En el otro extremo, la implantación de un SGSI muy exhaustivo puede ser inviable, y paralizar las repeticiones “Plan-Do-Check-Act”, conduciendo a no tener un SGSI, o a que su ejecución sea demasiado lenta. Ambos casos reducen la inversión en seguridad al valor aislado y con la caducidad que las medidas puntuales aporten a los equipos u objetos concretos.
Aplicación práctica
En una empresa ocurren muchos incidentes de seguridad; algunos son de pequeña importancia, como las frecuentes interrupciones en la conexión a internet, y otros son más críticos, como las paradas del sistema durante jornadas completas, debido a errores en los servidores. También se producen fugas de información, pequeños hurtos de periféricos, y otros accesorios. La empresa también es consciente del incumplimiento de alguna ley referente a la información. La Dirección expone la situación, y pide que se proponga un plan de acción para corregir todos esos problemas.
Resumir brevemente las acciones a realizar, dando al menos una justificación de las mismas.
SOLUCIÓN
1 JUSTIFICACIÓN: La situación descrita incluye multitud de amenazas, lo que indica que no conviene emprender un conjunto de medidas de seguridad aisladas para objetos concretos. Se necesitan también aspectos de gestión, aspectos legales, aspectos éticos u otros específicos de la naturaleza y ambiente interno y externo de la empresa.
2 ACCIONES A REALIZAR: Se debe implantar un Sistema de Gestión de Seguridad de la Información (SGSI), como sistema para establecer y mantener un entorno seguro, consistente en las siguientes 4 tareas de ejecución continua:Planificar: analizar las necesidades de seguridad de la empresa.Hacer: implantar las medidas de seguridad necesarias.Chequear: medir si se han alcanzado las necesidades de seguridad.Corregir: detectar y aplicar mejoras en las medidas de seguridad.El SGSI se apoyará en dos herramientas muy importantes:Una política de seguridad, a partir de normas como ISO 17799, la serie ISO 20000 y la legislación que sea aplicable, como la LOPD.Una metodología de evaluación del riesgo, como MAGERIT.
6. Resumen
Los equipos informáticos son cada vez más relevantes para la actividad de las empresas, tanto por el valor de la información que manejan, como por las consecuencias de las acciones (u omisión de las mismas), en las que participan.
Existen amenazas de todo tipo, siempre presentes, que comprometen la actividad de los equipos, gracias a las vulnerabilidades que los equipos presentan a estas amenazas. No pudiendo eliminarlas por completo, se puede afirmar que no existe la inseguridad “cero”. Sin embargo, si se puede reducir el daño probable que una amenaza tendría en un equipo, es decir, el riesgo que el equipo entraña para la empresa.
El riesgo es mayor cuanto mayor sea el daño o impacto que una amenaza causaría en un equipo, y cuanto mayor sea la probabilidad de ocurrencia de la amenaza. Es posible reducir este riesgo, o bien reduciendo el daño que causaría una amenaza, o reduciendo la probabilidad de que esta se aplique sobre una vulnerabilidad del sistema, es decir, reduciendo las debilidades del equipo.
El daño, habitualmente, se evalúa en todas las dimensiones o propiedades de la información, que en el ámbito de la seguridad de la información son tres: la confidencialidad, la integridad, y la disponibilidad. Es decir, la información es segura si se pueda acceder a ella cuando se necesita (disponibilidad), solo por quien lo necesita (confidencialidad), y si es válida, porque solo la ha modificado quien puede hacerlo (integridad).
Para gestionar la seguridad, se emplea un modelo de gestión de la seguridad de la información basada en el riesgo, y que consta de dos fases. En una primera fase, el “análisis de riesgos”, se analiza el riesgo de las amenazas sobre los equipos informáticos. En una segunda fase, la “gestión de riesgos”, se evalúa si ese riesgo se puede asumir o no, de acuerdo con unas normas internas, o leyes que afecten a la empresa. En caso de que no se pueda asumir, hay que reducirlo, introduciendo para ello las salvaguardas o medidas adecuadas. Es muy frecuente emplear un criterio de coste/beneficio, o de análisis de viabilidad en términos económicos, para determinar la adecuación de una salvaguarda. Sencillamente, bastaría comparar el coste de la salvaguarda con el coste del riesgo, para presentar la decisión de viabilidad a la Dirección.
Establecida esta metodología general, se debe profundizar en conocer los riesgos más habituales de un equipo informático, y por lo tanto las posibles salvaguardas. Los riesgos son de naturaleza ambiental o del entorno, derivados del acceso físico, o derivados del acceso lógico a los equipos; por ejemplo, y respectivamente, un incendio, una desconexión accidental de un cable de alimentación, o un virus informático.
Por último, todo lo anterior se engloba en el Sistema de Gestión de la Seguridad de la Información, que es la forma de organizar los recursos para lograr una mejora continua en el objetivo de “asegurar la continuidad del negocio, minimizando riesgos y maximizando el ROI en seguridad”.
Las herramientas fundamentales de un SGSI serán: una política de seguridad, y una metodología para medir el riesgo.
Ejercicios de repaso y autoevaluación
1. De las siguientes frases, indique cuál es verdadera y cuál es falsa.
1 Una amenaza es la probabilidad de que haya un fallo que dañe los sistemas.VerdaderoFalso
2 Una amenaza es un posible hecho que dañaría los sistemas.VerdaderoFalso
3 Se puede eliminar una amenaza reduciendo su vulnerabilidad.VerdaderoFalso
2. Determine la fórmula correcta:
1 Riesgo = amenaza + vulnerabilidad.
2 Riesgo = probabilidad x vulnerabilidad.
3 Riesgo = impacto x vulnerabilidad.
4 Riesgo = probabilidad x daño.
3. Complete las siguientes definiciones:
1 _____________ es que la información esté disponible siempre que se necesite.
2 ______________es que la información solo esté accesible para quien esté autorizado a ello.
3 _____________ es que la información sea válida, exacta, y completa.
4 __________ o __________ es que el comportamiento de un sistema sea predecible, según su diseño y construcción.
4. Determine la combinación correcta de propiedades:
1 Fiabilidad = confidencialidad + precisión + exactitud.
2 Seguridad = confianza + integridad + disponibilidad.
3 Seguridad = confidencialidad + integridad + disponibilidad.
5. Complete la siguiente oración:
Un modelo de seguridad orientado a la gestión de riesgos, persigue organizar la gestión de la seguridad en base a dos factores: un método para __________________ y unas __________________.
6. Complete las siguientes definiciones:
1 ________________________ permite la elección de unas salvaguardas u otras, según unas directrices empresariales.
2 _______________________ permite ordenar los riesgos según su importancia, calculada cuantitativa o cualitativamente.
3 ______________ es el daño probable de una amenaza.
7.