Back to previous page   Print page

IRCA
Haga click aquí para visitar el sitio WEB principal del IRCA

Versión para imprimir

TI bajo escrutinio

La seguridad en Tecnología Informática (TI) tiene una fama de ser una barrera  más que una ayuda, en los lugares de trabajo. Esta situación está comenzando a cambiar, y la norma ISO 27001, la nueva forma sobre seguridad de la información, ya está colaborando en reorientar la seguridad organizacional de TI hacia las necesidades reales de los negocios, según Alan Calder y Steve Watkins

La norma ISO 27001 es la primera especificación internacionalmente reconocida, de sistemas de gestión de la seguridad de la información. Tiene un potencial de uso mucho mayor que lo que la gente imagina, pero usada erróneamente se convertirá en un fósil, dejada de lado por la rápida evolución de la tecnología y de las amenazas tecnológicas.  

Una nueva profesión

La seguridad de la información es una profesión nueva, tanto como la computadora moderna y la red informática actual.  No fue la invención de la PC (computadora personal) como tampoco la fundación  de Micrsoft, pero sí la aparición de internet a los mediados de 1970 que dio lugar a un mundo nuevo, online,  en el cual información digital podía ser transportada y almacenada en grandes cantidades y por una cantidad creciente de personas.

Hackers informáticos existieron desde el momento que organizaciones comenzaron a almacenar información en computadoras. Antes de la Internet, los hackers tenían que acceder personalmente al equipo antes de que pudieran intentar acceder a la información guardada en él. Pero una vez que las máquinas estuvieron conectadas todas entre sí, los hackers remotos tuvieron una cantidad mayor de oportunidades. Luego aparecieron los virus informáticos: la primer computadora con virus apareció hace 20 años.¿Qué sucede hoy?. Hay más de 120.000 virus instalados en la “jungla” (gratis en Internet).

Nosotros consideramos al siglo XXI con el siglo de la información. Debido a eso, el componente más importante de cualquier balance corporativo es su capital intelectual – el capital intangible que incluye:

  • propiedad intelectual, tal como marcas, marcas registradas, derechos de copyright y patentes
  • bases de datos de clientes y proveedores
  • conocimiento de las personas y de las áreas
  • procesos de los negocios
  • competencia organizacional (combinación del know-how, procesos, sistemas y experiencia que permiten a una organización lograr sus objetivos).

El capital intelectual ha dependido, desde su comienzo, en la TI y, como nosotros sabemos, la TI es vulnerable a ataques externos. También es vulnerable a fraudes internos de una manera que puede destruir una organización en cuestión de horas (por ejemplo, el Banco Baring lo aprendió a un costo muy elevado).  También es vulnerable simplemente a errores humanos.  

Privacidad personal

Por supuesto, no es solamente información corporativa la que está bajo un alto riesgo. Actualmente proliferan bases de datos conteniendo información individual y de consumidores  - nombres, direcciones, datos de seguridad social, datos sobre tarjetas de crédito. Son objetivos atractivos por ladrones, que saben que pueden usar esa información para robar millones de libras y llevarla al otro lado del mundo en forma silenciosa, sin obstáculos y sin peligro para ellos mismos.

Lamentablemente, los consumidores no hacen mucho para protegerse contra estas amenazas, tanto en el trabajo como en sus casas. En una encuesta reciente, el 85% de los que participaron entregaron su clave personal por un café en Starbucks – se ofreció a los participantes un café gratis si podían recordar – y compartir – su clave de acceso corporativa – y de aquéllos que no quisieron entregarla, su gran mayoría estaban dispuestos a confirmar si su clave era el nombre de soltera o la fecha de cumpleaños de sus hijos.

Los reguladores se han sumado a la preocupación: ellos sospechan que se consiguen votos si se protege a los consumidores contra el robo de su información individual y, como resultado, la legislación, referida a la protección de información y la privacidad personal, está proliferando en todos los países que pertenecen a la Organización para la Cooperación y Desarrollo Económico.

Todos los países de la Unión Europea han implementado regulaciones exigentes, y más de la mitad de las legislaturas de los estados de Estado Unidos han hecho lo mismo. Por supuesto, no hay coordinación alguna en la elaboración de esta legislación, por lo que organizaciones que operan en más de una jurisdicción  (o, en algunos casos, con clientes de más de una jurisdicción) están expuestas a posibles contradicciones (no testeadas) entre las leyes y al regulación.

Cumplimiento regulatorio

El tema de la privacidad personal general es solamente la punta del iceberg. Hay requisitos especiales de algunos sectores, por ejemplo la HIPAA (Health insurance portability and availability act) y el GLBA (Gramm-Leach-Bliley Act) en los Estados Unidos, los requisitos de la industria de las tarjetas de crédito que aplican a todos los puntos de venta que aceptan Visa o MasterCard, las regulaciones del Financial Services Act, y así sucesivamente. Están también los requisitos cada vez más complejos de las auditorías a los gobiernos corporativos, quienes quieren aseguramiento de que los sistemas de información y comunicación, sobre los que depende la contabilidad de la organización, sean seguros y estén bajo control.

La “seguridad de TI” – la selección e implementación de controles por el equipo de TI – no es una solución eficaz para el rango complejo de temas que deben enfrentar las organizaciones. Cada organización requiere un enfoque coherente y comprensivo de la seguridad de la información, que sea capaz de ser adaptado a sus necesidades y circunstancias específicas. La respuesta no es simplemente “seguridad de TI” sino seguridad de la información.

En la norma ISO 27001, seguridad de la información es definida como la “preservación de la confidencialidad, integridad y disponibilidad de la información. Adicionalmente, otras propiedades pueden verse involucradas, tales como: autenticidad, responsabilidad, “non-repudiation” y confiabilidad”:

  • disponibilidad – “estar disponible y utilizable bajo pedido de la entidad autorizada”
  • confidencialidad – “información no disponible o entregable a procesos, personas o entidades no autorizadas”
  • integridad - ‘custodio de la exactitud e integridad de la información”.

La norma ISO 27001 describe en forma sistemática cómo asegurar la disponibilidad, confidencialidad e integridad de la información dentro de una organización. Reconoce que existen amenazas a la información, las que deben tenidas sen cuenta por la organización.

Obviamente, hay riesgos que deben ser identificados, y para la mayoría de esos riesgos, un buen enfoque gerencial indicaría la necesidad de introducir cierto grado de control. El desafío es, sin embargo, que aunque la gerencia sean capaz de identificar todos los riesgos en la seguridad de la información y los controles apropiados para los mismos, la implementación de controles cuesta dinero, y es improbable que la implementación de cada control posible pueda estar al alcance de las  organizaciones, y sea razonable, o aún necesario.

En el Reino Unido, las organizaciones deben tener en cuenta también los requisitos de:

  • la ley de Protección de la Información (Data Protection Act)
  • la ley del Uso Indebido de Computadoras (Computer Misuse Act)
  • regulaciones relacionadas con la privacidad
  • la ley de Copyright, Diseños y Patentes (Copyright, Designs and Patents Act)
  • y para organizaciones del sector público, la ley de Libertad de Información (Freedom of Information Act)

Todos estos requisitos tienen un impacto directo en la gestión de la información.

En el año 1998 se introdujo un esquema nuevo de certificación acreditada según una norma que especificaba requisitos para la gestión de la seguridad de la información. Estas normas eran la BS 7799 Partes 1 y 2 (la Parte 1 era un Código de Práctica y la Parte 2 una especificación de un sistema de gestión según la cual las organizaciones podían ser evaluadas y auditadas).

En el año 2000, la Parte 1 fue emitida, con modificaciones menores, como la norma internacional ISO/IEC 17799. En el año 2005 fue revisada y emitida con cambios sustanciales, pero aún definiendo un Código de Práctica  que consiste, en su mayor parte, en un listado de controles que permiten encarar riesgos específicos. Esta norma ha sido adoptada mundialmente, y sus principios se ven reflejados en normas tan diversas como la norma de la industria de pago con tarjeta de crédito y la ley federal de Estados Unidos sobre la gestión de la seguridad de la información (US Federal Information Security Management Act).

La Parte 2 de la norma BS 7799 (Especificación de un sistema de gestión) fue revisada en el año 2002, introduciendo el modelo Planificar-Hacer-Verificar-Actuar (PDCA, Plan-Do-Check-Act). En el año 2005, varias de las versiones nacionales de la norma BS7799-2 que se habían emitido en todo el mundo fueron reemplazadas por una única norma internacional – ISO 27001 – basada principalmente en la última versión de la norma BS 7799.

La norma ISO 27001 define el ciclo PHVA como un medio para introducir un sistema de gestión de seguridad en la información (ISMS).  Cada una de las etapas del ciclo requiere:

  • planificar – definir el alcance del ISMS, definir la política de la seguridad de la información, definir y conducir una evaluación sistemática de riesgos – a un nivel elemento de información individual; identificar y evaluar opciones para tratar esos riesgos; seleccionar los controles y los objetivos del control para cada riesgos y preparar una declaración de aplicabilidad.
  • hacer – elaborar el plan de control de los riesgos, incluyendo la planificación de procesos y procedimientos; implementar el plan de control de riesgos y los controles contenidos en ese plan; proporcionar formación y asegurar la toma de conciencia del personal; gestionar las operaciones y los recursos en forma alineada con el ISMS, implementar procedimientos para la identificación de accidentes de seguridad y la forma de responder a los mismos.
  • verificar – esta etapa es la de monitoreo, ensayos, auditoría y análisis críticos
  • actuar – los hallazgos de la etapa “verificar” deben ser analizados y deben tomarse acciones en función del resultado de ese análisis, incluyendo acciones sobre cualquier situación que afecte a los riesgos.  

Las normas ISO 27001 e ISO 17799

El Apéndice A de la norma ISO 27001 consiste en un listado de controles. Hay 134 controles, clasificados en 12 grupos principales. Estos controles están relacionados con todas las áreas potenciales de riesgos, desde virus y códigos de teléfonos móviles, hasta el robo de la propiedad intelectual, continuidad de los negocios y control de los accesos. Los controles listados en el Anexo A reproducen aquellos controles contenidos en la norma ISO 17799, la cual se sugiere consultar como una guía de buenas prácticas para implementar los controles. En realidad, la ISO 27001 indica como mandatorio el uso de la norma ISO 17799, y al mismo tiempo describe el sistema de gestión que permite a los controles de la norma ISO 17799 formar parte de un marco integrado.

Como parte de la etapa “Planificar”, la organización tiene que elaborar una declaración de aplicabilidad. En esta declaración, la organización establece cuáles de los controles listados en el Anexo A aplican a sus actividades y cómo estos controles están implementados.  Por ejemplo, la declaración para el control 5.1 del Anexo A puede consistir en que la organización tenga una política de seguridad de la información, aprobada por el comité de dirección y disponible, en la intranet, a todo el personal  y terceras partes, según sea apropiado. Cuando un de los controles no se aplica, debe haber una justificación, tal como que los controles sobre el desarrollo de programas de computación no son necesarios, debido a que la organización obtiene todos sus software de proveedores externos. 

Favorecer a los negocios

A pesar de que la norma ISO 27001 describe una especificación rigurosa de un sistema de gestión de la seguridad de la información coherente e integrado, no es una panacea.  El desarrollo e implementación de un sistema según la norma ISO 27001 no es para ”débiles”, y su éxito depende mucho de 3 aspectos: el proceso de evaluación de riesgos, el nivel real de compromiso de la gerencia y la participación diaria del personal y usuarios.

Uno de los principios clave de la norma ISO 27001 es que se deben implementar solamente aquellos controles que ayuden a los negocios a protegerse teniendo en cuenta los costos, sin poner en peligro los objetivos de la organización. Las organizaciones que aplican este principio son aquéllas en las que el equipo de seguridad de la información es considerado como que favorece a los negocios, en lugar de entorpecerlos.  Esto sucede solamente cuando la gerencia – desde el director general hacia abajo – comprende y acepta la seguridad de la información como un sistema y una filosofía dentro de la organización. Cuando la gerencia guía al personal de seguridad y ayuda a definir e implementar (en forma permanente) el enfoque de evaluación de riesgos, entonces la organización incorporará un enfoque constructivo hacia la seguridad de la información.  

Tecnología en continuo cambio

Mensajería instantánea (“Instant Messaging”), sistemas telefónicos de voz sobre IP (“Voiceover IP telephone systems”), uso de la red en forma inalámbrica y “blogs” son todas tecnologías que están siendo rápidamente utilizadas en el mundo de las corporaciones. Estas fueron inicialmente concebidas como tecnologías para los consumidores; no tienen la robustez de un producto típico para empresas, tampoco tiene integrado el nivel de seguridad que hoy se espera de los productos para empresas. Sin embargo, son muy útiles, muy fácil de implementar y una pesadilla para la gente de seguridad de la información – a no ser que estén alertas ante cambios tecnológicos y escenarios de amenazas en continuo cambio.

En muchas organizaciones internacionales, la política de acceso a la red de seguridad de la información es establecida por el equipo de TI, sin referencia a los negocios o actividades de la organización. Como resultado de esto, los usuarios de las empresas usan rutinariamente “USB memory sticks” para mover información entre computadoras – con todo el riesgo asociado de pérdida, daño y duplicación de la información. La respuesta correcta a esta situación no debería ser el bloqueo del uso de USB, pero muy a menudo, esto es lo que sucede.

Estas son las organizaciones donde la seguridad de la información estrangula a los negocios. La implementación de un sistema según la norma ISO 27001, con énfasis en los controles basados en riesgos y la conducción de la gerencia, puede salvar una organización de sí misma. Inevitablemente, habrá organizaciones que implementan la norma ISO 27001 en forma prescriptiva, insistiendo en establecer todos los controles e ignorando el principio de controles basados en los riegos y de soluciones orientadas hacia los negocios. Estas organizaciones no sobrevivirán las amenazas cambiantes provenientes del mercado de la tecnología en rápida evolución. Por ejemplo, responderán a usuarios que desean usar la técnica de mensajería instantánea desactivándola, prohibiendo “blogs” y haciendo la navegación en la web más difícil. 

La seguridad de la información está tomando cada día un perfil más alto dentro de las organizaciones. A medida que evolucionan los requisitos legales y los de la gobernancia corporativa, incluyen cada vez más aspectos relacionados con la información. En el Reino Unido, los lineamientos Turnbull sobre controles internos y gestión de riesgos dan a los directores de empresas públicas una clara responsabilidad para actuar en temas de TI, en la gestión eficaz de los riesgos en proyectos de TI y en la seguridad informática. Este es un tema, que en la era de la in formación, ha venido para quedarse.

Sobre los autores

Alan Calder y Steve Watkins dirigen IT Governance Limited, una empresa cuyo sitio web  (www.itgovernance.co.uk) proporciona una rango completo de libros, herramientas, consejo y guía para ayudar a las organizaciones a encarar los temas de gobernancia de TI y de seguridad de la información, incluyendo la norma ISO 27001. Su libro “IT Governance: a Manager’s Guide to Data Security and BS7799/ISO17799” es una guía, en un ingles sencillo, para lograr la certificación según la norma ISO 27001.

“Non-repudiation” significa que puede ser verificado que el que envía y el que recibe un mensaje eran realmente las eprsonas que decían enviar y recibir el mensaje, respectivamente. En otras palabras, “non-repudiation” en el origen significa que la información ha sido enviada, y “non-repudiation” en la recepción prueba que la información ha sido recibida.

©2005 IRCA Ltd. Todos los derechos reservados www.irca.org Contáctenos Abreviaturas

Portada  
Temas sobresalientes arrow
Noticias
Comuníquese