Este artículo se publica gracias a la iniciativa de nuestro socio Roger Cuadras que ha decidido compartir con nosotros su conocimiento. Si eres socio de ATI y quieres enviarnos un artículo escríbenos un correo electrónico.
- Información relacionada:
Charla ATI sobre ciberseguridad y las implicaciones legales europeas.
Estructura básica de un programa de Seguridad de la Información
El cibercrimen es una modalidad de delito que en este momento está teniendo un crecimiento exponencial. Desgraciadamente, muchas organizaciones siguen planteándose su protección tomando en consideración solo unos pocos elementos, centrándose habitualmente solo en aspectos técnicos. Incluso el cumplimiento de la legalidad vigente en materia de protección de datos personales se deja a menudo de lado.
El objeto de este texto es compartir material básico para poder explicar a los responsables de las organizaciones fundamentos que permitan poner en marcha una estrategia correcta de seguridad de la información, apelando al especialista adecuado para cada tipo de problema.
Cuando hablamos de Ciberseguridad/Cibercrimen, de Seguridad de la Información, de LOPD, o de protección de datos personales, inmediatamente aparecen distintos enfoques que merecen ser estructurados en su conjunto. Además, en muchos casos se confunde y limita la idea de Seguridad de la Información a la ciberseguridad, terminando el tema siendo clasificado como “de informática”. Esto no corresponde a la realidad, coarta de manera sensible las posibles acciones de limitación de los riesgos, y ni tan solo permite cumplir adecuadamente con la legalidad vigente sobre protección de datos que exige la protección de la información en cualquier tipo de soporte. Sin olvidar que el cibercrimen o el no cumplimiento de la legalidad pone en riesgo la existencia de la propia organización, tanto por problemas operacionales como financieros.
El primer concepto importante es que Seguridad de la Información engloba todo lo vinculado a la protección de los datos y la información contra:
- Accesos indeseados.
- Robo.
- Destrucción.
- Secuestro.
- Modificaciones no permitidas.
- Copias no autorizadas.
- Averías informáticas.
- Corrupción accidental de datos.
- Accidentes físicos como inundaciones o incendios.
Así, un esquema básico para adentrarnos en esta disciplina es clasificar la seguridad de la información en 3 niveles básicos:
1. Lo que denominamos infraestructura, o medios materiales e inmateriales usados para el proceso y almacenado de la información; se trata, en el caso de la informática, esencialmente de:
a. Servidores.
b. Redes.
c. Estaciones de trabajo (PCs de sobremesa, portátiles, tablets, smartphones…).
d. Sistemas operativos (Windows, Linux…).
e. Plataformas para las aplicaciones, como pueden ser los gestores de contenido (Content Management Systems, CMSs, tales como Wordpress, Joomla, Liferay, etc.).
f. Herramientas de “Office Automation” (MS Office, correo electrónico, sistemas de presentaciones, etc.)
2. Aplicaciones y sistemas, programas para gestionar el acceso, manejo y almacenado de la información, sistemas industriales; también sistemas de uso específico tales como los médicos se incluirían en este grupo; ejemplos de estos sistemas serían SAP, Salesforce, SCADA, cualquier tipo de ERP, SAP, sistemas de nómina, sistemas de tratamiento de la imagen para diagnósticos, etc.
3. La organización: se trata de las personas, y de los procedimientos y de los controles puestos en práctica para la ejecución de las actividades de negocio y de otras auxiliares, incluyendo la gestión de los medios descritos en los puntos 1 y 2, y de la propia seguridad de la información.
En general, todas las personas de la organización deben llevar a cabo sus actividades profesionales respetando las normas de seguridad, y además deben poder contribuir activamente a la detección de situaciones de riesgo, por ejemplo, identificando ataques a través del correo electrónico.
Las organizaciones deben afrontar la seguridad de la información de abajo a arriba, por niveles (en el esquema descrito, el nivel más bajo sería el del punto 1 y el más alto el del punto 3), especialmente en aquellos casos en que la inversión en este tema ha sido escasa o errónea, o cuando existen fuertes restricciones financieras; como ejemplo, una campaña de concienciación en seguridad de la información tendría una utilidad muy limitada si no se ha implementado la adecuada solución anti-virus en todos los equipos informáticos, o si ésta no funciona adecuadamente.
Así pues, cada situación debe analizarse específicamente, tomando en consideración:
- El tipo de organización.
- El sector en el que se desarrollan las actividades.
- La dimensión de la organización.
- El nivel de madurez.
- Los objetivos y prioridades de negocio.
El principal resultado de este análisis sería un mapa de riesgos que incluyera apartados para cada uno de los niveles descritos. A partir de este mapa, se podrán establecer planes de acción que deben incluir las prioridades y las restricciones de negocio, técnicas y presupuestarias de la organización. Finalmente, legislación vigente y estándares tales como LOPD, ISO/IEC 27000, PCI DSS, NIST, HIPAA o FISMA tienen que formar parte de los requerimientos y de los procesos de decisión.
Roger Cuadras
Consultor en Seguridad de la Información
| Twittear |  |
