Seguridad y TI, algo más que una moda
Por: José Moreno y Cuitláhuac Osorio
Los medios especializados han abordado cada vez con mayor insistencia el tema de la seguridad en las Tecnologías de Información y Comunicaciones (TIC).
A partir de los violentos hechos del 11 de septiembre, este tema ha tomado cada vez mayor atención y evidentemente las soluciones tecnológicas, las propuestas de servicios y las ofertas de consultoría se han posicionado en la atención de los responsables de TIC en las organizaciones.
Si analizamos el impacto que tienen las TIC en la vida actual podemos rápidamente concluir que la seguridad de muchos sistemas de información actuales es crítica y cualquier intromisión podría tener consecuencias tan graves como las del 11 de septiembre; piense el lector, por ejemplo, en los sistemas de control de tráfico aéreo.
Por otra parte, el advenimiento de Internet como una herramienta cotidiana de trabajo también ha provocado un impacto sustancial en el desarrollo de metodologías, normatividad y soluciones tecnológicas para seguridad. Las razones son fundamentalmente que Internet es una red abierta y compleja y es evidente que no se puede tener un buen sistema de seguridad ante estas dos características. Sin embargo, la interacción de nuestras organizaciones es cada vez mayor a través de Internet.
Este tema de la seguridad es tan viejo como lo son las tecnologías de información, pero también es cierto que ha evolucionado junto con ellas: desde el "Libro Naranja" del Departamento de Defensa de los Estados Unidos, hasta la normativa ISO 17799, podemos observar como las normas se han ido ajustando al desarrollo de las TIC. La percepción de los responsables de las TIC en las organizaciones también ha cambiado y ahora parece convertirse en un tema estratégico.
No obstante, en la praxis la realidad laboral en la mayoría de las organizaciones rebasa a la implantación de prácticas correctas encaminadas a lograr un buen manejo de la seguridad. ¿Por qué? Las respuestas son variadas.Un factor muy importante es la continuidad de las prácticas de seguridad al interior de la organización. En este tema, seguridad en TIC es más que políticas, manuales, software y hardware; tiene que ver mucho con las personas que colaboran, en todos los niveles dentro de las organizaciones, ya sean permanentes, eventuales, asesores externos, consultores, etc.
La gran mayoría de los esfuerzos relacionados con la seguridad, aún después de llevar a cabo inversiones importantes en componentes tecnológicos y conocimiento, tienden a perder fuerza con el paso del tiempo lo que presupone un aumento del riesgo. Es evidente que al estar involucrado el factor humano, el tema se convierte en un asunto vivo y, como tal, debe atenderse al interior de la organización; es decir, sostener prácticas de trabajo que garanticen la seguridad de TIC debe ser un trabajo cotidiano dentro de la organización.
Otro tema fundamental es la percepción del valor de las inversiones realizadas en seguridad. De hecho, el verdadero valor de estas inversiones queda explícito al existir algún incidente. Una gran cantidad de factores cualitativos están involucrados en estos eventos y su medición en términos de retorno de inversión se hace compleja; sin embargo, el no estar preparados para incidentes de esta naturaleza tiene costos mucho mayores a los directamente involucrados con pérdida de productividad y disponibilidad de servicios.
También es importante mencionar que no existe un sistema de seguridad perfecto. No importa cuanto desarrollo exista alrededor de la tecnología para soluciones de seguridad, los ataques continúan dándose y permanentemente habrá que verificar que las soluciones adoptadas reduzcan el riesgo existente. En este sentido, la seguridad es relativa y las acciones para soportarla forman parte de un proceso permanente dentro de la organización.
Pasos a seguir
Para iniciar el tratamiento de la seguridad al interior de una organización el primer paso es llevar a cabo un estudio de análisis de riesgos. Este tipo de estudios se pueden llevar a cabo con diversas metodologías, inclusive existen herramientas automatizadas para facilitar su elaboración, lo más importante es que se lleve a cabo y que defina de manera muy concreta los riesgos y costos que la organización esta dispuesta a asumir en el caso de que suceda un incidente que comprometa la seguridad.
Un sistema de seguridad deberá buscar asegurar la integridad, disponibilidad y confidencialidad de las TIC. Esto básicamente significa que la información, los sistemas y recursos de TIC deben ser accesibles sólo para aquellos que lo tienen permitido, deben estar disponibles siempre que se necesiten y finalmente los cambios a la información, sistemas y componentes deben realizarse de acuerdo a un procedimiento especifico y autorizado. Estos factores deben ser ponderados de acuerdo a cada organización.
Para lograrlo existen diferentes metodologías y normas. Aquí presentamos los diez puntos de control emitidos en la norma ISO 17799, que tiene su origen en el estándar BS 7799 del Reino Unido.
1. En toda organización debe existir un documento con las Políticas de Seguridad existentes.
2. Las responsabilidades de las prácticas de seguridad deben estar claramente asignadas.
3. Deben existir educación y capacitación en seguridad de la información para toda la organización.
4. Se deben documentar los incidentes de seguridad ocurridos así como las acciones esperadas de acuerdo a cada incidente.
5. Deben existir controles para la prevención y detección de virus
6. Debe existir un Plan de Continuidad de Operación.
7. Debe existir control sobre los derechos de autor del software existente.
8. Deben existir salvaguardas a los registros críticos de los procesos administrativos.
9. Debe de garantizarse la privacidad de los datos personales.
10. Deben existir revisiones periódicas del cumplimiento de estos elementos de controlCada uno de estos puntos representa un sinnúmero de procedimientos, componentes tecnológicos, verificaciones de seguimiento, etcétera; lo más importante, empero, es reconocer que no importa el tamaño y tipo de organización, la seguridad de su infraestructura , sus sistemas e información bien merecen prácticas de seguridad que minimicen los riesgos de un incidente que destruya uno de los activos más valiosos de nuestra organización: el conocimiento detrás de la información.
Lea este artículo en Intermanagers ©