad y la disponibilidad de las informaciones, datos y servicios de TI de una organización. [1]
  • Sistemas de Gestión de la Seguridad de la Información (SGSI) - UNE-ISO/IEC 27001[2]

No hay comentarios :

Publicar un comentario en la entrada