La ventaja competitiva de certificarse en seguridad

Transcripción

1 especial informática La ventaja competitiva de certificarse en seguridad Certificarse en una norma ISO supone para las empresas una apuesta de futuro que, además de una garantía de calidad en la gestión de la información, supone una ventaja competitiva respecto a aquellas que no lo han hecho

2 Douglas Wagner Responsable del Área de Seguridad Tecnología y Calidad de Software S.A. (TQS) FICHA RESUMEN Autor: Douglas Wagner Título: La ventaja competitiva de certificarse en seguridad Fuente: Partida Doble, núm. 181, inas 56 a 61, octubre 2006 Localización: PD Resumen: En este artículo se analizan las ventajas que supone para las empresas certificarse en el estándar ISO/IEC 27001:2005, orientado a establecer un sistema de gestión que permita minimizar el riesgo y proteger la información de las compañías. Asimismo, se detallan los pasos a seguir para llevar a cabo dicha implementación, tales como definición de la política de seguridad y del alcance del sistema de gestión de seguridad de información, análisis de riesgos, gestión de los riesgos identificados, selección de controles y aplicación, y preparación de un informe sobre la aplicación de los controles. El riesgo, entendido como la probabilidad de que una amenaza en particular ataque a una determinada vulnerabilidad en la empresa, siempre está latente, pero es posible minimizarlo mediante el Sistema de Gestión de Seguridad de Información que, además, asegure a terceros que se cuenta con un sistema de información confiable Descriptores ICALI: Informática. Riesgos informáticos. Seguridad de la información. Certificarse en una norma ISO es, además de una garantía de calidad en la gestión, una ventaja competitiva que coloca a la empresa certificada en mejores condiciones comerciales y técnicas respecto a aquellas que no lo han hecho. Las compañías que se preocupan por poner en práctica las normas ISO deben estar muy atentas a los avances que se produzcan en este sentido, con el fin de conocer las nuevas familias ISO que se vayan desarrollando y que puedan ayudarles a mejorar y a seguir creciendo en calidad. Se está comenzando a hablar en el mercado del estándar internacional ISO/IEC 27001:2005 publicado hace un año y de la nueva familia de normas ISO 27000, que analiza y verifica el cumplimiento de los procesos y controles necesarios para implantar con éxito un Sistema de Gestión de la Seguridad de la Información (SGSI) en cualquier organización. La base del proceso de certificación es el código de buenas prácticas para la Seguridad de la Información establecidas en la norma ISO 17799:2005, que contiene una serie de controles y mecanismos de protección de la información cuya implantación y gestión es un elemento importante del SGSI. Las compañías deben saber que ya pueden iniciar el proceso de certificación ISO 27001, y que para realizarlo con éxito deben contar con la ayuda de una consultora que conozca en profundidad la norma y que supervise todos los pasos para que la certificación se obtenga sin problemas, en los plazos y formas establecidos. Sólo así lograrán los máximos parámetros de seguridad en sus sistemas. 1. POR QUÉ SE HA DESARROLLADO ISO/IEC 27001:2005? Según demuestra un informe del House Banking Committee de Estados Unidos, en 1998 el sector financiero perdió 2,4 billones de dólares por ataques informáticos, más del triple que en No es un dato sorprendente si consideramos que al día se transfieren electrónicamente 2 trillones de dólares, lo cual se hace, en gran medida, a través de líneas no muy seguras. Al analizar esta información, al empresario le surgen preguntas como las siguientes: cuánto pagaría la competencia por mi información confidencial?; está mi base de datos protegida?; cuento con una política formal y he 57

3 especial informática nº 181 octubre 2006 El sistema de gestión de la información deberá asegurar la disponibilidad, integridad y confidencialidad de la misma FIGURA 1 PROCESO DE IMPLANTACIÓN DE ISO adoptado los controles adecuados para la protección contra los riesgos del uso de telecomunicaciones móviles?; están inventariados y tasados los activos de mi empresa?; tengo procedimientos y controles para la protección de software malicioso? y dispongo de un plan para continuar operando después de un desastre? Esta preocupación es muy lógica, ya que la información es uno de los activos más importantes que posee la empresa. Por otra parte, las organizaciones tienen que desarrollar mecanismos que les permitan asegurar la disponibilidad, integridad y confidencialidad en el manejo de la información, que está sujeta a muchas amenazas tanto de índole interna como externa. Con este objetivo se ha creado el estándar ISO/IEC 27001:2005, orientado a establecer en la empresa un sistema de gestión que permita minimizar el riesgo y proteger la información en las compañías. La familia ISO se compone de un conjunto de estándares relacionados, los dos últimos todavía pendientes de publicarse: ISO SGSI, que se ocupa de Fundamentos y vocabulario, ISO/IEC 27001:2005 Requerimientos, ISO/IEC 27002:2007 (ISO 17799:2005), ISO/IEC Líneas para la Implantación, ISO/IEC Métrica y Mediciones y, por último, ISO/IEC SGSI Gestión de Riesgo. 2. VENTAJAS DE CERTIFICARSE EN ESTA NORMA Es necesario garantizar que existe un sistema de gestión de la información que asegure la integridad de la misma, así como la continuidad del trabajo y la capacidad de reacción en situaciones de crisis. El cliente siempre preferirá trabajar con compañías que cuenten con un sistema que minimice el riesgo en el manejo de la información. No cabe duda de que los riesgos comerciales y operativos a los que una organización está sometida son interminables, pero es posible controlarlos gracias a las nuevas normas ISO. El riesgo, entendido como la probabilidad de que una amenaza en particular ataque a una determinada vulnerabilidad en la empresa, siempre está latente, pero es posible minimizarlo mediante el Sistema de Gestión de Seguridad de Información que, además, asegure a terceros que se cuenta con un sistema de información confiable. Como es lógico, su implantación debe ser económicamente factible y estar alineada con los objetivos de la empresa y con la realidad operativa del negocio. Un análisis de riesgos como el que supone ISO/IEC 27001:2005 es una fuente clave de información para el conocimiento de la empresa, demuestra un compromiso inequívoco de los órganos de dirección de la compañía con el SG- SI, incrementa la operatividad de la compañía, permite mejorar continuamente y promueve la implicación, participación y motivación del personal de la organización en la seguridad de la información. Fuente: Grawoski et al (2002) 58 La certificación ISO/IEC 27001:2005 cubre diversos campos relacionados con la seguridad de la empresa, como son: alcance, normativa de referencia, sistema de gestión de seguridad de información, responsabilidad de la dirección, revisión de la gestión del SGSI y su mejora.

4 3. CÓMO LLEVAR A CABO SU IMPLANTACIÓN Es necesario dar los siguientes pasos: definición e información sobre la política de seguridad, definición del alcance del sistema de gestión de seguridad de información, análisis de riesgos, gestión de los riesgos identificados, selección de controles para su implementación y aplicación, y preparación de un informe sobre la aplicación de los controles (figura 1). La ventaja competitiva de certificarse en seguridad El estándar ISO 27001:2005 establece un sistema de gestión que permite minimizar el riesgo y proteger la información en las compañías 3.1. La política de seguridad Es la piedra angular de toda actividad relacionada con la seguridad de la información. Aparentemente, puede parecer un documento con poco contenido, pero tiene un significado importante en las subsiguientes actividades de implantación del SGSI. Su importancia se debe a varios factores. Por una parte, significa el primer esfuerzo dedicado a relacionar el negocio con la protección de su información. En este sentido, todo proceso, procedimiento y mecanismo de seguridad que se adopta a partir de la implantación de la política debe ser coherente. Si no es así, es necesario utilizar otro procedimiento o preguntarse si la política ha sido confeccionada adecuadamente. Por otra parte, al tratarse de una política de empresa, se entiende que la alta dirección ha participado en su elaboración y que no solamente la apoya, sino que los directivos son partícipes y sus principales seguidores. Este hecho cobra un significado especial más adelante, cuando los diferentes responsables operativos de la organización tienen que asumir sus obligaciones en cuanto a la seguridad, ya que no existe mejor ejemplo a seguir que el de la dirección. La política de seguridad es el vínculo entre las características de negocio de la empresa y las diferentes acciones y medidas preventivas que se implantan para proteger la información. A partir de las características del negocio (referencias sectoriales, dimensiones, estructura organizativa y tecnológica) es preciso analizar las preocupaciones principales en cuestión de seguridad de la información, y definir el enfoque global de protección que se aplicará. Por ejemplo, algunos sectores pueden poner más énfasis en la confidencialidad, la integridad o la disponibilidad de la información, aunque todas estas cualidades sean importantes. Asimismo, una organización extendida geográficamente puede tener una inquietud especial por la continuidad de sus servicios de telecomunicaciones, mientras que una petrolera querrá asegurarse de que todos los cálculos son correctos antes de tomar decisiones sobre posibles perforaciones. La política de seguridad debe hacer también referencia a las amenazas principales a su información. Así, mientras una empresa de Investigación y Desarrollo verá cómo la competencia intenta acceder a su información científica, un banco comprobará que existe un interés especial sobre sus productos financieros y planes de marketing. Una organización con un alto perfil público podría ser más susceptible a ataques de hackers. Finalmente, la política de seguridad debe tener en cuenta ciertas consideraciones de cumplimiento que son importantes para la organización, como son la conformidad con los requisitos legales, regulatorios y contractuales, y los requerimientos de formación y concienciación en seguridad. También debe incluir una definición de responsabilidades generales y específicas para la gestión de la seguridad de la información. De este modo, desde su publicación, los empleados y otros miembros de la organización sujetos a la política tendrán conocimiento de su rol en el SGSI Definición del alcance del SGSI El alcance del Sistema de Gestión de Seguridad de la Información (SGSI) define un conjunto detallado de componentes organizativos y tecnológicos que son necesarios para la seguridad de la información en la organización: engloba todos los sistemas, ubicaciones, personal y otros agentes que intervienen en la protección de la información y en los procesos. También debe contemplar los mecanismos que regulan o pueden regular las responsabilidades y obligaciones de los agentes internos y externos implicados directa o indirectamente en el mantenimiento y operativa de los sistemas de información. Estos mecanismos consisten en acuerdos de responsabilidad, que son compromisos entre departamentos internos de la organización que están implicados en 59

5 especial informática nº 181 octubre 2006 Un análisis de los niveles de riesgo muestra aquellas áreas donde definir e implantar medidas preventivas alguna de las actividades de gestión de la seguridad de los sistemas de información para cumplir con los objetivos del SGSI. En el caso de relaciones con empresas externas, debería FIGURA 2 EJEMPLO DE ALCANCE DE UN SGSI existir, y documentarse en el SGSI, el contrato correspondiente, en el que se establecen obligaciones y responsabilidades para la prestación de un servicio determinado en relación con los sistemas de información. Adicionalmente, podrían describirse Acuerdos de Nivel de Servicio (en inglés SLA, Service Level Agreement), donde se determinan, en términos cuantificables, los servicios que van a ser prestados en relación con el mantenimiento de los sistemas de información (figura 2) Análisis y Gestión de Riesgos Dentro de la implantación del SGSI, y como elemento clave para conseguir la certificación ISO 27001, es importante aplicar un método de análisis de riesgos, que luego será utilizado de forma continua para valorar el grado de exposición a riesgos para la información. Existen diferentes métodos disponibles, desde los cuantitativos hasta los puramente cualitativos. Lo importante es aplicar un método apto para las necesidades de la empresa y que puede realizarse con la frecuencia apropiada. De modo general, todos los métodos llegan a una estimación de niveles de riesgo al valorar los activos de la organización, y las amenazas y vulnerabilidades a las que están sujetos. El grado de riesgo representa la posibilidad de que se produzca una pérdida de confidencialidad, integridad o disponibilidad asociada a la materialización de las amenazas. En este sentido, el cálculo del grado de riesgo asociado se realiza en base a la siguiente relación: Riesgo = activo x amenaza x vulnerabilidad El activo es todo aquel recurso con especial valor para la organización o bien con capacidad de generar valor para la misma. Este valor puede ser cuantificado en términos directos, considerando los ingresos, por ejemplo, o bien en función del retorno de la inversión (ROI). Una amenaza es cualquier evento adverso que pueda afectar a un activo objeto de protección, cuya materialización podría ocasionar pérdidas financieras o de cualquier otra índole a la organización. Las amenazas pueden agruparse siguiendo criterios de fuerza mayor, actos deliberados, errores humanos o problemas técnicos. El impacto sobre el negocio de las posibles pérdidas de confidencialidad, integridad y disponibilidad de los activos puede ser definido, de forma genérica, en los siguientes términos (Cuadro 1). Fuente: Grawoski et al (2002) 60 Una vulnerabilidad significa cualquier debilidad o carencia de protección de un activo o grupo de activos que puede propiciar la materialización de una amenaza. Cabe la posibilidad de que una vulnerabilidad se encuentre asociada a más de una amenaza.

6 3.4. Selección de Controles y Plan de Implantación Un estudio de los niveles de riesgo muestra aquellas áreas en las que la empresa tiene que definir e implantar medidas preventivas, o reforzar las medidas existentes. Estas acciones pueden asociarse con las buenas prácticas que se encuentran en el estándar ISO 17799:2005 (el futuro ISO 27002). En el Plan de Implantación que se obtiene de ello, es un ejercicio recomendable listar las buenas prácticas de ISO 17799:2005, indicando cuáles se aplican en la organización (junto con las medidas específicas que se tiene previsto implantar), y también las que posiblemente no son aplicables, con una explicación del motivo (por ejemplo, que no son de aplicación en su sector) Implantación y Evidencia de Cumplimiento Por muy profesional que sea el trabajo llevado a cabo hasta este momento, si la organización no puede argumentar que las medidas y procedimientos implantados se siguen realmente, es poco probable que pase con éxito una auditoría de certificación. Es necesario demostrar, al menos, varios meses de cumplimiento estricto de los controles que figuran en el Plan de Implantación. En los aspectos más humanos y organizativos, es preciso poder comprobar la concienciación de cada persona incluida en el SCSI, así como sus responsabilidades individuales, y obtener evidencias de su cumplimiento o seguimiento. En el caso de los controles más tecnológicos, también deben existir maneras de probar tanto la existencia de la medida como que ésta se sigue, dentro de la definición del control Apoyo externo Dada la complejidad de la implantación del ISO/IEC 27001:2005, y la necesaria dedicación de recursos, es recomendable contar con la ayuda de una consultora de TI experta en el tema. Además de la certificación de seguridad de la empresa, la compañía podrá obtener otras ventajas de la implantación de la ISO/IEC 27001:2005 al ser ésta perfectamente compatible con otros sistemas de gestión como la ISO 9001 (Calidad) o la (Medio Ambiente), y servir de ayuda para la integración operativa del sistema general de gestión de la organización. 4. SEGURIDAD DE LA INFORMACIÓN: UNA APUESTA DE FUTURO Las empresas que decidan llevar a cabo el proceso de certificación estarán impulsando en su organización una apuesta de futuro, e implantando las normas y buenas prácticas en seguridad que en los próximos años se exigirán a las compañías en esta área. CUADRO 1 TIPO DE IMPACTO Financiero Imagen frente a clientes Imagen pública Humano Legal Operativo DESCRIPCIÓN La ventaja competitiva de certificarse en seguridad El proceso de certificación, una apuesta de futuro para las empresas Y es que seguridad de la información es mucho más que establecer firewalls, aplicar parches para corregir vulnerabilidades del sistema informático o contar con backups. Significa determinar qué requiere ser protegido y por qué, de qué debe ser protegido y cómo protegerlo. Supone preservar la confidencialidad (que la información esté protegida de personas no autorizadas), la integridad (que no sufra modificaciones inapropiadas) y asegurar su disponibilidad (que los usuarios tengan acceso a la información y a los activos asociados cuando lo requieran). En este sentido, las consultoras especializadas en TI tienen la labor de conocer los procesos de negocio de las empresas que requieren sus servicios, analizar sus necesidades en cuestión de seguridad y hacerles llegar los beneficios que puede suponer para ellas la certificación en ISO/IEC 27001:2005, para ofrecer a sus clientes el mejor servicio y dar respuesta a las demandas más actuales del mercado. Desembolsos imprevistos provocados por fallos en los activos de información. Quejas o reclamaciones por parte de clientes estratégicos o no estratégicos de la organización. Deterioro de la imagen de la organización debido a la publicación de información negativa en medios de comunicación. Consecuencias negativas para los empleados y personal externo de la organización. Incumplimiento de disposiciones legales, reglamentarias o contractuales. Consecuencias para el normal funcionamiento de las actividades del negocio. 61