9 Separaciones de redes, por ejemplo, en base a servicios de información, o grupos de usuarios o sistemas.
10 Controles de las conexiones que realizan los usuarios hacia fuera de la empresa.
11 Controles de acceso al sistema operativo, como la identificación y autenticación del usuario, un sistema automático de gestión de contraseñas, la restricción del uso de las utilidades del sistema operativo, el cierre de sesiones por inactividad, y la limitación de los periodos válidos para los inicios de sesión.
12 Controles de acceso a las aplicaciones y la información, como controles de lectura, escritura, modificación de archivos, y carpetas; o el aislamiento de la información confidencial, por ejemplo, en sistemas con cifrado integrado.
13 Establecimiento de una política para trabajo en movilidad, que incluya las comunicaciones móviles y el teletrabajo.
Actividades
7. Plantee un hipotético registro de usuarios y de los servicios a los que acceden, en una empresa con 10 trabajadores, 3 departamentos, y 5 servicios entregados por los equipos informáticos (acceso a internet, correo electrónico, impresión, base de datos de contabilidad, y base de datos de clientes).
5. La gestión de la seguridad informática como complemento a salvaguardas y medidas tecnológicas
A la vista de la multitud de amenazas y salvaguardas consideradas, no se puede enfrentar el problema mediante un conjunto de medidas de seguridad aisladas para objetos concretos. Es decir, se pueden interponer multitud de salvaguardas y mecanismos de seguridad, pero estas salvaguardas por sí mismas, no aportan suficientes garantías de continuidad a la empresa. Es necesaria una gestión adecuada de esas medidas, que incluirá los procesos, revisiones, recalificaciones, y adaptaciones para la realidad cambiante de la empresa, su entorno, sus amenazas y sus debilidades.
Para la construcción de un sistema de seguridad, no bastan los conceptos tecnológicos, sino que se necesitan también aspectos de gestión, aspectos legales, aspectos éticos, u otros específicos de la naturaleza y ambiente interno y externo de la empresa.
Es en este punto en el que surge el concepto de Sistema de Gestión de Seguridad de la Información (SGSI), como un sistema de gestión usado para establecer y mantener un entorno seguro. Se trata, sencillamente, de analizar la empresa, y fijar sus necesidades de seguridad iniciales, de poner en práctica las medidas de protección para lograr alcanzar estas necesidades, de ser capaz de medir si se han alcanzado o no, y de detectar las mejoras en las medidas de protección para alcanzar las necesidades.
La anterior secuencia describe una repetición continua de fases de planificación (en inglés, plan), ejecución (en inglés, do), medida (en inglés, check) y corrección (en inglés, act), constituyendo un ciclo de mejora continua de Deming (P-D-C-A), como muestra la siguiente imagen.
Se analizan o planifican las necesidades de seguridad de la empresa, estableciendo las medidas de protección necesarias para alcanzarlas; se implantan las medidas, se mide el resultado de satisfacción de las necesidades de seguridad, se determinan las correcciones que hay que realizar en las medidas de protección, y se vuelve a comenzar (revisando las necesidades y las medidas que permitirían alcanzar esas necesidades, incluyendo las correcciones detectadas en la ejecución anterior).
En este proceso de ejecución continuo, no se debe perder de vista el objetivo último que, usando una terminología empresarial, podría enunciarse como “asegurar la continuidad del negocio, minimizando los riesgos, maximizando el retorno de la inversión y permitiendo nuevas oportunidades para la empresa”.
Una empresa pequeña o mediana (PYME) puede enfrentar serias dificultades para abordar la implantación de un SGSI, desde una perspectiva tan compleja y abstracta como la del enunciado anterior. Las normativas y metodologías existentes, algunas ya mencionadas en este capítulo como ISO 17799 y MAGERIT, resultan demasiado amplias y extensas, por su necesaria globalidad para todo tipo de organizaciones.
La solución, sin embargo, es nuevamente sencilla, y consiste en aplicar un principio que será muy frecuente en el ámbito de la seguridad de la información: el principio de proporcionalidad, que nos dice que “las medidas deben adecuarse a sus objetivos”. En el ámbito de la seguridad de la información, “las salvaguardas deben ser proporcionales al riesgo”.
Por ejemplo, para el control de acceso a una estación de trabajo, donde los usuarios realizan labores ofimáticas sobre datos no confidenciales, bastaría inicialmente emplear un sistema de usuario y contraseña, integrado en el propio sistema operativo. Parece una medida proporcional en coste al objetivo de seguridad, que vendrá marcado por el riesgo que introducen en la empresa los sistemas informáticos accesibles desde esos puestos.
Por ejemplo, si desde una estación de trabajo, un usuario puede realizar transferencias entre cuentas de clientes y proveedores, debería emplearse –al menos en ese puesto de trabajo– un sistema de autenticación fuerte, basado no solo en algo que sepa el usuario, como su contraseña, sino también en algo que el usuario tenga, como su DNI electrónico.
El principio de proporcionalidad permite enfocar adecuadamente un sistema de gestión completo, y se puede afirmar que “el SGSI debe ser proporcional al valor de la continuidad del negocio”.
Las herramientas elementales para la correcta gestión de la seguridad informática, no son equipos de alta tecnología y costes inabordables. Las herramientas elementales son dos:
1 La redacción de una política de seguridad de la información, que recoja de las directrices del SGSI a partir de las cuales derivarán todas las demás acciones. En este libro se empleará el contenido y recomendaciones recogidas en ISO 17799 y en la serie ISO 27000, así como en la Ley Orgánica de Protección de Datos de Carácter Personal (LOPD), de manera proporcional a la empresa objetivo de aplicación.
2 La adopción de una metodología sencilla, que permita evaluar el riesgo. En este libro se empleará el contenido y recomendaciones recogidas en MAGERIT, de manera proporcional a la empresa objetivo de aplicación.
Sabía que...
la serie de normas ISO 27000 se comienza a crear en 2005, aunque existen normas parecidas de seguridad de la información bastante anteriores, como la BS 7799 de 1995 y la ISO 17799 de 2000.
La serie ISO 27000 está formada por muchas normas, entre las que destacan:
1 ISO 27000: términos y definiciones.
2 ISO 27001: requisitos de un SGSI.
3 ISO 27002: controles o salvaguardas (muy similar a la ISO 17799).
4 ISO 27004: cómo medir la eficacia de un SGSI.
5 ISO 27005: gestión de riesgos.
6 ISO 27007: auditoria de un SGSI.
7 ISO 27011: seguridad de la información para telecomunicaciones.
Ambas herramientas permiten dar los pasos de planificación y medida, y serán las armas esenciales de un SGSI. Por otro lado, la ejecución de las medidas, y las correcciones que se emprendan, deben adecuarse en virtud a la proporcionalidad que exista en la aplicación de la política de seguridad.
Lo anterior hace factible