La seguridad de los sistemas de información

Anuncio
126
Ministerio de Defensa
La seguridad de los sistemas
de información
UN EQUILIBRIO ENTRE VALOR Y COSTE CON MÚLTIPLES ACTORES
Lucía
Escapa Castro
SUBDIRECTORA GENERAL
DE SERVICIOS TÉCNICOS Y
TELECOMUNICACIONES
Ministerio de Defensa
L
independencia de la metodología
(económicos, de negocio, etc.) es
empleada, partiendo de una pregunta
responsabilidad de la dirección
básica ¿Cuánto de seguro necesita ser
responder a la pregunta, o sea, decidir
mi sistema?
cuál es el nivel de riesgo asumible por
La respuesta a esa pregunta es
la organización y, en consecuencia,
compleja y exige, como paso previo,
cuáles deben ser las medidas técnicas
un análisis muy detallado de los
y organizativas a adoptar en el Plan de
activos de la organización, sus
Seguridad de la organización. Se trata
vulnerabilidades, las amenazas a que
de que la organización determine cuál
están expuestos, los riesgos y los
es el equilibrio entre el valor de sus
a seguridad de las
activos y el coste de su protección.
organizaciones, en el mundo
actual, es cada vez más y con
una tendencia rápidamente en
aumento, la seguridad de sus
sistemas de información. Sea en el
sector público o en el privado pocas
actividades se llevan a cabo sin el uso
en mayor o menor medida de
sistemas de información y
telecomunicaciones.
La Real Academia de la Lengua
define seguridad como “cualidad de
seguro”, es decir la situación de estar
“libre y exento de todo peligro, daño o
El Plan de Seguridad tiene
que incluir cuáles serán los
procedimientos de revisión
y auditoría que aseguren la
detección de nuevas
amenazas o
vulnerabilidades
Este Plan de Seguridad tiene que
incluir, además, cuáles serán los
procedimientos de revisión y auditoría
que aseguren no sólo su cumplimiento
sino, de modo proactivo, la detección
de nuevas amenazas o vulnerabilidades
ante las que prepararse ampliando o
renovando el Plan de Seguridad.
Al examinar más en detalle cuál es
el alcance del concepto de seguridad
en los sistemas de información hay
tres elementos clave que sobresalen:
la dependencia de las
riesgo”. Al aplicar esta definición al
organizaciones de estos sistemas
campo que nos ocupa el concepto de
requiere asegurar su funcionamiento,
la importancia de los datos
seguridad describe una situación
relativa, que depende de cuál sea el
costes (de todo tipo) asociados a esos
almacenados y gestionados obliga a
riesgo, peligro o daño considerado y
riesgos. Además es preciso determinar
proteger la integridad de y el acceso a
presenta dos caras: una proactiva,
las medidas de seguridad capaces de
los mismos,
ligada a la prevención o protección, a
disminuir los riesgos, sus costes de
la preparación para una situación
implantación y operación, los tiempos
la organización acerca de sus
hipotética y otra reactiva, ligada a la
asociados y las posibles nuevas
características exige velar por un uso
defensa, a la actuación ante un
vulnerabilidades que podrían
correcto de los mismos.
ataque real.
introducir en el sistema…
Por tanto el análisis de la seguridad
Al final de este proceso, con toda
el conocimiento del personal de
Es posible por tanto identificar tres
de los sistemas de información debe
esta información estructurada,
niveles superpuestos de seguridad: la
siempre acometerse, con
categorizada y traducida a indicadores
seguridad de las infraestructuras, o
nº 28 ESPECIAL AGE 2008-2009
127
Ministerio de Defensa
sea el hardware y el software que
soportan la actividad de la
organización; la seguridad de los
datos, que son el núcleo de esa
actividad y la seguridad de las
personas, como usuarios, gestores,
productores o consumidores de las
infraestructuras y los datos.
Estos tres niveles comportan una
multitud de actores implicados en la
seguridad: servidores, enlaces de
comunicaciones, productos de
software, dispositivos de
almacenamiento, dispositivos móviles,
desarrollos a medida, técnicos de
otras empresas, empleados con
diferentes grados de sensibilización...
El Plan de Seguridad tiene que
abordar esos tres niveles y los actores
que intervienen, pero debería hacerlo
“ex ante” y no “ex post”, como suele
ser lo habitual. Es decir nunca debería
acometerse la construcción de un
sistema de información y mucho
Es responsabilidad de la
dirección decidir cuál es el
nivel de riesgo asumible por
la organización
menos un Plan de Sistemas sin un
electrónica entre los componentes del
sistema,
el control del tiempo y medidas
de caducidad de operaciones y
permisos,
la monitorización de elementos
(hw o sw) críticos y reacción
análisis previo que haya permitido
responder a “LA” pregunta y
el uso de métodos de
identificación y autenticación
automática del sistema hacia un
la asignación de un equipo
estado de mayor seguridad,
la definición de medidas de
establecer el Plan de Seguridad
responsable de seguridad del proceso
correspondiente.
de obtención y establecimiento de las
seguridad y control de acceso
métricas de evaluación,
asociadas a los propios datos (cifrado,
Esta aproximación, claramente
proactiva, conlleva un enfoque bastante
distinto de todas las tareas que forman
la inclusión desde el comienzo de
elementos hardware redundantes,
el empleo de técnicas de
la construcción del sistema, para
programación redundante y tolerante
contemplar, entre otros elementos:
a fallos,
llaves software…)
el empleo de simuladores como
herramientas de prueba,
la participación de usuarios con
técnicas y expertos en “hacking”
Es posible que a primera vista el
proceso de obtención de sistemas de
información en este marco de
referencia parezca más costoso o más
largo que en una aproximación
convencional de primero definir el
sistema y después definir su seguridad.
Sin embargo una organización que
adopte este enfoque de manera global
comprobará que el coste total de la
seguridad disminuye y que el
mantenimiento del nivel de seguridad
de sus sistemas de información resulta
un proceso mucho más predecible,
organizado e integrado en el ciclo de
vida de los propios sistemas.
nº 28 ESPECIAL AGE 2008-2009
Descargar