Descargar

ISO 17799. La Seguridad Informática no es un producto sino un Proceso (página 2)

Partes: 1, 2

Como ha de saber, es "misión imposible" conseguir el 100% de Seguridad en cualquier aspecto de La Vida. Por lo tanto, el objetivo de la seguridad en los datos es (acéptese el juego de palabras) para asegurar la continuidad de las operaciones de la organización, reducir al mínimo los daños causados por una eventualidad, así como optimizar la inversión en tecnologías afines y prosperar en las novedosas oportunidades que nos brindará el porvenir del tiempo.

Como todo buen estándar, el ISO 17799 da la pauta en la definición sobre cuáles metodologías, políticas o criterios técnicos pueden ser aplicados en el régimen de manejo de la seguridad de la información.

La toma de decisiones sobre un marco de referencia de seguridad basado en ella proporciona beneficios a toda organización que lo implemente. Ya sea en su totalidad o en la parcialidad de sus postulaciones estipuladas.

Su elaboración y práctica integra mecanismos de control primordiales, que le permiten a las organizaciones demostrar que cuenta con el estado de la seguridad de la información pertinente; situación que resulta muy importante en aquellos convenios o contratos con terceros que establecen como requisito contractual la Declaración BS7799 u otras disposiciones de perfil similar que se acentúan mucho en "los tiempos que corren".

Desarrollo ("Poniéndonos a Punto")

¿Podré seguir trabajando si se produce un siniestro en la oficina de la empresa en la cual trabajo (sin poseer Backup alguno de la información)? ¿Qué ocurriría si la competencia cuenta con el acceso a mis balances? ¿Cómo sé si habrá algún tercero externo interceptando el flujo de datos en mi red corporativa? ¿Podrán robar el código fuente, las agendas, las claves o nuestros futuros proyectos programados? ¿Alguien podrá entrar al centro de cómputos sin restricciones o control, copiar información o agregar un usuario de altos privilegios? ¿Y si cambian las reglas en el Software de manejo cotidiano sin previo aviso? ¿Podremos seguir trabajando si se origina alguna catástrofe natural (de magnitudes típicas)?

Este tipo de cuestionamientos en común cuando uno se encuentra vulnerable a tales amenazas, accidentes, descuidos y muchos otros puntos que podrían ser prevenidos (anticipándose con medidas convenidas o previamente pactadas según Una Normalización de modelos a efectuar).

La Norma ISO/IEC 17799 establece diez dominios de control que cubren (casi) por completo la Gestión de la Seguridad de la Información:

  1. Políticas de seguridad: el estándar define como obligatorias las políticas de seguridades documentadas y procedimientos internos de la organización que permitan su actualización y revisión por parte de un Comité de Seguridad.
  2. Aspectos organizativos: establece el marco formal de seguridad que debe integrar una organización.
  3. Clasificación y control de activos: el análisis de riesgos generará el inventario de activos que deberá ser administrado y controlado con base en ciertos criterios de clasificación y etiquetado de información, es decir, los activos serán etiquetados de acuerdo con su nivel de confidencialidad.
  4. Seguridad ligada al personal: contrario a lo que uno se puede imaginar, no se orienta a la seguridad del personal desde la óptica de protección civil, sino a proporcionar controles a las acciones del personal que opera con los activos de información. Su objetivo es contar con los elementos necesarios para mitigar el riesgo inherente a la interacción humana, o sea, establecer claras responsabilidades por parte del personal en materia de seguridad de la información.
  5. Seguridad física y del entorno: identificar los perímetros de seguridad, de forma que se puedan establecer controles en el manejo de equipos, transferencia de información y control de los accesos a las distintas áreas con base en el tipo de seguridad establecida.
  6. Gestión de comunicaciones y operaciones: integrar los procedimientos de operación de la infraestructura tecnológica y de controles de seguridad documentados, que van desde el control de cambios en la configuración de los equipos, manejo de incidentes, administración de aceptación de sistemas, hasta el control de código malicioso.
  7. Control de accesos: habilitar los mecanismos que permitan monitorear el acceso a los activos de información, que incluyen los procedimientos de administración de usuarios, definición de responsabilidades o perfiles de seguridad y el control de acceso a las aplicaciones.
  8. Desarrollo y mantenimiento de sistemas: la organización debe disponer de procedimientos que garanticen la calidad y seguridad de los sistemas desarrollados para tareas específicas de la organización.
  9. Gestión de continuidad del negocio: el sistema de administración de la seguridad debe integrar los procedimientos de recuperación en caso de contingencias, los cuales deberán ser revisados de manera constante y puestos a prueba con la finalidad de determinar las limitaciones de los mismos.
  10. Cumplimiento o conformidad de la legislación: la organización establecerá los requerimientos de seguridad que deben cumplir todos sus proveedores, socios y usuarios; éstos se encontrarán formalizados en los contratos o convenios.

De estos diez dominios nombrados se derivan 36 objetivos de control (resultados que se esperan alcanzar mediante la implementación de inspecciones) y 127 o más controles (prácticas, procedimientos o mecanismos que reducen el nivel de riesgo). Ambos, se encuentran destinados a dotar y esparcir Seguridad a la Información en el "ambiente digital", a través de numerosas auditorías, consultorías y/o paradigmas.

Cada una de las áreas constituye una serie de observaciones que serán seleccionadas dependiendo de las derivaciones obtenidas en los análisis de riesgos, conjuntamente, existen controles obligatorios para toda organización, como es el de las políticas de seguridad cuyo número dependerá más de la organización que del estándar, el cual no establece este nivel de detalle. Por eso, es aplicable a toda organización, independientemente, de su tamaño o sector de negocio; siendo un argumento fuerte y dinámico para los detractores de la norma y un "conjunto de instrumentos" flexibles a cualquier solución de seguridad concreta: recomendaciones neutrales con respecto a la IT.

Pero… "Siempre hay un Pero" (así dice el lema), y es el consiguiente: como la ISO 17799 se forma de un compilado protocolar de normas y/o reglas fundadas en las Políticas de Seguridad, y éstas son erigidas y colocadas por el Ser Humano, no son inmunes a fallas o errores (infalibilidad absoluta) y con el tiempo deben ir siendo depuradas para acercarse lo más que se pueda (y un poco más) a un "monstruo desconocido", aunque muy escuchado, que es llamado: Perfección.

Tal sentencia puede ser corroborada en el mismo alegato sobre el cual se excusan potenciales (factibles y/o aleatorios) inconvenientes de su puesta en práctica:

"No todos los alineamientos y controles de este código de práctica resultarán aplicables. Más aún, es probable que deban agregarse controles que no están incluidos en este documento. Ante esta situación puede resultar útil retener referencias cruzadas que faciliten la realización de pruebas de cumplimiento por parte de auditores y socios".

Aquí, parecería decir (según mi razonamiento de deducción implícitamente lógico):

"Nos es grato anunciar que por más remedio que intentemos buscarle a ésta enfermedad (INseguridad de la Información), no podremos encontrarle una cura absoluta y/o total. Eso, dependerá (estrictamente) de sus criterios de decisión seleccionados y llevados a cabo. En tales casos, si quieren agregar o sacar algo… ¡Bienvenido sea para Ustedes!".

Ésto da por sentado su propiedad de mutabilidad, actualización y adaptabilidad según las determinaciones organizacionales de las que dispongamos, sin embargo, presiento (y se que me acompañarán en tales laudos) que algo en ella podría innovarse y ser mejor.

Para ello tendría en cuenta las siguientes peticiones:

  • Interacción y transposición de procedimientos (métodos, normas, y/o reglas): que la disposición física del centro de cómputos, terminales o servidores no se contraponga con la norma IRAM que regula el recorrido físico dentro de las oficinas. Es indispensable la interacción con un profesional en Organización y Métodos, Analista o Ing. en Sistemas con vasta experiencia. Prestar mucha atención al implementar controles (para no estar debilitados o desordenados por "cosas" de otros lados).
  • Tendencias a las nuevas tecnologías: tener presente en el flujo de datos la permeabilidad o apropiación de los mismos a través de la tecnología VoIP (Voice over IPVoz sobre IP), unidades de almacenamiento secundarias transportables (Pendrives, Cámaras, Celulares, Etc.) y mensajeros instantáneos (usados para el Chat).
  • Reclutamiento de personal (empleados): es una de las claves del éxito de una organización, el atraer e incorporar a gente apropiada para desempeñarse en la implementación de estas normas. El agente de RRHH tiene que tener vastos conocimientos técnicos, comprobar las habilidades y referencias que estén en el CV del potencial postulante.
  • Adaptación inteligente al medio: contar con el Software (recursos lógicos) y el Hardware (recursos físicos) convenientes para no perder la calidad de los servicios y/o bienes ofrecidos como producto.
  • Invertir en capacitación conveniente y acertada en los trabajadores: tratar de entusiasmar e incentivar al usuario para que se faculte de mayores y mejores mañas (artilugios) al momento de operar en su cargo. De esta manera, se suprimirá (en enormes cantidades) la negligencia y las falencias a causa de ésta, teniendo secuelas de menor magnitud a la hora de resolver un problema.
  • Vigilancia en otros cuidados diversos a tener vigentes: monitorizaciones, seguimientos e investigación de los campos a los cuales subyace la materia u oficio contratado.

Y… Para darnos el gusto con la "frutilla del postre o la cereza del helado (o ambas)", ha de estar al tanto que La Norma ISO/IEC 17799 no posee ningún tipo de certificación. Ya que sólo son recomendaciones y no es necesario aplicar la totalidad de sus controles, sino adaptarlos a la organización para no hacer algo tedioso e inútil, como así tampoco… ¡PARANOICO!

Conclusión ("Al Fin Llegamos a la Meta: ¿¡Lo Logramos!?")

La correcta clasificación de los controles es una tarea que requiere del apoyo de especialistas en seguridad informática o de alguien capacitado de manera similar, con conocimientos adquiridos en circunstancias de diversas índoles (experiencia) en la implementación de la (ya tan afamada y renombrada) ISO 17799; ya que cuando éstos se establecen de forma inadecuada o incorrecta pueden generar un marco de trabajo demasiado estricto y poco cómodo para las operaciones (eventos desempeñados) de la organización y de los que habitan en ella.

Empero, sólo queda que Usted pretenda intentar tomar la iniciativa y asumirla con coraje, firmeza, perseverancia, solvencia, compromiso, dedicación y… Por sobre todo: SEGURIDAD EN SÍ MISMO Y EN LO QUE LO RODEA, para emprenderse en un camino que, tanto su Organización como quienes la integran, le estarán agradecidos y le harán sentir (con un juicio de cierta razón) que La Seguridad de la Información es un árbol de raíces amargas pero… De dulces y ricos frutos a recolectar; parte de Un Juego al que apostó para… ¡Ganarlo!

Y… Recuerde Siempre para Nunca Jamás Olvidar:

"LA SEGURIDAD INFORMÁTICA NO ES UN PRODUCTO SINO UN PROCESO".-

EOF

(End Of File)

… Será Hasta Un Próximo Encuentro …

(Entre Vos, La Auténtica Información y Yo)

{Mis Cordiales Saludos}

 

Artículo realizado por:

Argentero Cristián D.

[(CR@M3R)]

Estudiante de las

"Ciencias Informáticas"

Contacto (MSN):

martes, 12 de septiembre de 2006

04:01:02 HS.

Partes: 1, 2
 Página anterior Volver al principio del trabajoPágina siguiente