La información puede existir de muchas formas, esta puede estar impresa, escrita en papel, almacenada electrónicamente, transmitida electrónicamente, mostrada en un filme o hablada en una conversación. Cualquiera que sea la forma que tome la información o la manera en que sea compartida o almacenada siempre debe ser protegida apropiadamente.
La seguridad de la información es la protección que se brinda a los datos para evitar cualquier posible ataque; y así asegurar la continuidad del negocio, minimizar los riesgos, maximizar el retorno de la inversión y aprovechar oportunidades de negocio.
¿Por qué debe darse importancia a la seguridad de la información?
Lo primero que se debe hacer es identificar un proceso o esquema de trabajo que permita garantizar un nivel de seguridad para la información, identificando los riesgos y los niveles de protección que se deberán implementar para garantizar la protección de este activo.
Para empezar es fundamental romper un MITO que es Información = Sistemas del área de por el contrario la información es un ACTIVO más de la empresa.
Entonces, ¿qué es la información?
- La información es: electrónica / no electrónica
- La información puede: estar comprometida / asegurada
- La información tiene: una fuente / un uso / un valor / un riesgo
- Las amenazas de la información son: personas / procesos / tecnología
Ahora bien, ¿por qué es necesario proteger dentro de una organización los servidores y las aplicaciones?
Sencillo, porque es donde se encuentra la información para la toma de decisiones de la empresa e información confidencial.
Es muy importante crear un diagrama de relación o de dependencia que puedan tener los sistemas críticos, ya que esto permite identificar la “ruta de transformación”. por cada una de estas etapas, es crucial identificar los usuarios o administradores que tienen acceso, de esta forma se establecerán las medidas de control necesarias que permitirán proteger la información en cada proceso.
La información es un activo que, como cualquier otro activo importante en la empresa, tiene un valor para la organización y, en consecuencia, reviste la necesidad de ser protegido. Esto pone en evidencia la necesidad de proteger la información de:
- Acceso no autorizado
- Modificación
- Destrucción
- Revelación
- Pérdida
Lo anterior permite establecer la confidencialidad, integridad y disponibilidad de la información y de los activos que intervienen en su generación.
En la práctica, lo que las empresas combinan varias iniciativas para aplicar un esquema formal e integral de seguridad de la información. En este sentido, no se limitan únicamente a brindar un folleto sobre aspectos de seguridad industrial o interna al momento de contratar nuevo personal, sino que se enfocan en establecer un Sistema de Manejo de Seguridad de la Información (por sus siglas en inglés ISMS – Information Security Management System) que consiste en:
- Es un esquema de trabajo para manejar y mejorar continuamente las políticas organizacionales, procedimientos y procesos en función a la seguridad de la información.
- Un ISMS es parte integral de los sistemas de administración dentro de la organización, basado en un esquema de análisis de riesgos a establecer, implementar, operar, monitorear, revisar, mantener y mejorar.
- Se convierte en un proceso recurrente como parte natural de la operación de la organización que debe de ser repetible en base a los controles que se establezcan.
La siguiente imagen ilustra los niveles que deben implementarse para el cumplimiento de un sistema ISMS:
La pirámide establece los cuatro niveles que se deben implementar para la realización de un sistema formal para el manejo de la seguridad de la información, basado en el cumplimiento de la norma ISO 2700:
Diseño del ISMS: se define el alcance o el listado de las plataformas que estarán cubiertas bajo el sistema de seguridad. También en esta etapa se realiza un análisis de riesgo al que pueden estar expuestas las plataformas críticas y, finalmente, se realiza el establecimiento del enunciado de la política de seguridad que la empresa adoptará.
- Políticas y procedimientos: incluye la elaboración de una política de seguridad que es un documento que detalla los controles de seguridad que deberán ejecutarse sobre las plataformas críticas, se especifica la frecuencia de ejecución de dichos controles y los parámetros para establecer si se encuentran en cumplimiento o no.
- Instrucciones, Checklist, Formularios, etc.: listado de procesos que deberán ejecutarse, listas de verificación a realizarse sobre las plataformas críticas y formularios que deberán utilizarse para garantizar el registro de acciones y/o cambios que se puedan realizar sobre los sistemas amparados bajo la política de seguridad.
- Registros: el manejo de evidencias, registros y eventos deberán conservarse por un tiempo establecido, esto permitirá que se realicen los procesos de auditorías necesarios para validar el cumplimiento de los controles de seguridad.
La aplicación de la norma ISO 27001 es un paso bastante grande que las empresas pueden realizar, ya sea para el cumplimiento de normas internacionales o para poder incorporarse a procesos de exportación o comercialización con empresas de otros países, en donde la ejecución de controles de seguridad bajo este estándar es necesario.
¿Esto aplicaría para cualquier empresa?
¡Claro que sí!, la implementación de un esquema de seguridad aplica para cualquier empresa.
Me imagino que igualmente estás pensando que el aplicar un sistema de seguridad de la información es exclusivo para grandes empresas, ya que en la mayoría de casos es necesario destinar recursos tanto económicos como de personal para que un sistema se pueda implementar, así como para darle seguimiento necesario para su cumplimiento.
Si consideras que tu empresa es muy pequeña para invertir en la implementación de un sistema formal de seguridad, puedes perfectamente implementar parcialmente algunos elementos del sistema que igual les brindarán muchos beneficios, los cuales redundarán enun buen control sobre la seguridad de los sistemas como, por ejemplo:
- Validar y aplicar las actualizaciones de seguridad a los sistemas de forma periódica.
- Mantener un monitoreo del rendimiento de las plataformas para poder identificar los patrones de comportamiento.
- Manejar un repositorio central de los eventos de las plataformas más importantes para poder dar seguimiento a fallas que puedan ocurrir.
- Mantener una documentación actualizada tanto del inventario de equipos como de las configuraciones de los sistemas.
Los ejemplos previos son acciones que fácilmente se pueden realizar sin llegar a implementar todos los controles que formalmente se establecen en la ISO 27001. Esto significa que sin mayor inversión económica se puede desarrollar un nivel de control y monitoreo bastante aceptable de las plataformas críticas.
Existen muchas herramientas gratuitas que permiten realizar los controles detallados anteriormente, entre algunos que puedo compartirte:
- Monitoreo de Rendimiento 🡪 (OpManager, 2017)(versión gratuita hasta 10 equipos)
- Monitoreo de Aplicaciones 🡪 (AppManager, 2017)(versión gratuita hasta 10 equipos)
- Registro central de eventos de sistemas 🡪 (Syslog, 2017)
Hay muchas otras alternativas de código abierto (OpenSoure) que pueden ser utilizadas para lograr estos objetivos también.
El éxito en la utilización de estas herramientas está en poder tener el control de cómo los equipos, aplicaciones o plataformas del negocio se están comportando para poder llegar a tener incluso la capacidad de predecir cargas de trabajo. Esto último se conoce como Planificación de Capacidades para poder ser preventivos y no reactivos ante nuevas demandas de trabajo que se deben afrontar, pero sobre todo, permitirá l lograr un nivel de automatización en el monitoreo de las aplicaciones críticas, lo que nos dará la tranquilidad de saber que las operaciones se están desarrollando de la mejor manera.
De igual forma el uso de aplicaciones de monitoreo y control facilita la implementación de un esquema de seguridad, en donde podemos contar con las evidencias de accesos no autorizados o comportamientos anormales en las aplicaciones del negocio.
Es evidente que tener esquemas y políticas de seguridad de la información trae suficientes beneficios sobre el negocio, por lo que cualquier organización sin importar su dimensión debe ponerse manos a la obra para proteger uno de sus principales activos: su información y todo su conocimiento.