126 Ministerio de Defensa La seguridad de los sistemas de información UN EQUILIBRIO ENTRE VALOR Y COSTE CON MÚLTIPLES ACTORES Lucía Escapa Castro SUBDIRECTORA GENERAL DE SERVICIOS TÉCNICOS Y TELECOMUNICACIONES Ministerio de Defensa L independencia de la metodología (económicos, de negocio, etc.) es empleada, partiendo de una pregunta responsabilidad de la dirección básica ¿Cuánto de seguro necesita ser responder a la pregunta, o sea, decidir mi sistema? cuál es el nivel de riesgo asumible por La respuesta a esa pregunta es la organización y, en consecuencia, compleja y exige, como paso previo, cuáles deben ser las medidas técnicas un análisis muy detallado de los y organizativas a adoptar en el Plan de activos de la organización, sus Seguridad de la organización. Se trata vulnerabilidades, las amenazas a que de que la organización determine cuál están expuestos, los riesgos y los es el equilibrio entre el valor de sus a seguridad de las activos y el coste de su protección. organizaciones, en el mundo actual, es cada vez más y con una tendencia rápidamente en aumento, la seguridad de sus sistemas de información. Sea en el sector público o en el privado pocas actividades se llevan a cabo sin el uso en mayor o menor medida de sistemas de información y telecomunicaciones. La Real Academia de la Lengua define seguridad como “cualidad de seguro”, es decir la situación de estar “libre y exento de todo peligro, daño o El Plan de Seguridad tiene que incluir cuáles serán los procedimientos de revisión y auditoría que aseguren la detección de nuevas amenazas o vulnerabilidades Este Plan de Seguridad tiene que incluir, además, cuáles serán los procedimientos de revisión y auditoría que aseguren no sólo su cumplimiento sino, de modo proactivo, la detección de nuevas amenazas o vulnerabilidades ante las que prepararse ampliando o renovando el Plan de Seguridad. Al examinar más en detalle cuál es el alcance del concepto de seguridad en los sistemas de información hay tres elementos clave que sobresalen: la dependencia de las riesgo”. Al aplicar esta definición al organizaciones de estos sistemas campo que nos ocupa el concepto de requiere asegurar su funcionamiento, la importancia de los datos seguridad describe una situación relativa, que depende de cuál sea el costes (de todo tipo) asociados a esos almacenados y gestionados obliga a riesgo, peligro o daño considerado y riesgos. Además es preciso determinar proteger la integridad de y el acceso a presenta dos caras: una proactiva, las medidas de seguridad capaces de los mismos, ligada a la prevención o protección, a disminuir los riesgos, sus costes de la preparación para una situación implantación y operación, los tiempos la organización acerca de sus hipotética y otra reactiva, ligada a la asociados y las posibles nuevas características exige velar por un uso defensa, a la actuación ante un vulnerabilidades que podrían correcto de los mismos. ataque real. introducir en el sistema… Por tanto el análisis de la seguridad Al final de este proceso, con toda el conocimiento del personal de Es posible por tanto identificar tres de los sistemas de información debe esta información estructurada, niveles superpuestos de seguridad: la siempre acometerse, con categorizada y traducida a indicadores seguridad de las infraestructuras, o nº 28 ESPECIAL AGE 2008-2009 127 Ministerio de Defensa sea el hardware y el software que soportan la actividad de la organización; la seguridad de los datos, que son el núcleo de esa actividad y la seguridad de las personas, como usuarios, gestores, productores o consumidores de las infraestructuras y los datos. Estos tres niveles comportan una multitud de actores implicados en la seguridad: servidores, enlaces de comunicaciones, productos de software, dispositivos de almacenamiento, dispositivos móviles, desarrollos a medida, técnicos de otras empresas, empleados con diferentes grados de sensibilización... El Plan de Seguridad tiene que abordar esos tres niveles y los actores que intervienen, pero debería hacerlo “ex ante” y no “ex post”, como suele ser lo habitual. Es decir nunca debería acometerse la construcción de un sistema de información y mucho Es responsabilidad de la dirección decidir cuál es el nivel de riesgo asumible por la organización menos un Plan de Sistemas sin un electrónica entre los componentes del sistema, el control del tiempo y medidas de caducidad de operaciones y permisos, la monitorización de elementos (hw o sw) críticos y reacción análisis previo que haya permitido responder a “LA” pregunta y el uso de métodos de identificación y autenticación automática del sistema hacia un la asignación de un equipo estado de mayor seguridad, la definición de medidas de establecer el Plan de Seguridad responsable de seguridad del proceso correspondiente. de obtención y establecimiento de las seguridad y control de acceso métricas de evaluación, asociadas a los propios datos (cifrado, Esta aproximación, claramente proactiva, conlleva un enfoque bastante distinto de todas las tareas que forman la inclusión desde el comienzo de elementos hardware redundantes, el empleo de técnicas de la construcción del sistema, para programación redundante y tolerante contemplar, entre otros elementos: a fallos, llaves software…) el empleo de simuladores como herramientas de prueba, la participación de usuarios con técnicas y expertos en “hacking” Es posible que a primera vista el proceso de obtención de sistemas de información en este marco de referencia parezca más costoso o más largo que en una aproximación convencional de primero definir el sistema y después definir su seguridad. Sin embargo una organización que adopte este enfoque de manera global comprobará que el coste total de la seguridad disminuye y que el mantenimiento del nivel de seguridad de sus sistemas de información resulta un proceso mucho más predecible, organizado e integrado en el ciclo de vida de los propios sistemas. nº 28 ESPECIAL AGE 2008-2009