En el marco de SimTel 2005 -Simposio de Empresas de Telecomunicaciones- organizado por la carrera de Ingeniería en Telecomunicaciones de la UADE, el Representante del IRAM, Rodolfo Stecco habló sobre la seguridad de la información y las normas para su efectiva preservación.
La seguridad de la información se define como la preservación de características que se encuentran en la norma ISO 17799 que es el código de prácticas para ciertos sistemas de gestión de la información con confidencialidad, integridad y disponibilidad; son los aspectos, son las características, que se deben preservar dentro de una organización.
La confidencialidad garantiza que la información sea accesible sólo a aquellas personas autorizadas para tener acceso a ella.
La integridad salvaguarda la exactitud y la totalidad de la información y los métodos para su procesamiento.
La disponibilidad garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.
La norma ISO 17799 define a la información como un “recurso” que, como el resto de los demás activos comerciales tiene valor para la organización y que, por lo tanto, tiene que ser debidamente protegida.
La información puede existir en muchas formas: puede estar impresa, o escrita; puede estar en papel o electrónicamente; con lo cual, el sistema de gestión de calidad excede específicamente lo que es seguridad informática. Teniendo en cuenta que las organizaciones prácticamente tienen una computadora por puesto de trabajo, se presentan amenazas y vulnerabilidades que hay que cuidar. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada.
Principales riesgos y su impacto en las organizaciones:
• Control inadecuado de accesos.
• Puntos de acceso remotos, sin debida protección.
• Falta de políticas de seguridad.
• Ausencia de formación y toma de conciencia del personal.
• Estructuras inadecuadas perimetrales, desde el punto de vista infraestructura.
La ausencia de formación y toma de conciencia del personal es fundamental; la cultura en la organización referente a la seguridad de la información es importantísima.
Las estructuras inadecuadas también juegan una amenaza y una vulnerabilidad muy importante, así como aspectos de energía y cableados de mala calidad o usos de software no adecuado.
Referente a la gestión de riesgos -que es un punto central dentro de estos modelos del código de prácticas 17799-, el objetivo principal es determinar, en función de las amenazas y vulnerabilidades, el análisis de riesgo puntualmente para cada organización, de tal forma de poder definir cuál es el riesgo admisible que la organización va a adoptar. Es una construcción propia que permite lograr minimizar o neutralizar las amenazas a través de un estudio de las vulnerabilidades de la organización.
Es un proceso dinámico para asegurar la integridad, disponibilidad y confidencialidad de la información. Es un punto central para cada organización, analizar los puntos críticos para poder gestionar los ritos y tomar las medidas adecuadas.
Resumiendo entonces, la seguridad de la información protege la información de una amplia gama de amenazas para asegurar la continuidad del negocio, reducir a mínimo el daño, maximizar el rendimiento de la inversión y oportunidades de negocio.
Cada organización tendrá un grupo de diferentes requerimientos en términos de requisitos de control, de niveles de confidencialidad, integridad y disponibilidad. Recuerden: confidencialidad, integridad y disponibilidad de la información.
Algunas características y atributos principales del código de prácticas: cuando hablamos de la norma 17799, hay que recordar que es un código de prácticas sobre mejores prácticas, no es una norma auditable en forma aislada. La vamos a tener que ver luego combinada con la norma 27001 o la IRAM 17798, donde vamos a ver cómo interactúan ambas normas.
Entonces, el objetivo de la norma 17799 del código de prácticas es la protección de la confidencialidad, integridad y disponibilidad de la información escrita, hablada o digitalizada.
Me parece muy interesante compartir con ustedes y a los fines de un mejor entendimiento, la manera como actúa el código de prácticas con respecto de amenazas y algunos otros aspectos; vamos a tomar este aporte del Estudio Pasarelo y Asociados, donde se tomó una estadística realizada por el Information Security en el año 2002, donde aparecen algunos aspectos que vale la pena compartir con ustedes y ver cómo actúa el código de prácticas a través de sus objetivos definidos en sus capítulos:
Solamente el 40% de las organizaciones informan que han sido víctimas de un ataque a su sistema. Esto es una mala noticia, por supuesto; y 17799, a través de su capítulo SEGUIMIENTO, que tiene como objetivo detectar actividades de procesamiento de información no autorizadas, como por ejemplo, auditoría de log-in, seguimiento de uso de sistema, sincronización de relojes, son algunos aspectos que propone el código de prácticas para neutralizar, precisamente, estos aspectos de ataque que sufren las organizaciones.
El 40% de las organizaciones no investigan los incidentes de seguridad de la información del que han sido víctimas. No solamente no lo comunican, sino que hacen de cuenta que no ha ocurrido nada, lo cual, es grave.
En la nueva versión del código de prácticas se habla de informar eventos y debilidades de seguridad de la información. Objetivo: asegurar que eventos y debilidades de la seguridad de la información asociadas con sistemas de información sean comunicados en tiempo y formas y sean tomadas acciones correctivas.
La obligación es medir, ya que si no mide no se puede mejorar ni neutralizar los ataques. Informar eventos de seguridad de información e informar debilidades de seguridad.
Otro aspecto que surgió de esta encuesta: cada vez más sufren interrupciones los sistemas críticos de negocios. Más del 75% de las organizaciones experimentó un inesperado fuera de servicio. ¿Qué pasa en una organización cuando su centro de cómputos, su red, se va fuera de servicio? ¿Qué ocurre? Puede surgir el caos.
Planificación de Sistemas y Aceptación
Objetivo: minimizar el riesgo de fallas de los sistemas, haciendo una planificación de la capacidad y aceptación del sistema. Se debe, una vez que la organización incorpora un nuevo sistema informático que va a utilizar en su día a día la organización, planificarse adecuadamente un proceso de aceptación y variación de sistemas incorporados. No podemos darnos el lujo de que ocurra algún fuera de servicio inesperado.
Solamente en el 53% de las organizaciones existe un plan de continuidad de los negocios.
Gestión de la continuidad de negocio
Acá va la vida de la organización.
Su objetivo es neutralizar interrupciones en las actividades del negocio y proteger los procesos de negocio críticos de los efectos de fallas mayores o desastres y asegurar la recuperación oportuna. Algunos aspectos como inclusión de seguridad de información en los procesos de continuidad de negocios, auditoría de continuidad en los negocios y riesgos, pruebas, mantenimiento y reexaminación de los planes de continuidad del negocio. Esto significa que la organización debe establecer el plan de recuperación pero también tiene que tener aspectos de simulacro para verificar que el sistema y el proceso funcionen adecuadamente.
Solo un 41% de las organizaciones están preocupadas sobre los ataques internos sobre sus sistemas, a pesar del alto número de evidencias de ataques dentro mismo de la organización. Los ataques internos de la organización son otra parte de la realidad.
Seguridad de los Recursos Humanos
Objetivo: asegurar que los usuarios; empleados, contratistas y terceros entiendan sus responsabilidades y sean adecuados para los roles a los que han sido asignados, reduciendo riesgos de error humano, robo, fraude o mal uso de instalaciones.
Seguridad Física y Ambiental
Objetivo: prevenir accesos no autorizados, daños e interferencias a premisas comerciales e información. Este punto es realmente importante para las organizaciones. Sobre todo aquellos aspectos que tienen que ver con el fraude y los ataques mismos desde adentro de la organización.
Menos del 50% de las organizaciones tiene entrenamiento en seguridad de la información y programas de sensibilización. Claro, si no hay siquiera información clasificada.
¿Qué dice el código de prácticas?
Concientización, formación y educación en seguridad de la información. Es un proceso, es un cambio cultural en la organización. Aunque parezca una obviedad, todos los empleados de la organización en cuanto sea pertinente, los contratistas y usuarios de terceras partes deben recibir una adecuada formación para toma de conciencia y actualizaciones periódicas en políticas y procedimientos organizacionales relevantes para la ejecución de sus tareas.
Hasta acá realizamos un vuelo de reconocimiento a fin de comprender cómo funciona el Código de Prácticas 17799 para los sistemas de gestión de la información.
En un proceso, realmente, muy importante, el IRAM -Instituto Argentino de Normalizaciones-, en su área de normalización, ha venido trabajando en los últimos dos años, con estos temas de normalización, desarrollando la norma IRAM 17798, que es una norma que ha tomado como referencia la British Standard 7799, Parte Dos, que era la única norma auditable. El IRAM avanzó sobre este proyecto; con lo cual podemos afirmar que, gracias al trabajo de nuestra Dirección de Normalización, Argentina tendrá una norma nacional a imagen de la norma internacional.
¿Y qué tiene de novedad este nuevo enfoque de sistemas de gestión de la información que viene en la 27001? ¿Ustedes han transitado, han implementado ISO 9000 en sus empresas? ¿Conocen o han escuchado aspectos sobre el modelo de las normas ISO 9001, 2000?
ISO 9000 propone este modelo en las organizaciones. Fíjense ustedes; responsabilidades de la alta dirección que tiene que determinar las necesidades y expectativas de los clientes; esas necesidades transmitirlas adentro de la organización para realizar sus productos o servicios en función de estas necesidades o expectativas de los clientes, entregar sus productos y servicios, y a través de una retroalimentación de sus clientes, determinar a través del proceso de medición, análisis y mejora, los grados de insatisfacción con respecto al producto o servicio entregado, y eso preverlo en el próximo plan.
La rueda comienza a girar ya que, una vez que se pone en marcha, no se detiene nunca y desarrolla en la organización este fenómeno de proceso continuo de mejora, en términos de características de calidad. Porque ISO 9001, es un sistema de gestión de la calidad de la organización. Y si esta organización es sensible y padece de vulnerabilidades respecto de su sistema de información, ¿qué hacemos?
Acá tenemos el modelo del sistema de gestión de la información, alineado con este esquema de enfoque a procesos, previsto en ISO 9001, donde vemos el establecimiento del sistema de gestión de la información, donde la clave lógicamente está en la alta dirección, que debe identificar con las partes interesadas los requisitos respecto de aspectos relativos a la protección de la información, la implementación y operación del sistema; tenemos la información protegida, y esto entra en una retroalimentación con las partes interesadas a través del proceso de seguimiento y revisión del sistema de gestión; y aquí también comienza a girar esta rueda que desarrolla y acompaña, bajo un paraguas de sistemas de gestión de la calidad, aspectos relativos a la seguridad de la información.
Este esquema, con el sistema de gestión de la seguridad de la información bien alineado, puede funcionar acabadamente bajo un paraguas de un sistema de gestión de la calidad, o combinado con un sistema de gestión de la calidad.
¿Y cómo serían, entonces, los requisitos para la certificación?
La norma certificable es, hoy, la IRAM 17798 la cual, vuelvo a decir, está basada en la British Standard 1799, Parte Dos, que va a ser revisada, tomando en cuanta la nueva norma internacional 27001 que ha sido desarrollada sobre la base de la British Standard 7799, Parte Dos: revisada y mejorada. Con lo cual podemos decir que hoy nuestra dirección de normalización tiene un 85% ya realizado con su norma 17798. Un paso más: vamos a revisarla en cuanto salga publicada la nueva norma internacional y estamos en condiciones de tener una norma argentina, a medida para las necesidades de las partes interesadas de la Republica Argentina y lógicamente, con la validez internacional al ser una norma basada en la norma internacional.
¿Cómo está compuesto el esquema de esta nueva norma?
Tiene un sistema de gestión de seguridad de la información, requisitos generales y tiene requerimientos generales desde el punto de vista documental y del sistema, establecimiento y gestión del sistema de gestión de la información. El número de capítulo coincide exactamente con el mismo capítulo de ISO 9001. Responsabilidades de dirección, compromiso de la dirección y gestión de los recursos, hecho en el marco de un programa integral de gestión de la calidad y seguridad de la información.
Hablamos un mismo idioma una vez en la organización. Auditoría interna del sistema gestión de la información, alineado con ISO 9001. 14001 y la guía 19011, que es lo mismo que decir precisamente que la organización puede implementar un sistema integrado de gestión, administrado en forma centralizada; que al momento de hacer un plan de auditorías, se auditan los requisitos que sean necesarios del sistema de gestión soportado por ISO 9001 y los aspectos característicos del código de prácticas que tienen que ver con la seguridad de la información. Con respecto a revisiones por la dirección, lo mismo. Tenemos generalidades, entradas para la revisión y resultados de la revisión, absolutamente compatibles con el sistema de gestión de la calidad. El proceso de mejoras del sistema de gestión de la información, es también absolutamente compatible, de mejora continua, acción correctiva y acción preventiva, mirando aspectos que tienen que ver con el código de prácticas para la seguridad de la información.
Entonces, esta norma, que es la norma certificable, vuelvo a decir la IRAM 17798 como norma argentina o, la futura que está ya por nacer, 27001 de la ISO, contiene un anexo normativo, con lo cual, en el momento de auditar para evaluar para un proceso de certificación de la organización, nos lleva a analizar el anexo normativo que “linkea” con el código de prácticas y en los capítulos de objetivo del código de prácticas. Esto no significa que para una organización, todos estos códigos, tal cual están definidos en el código de prácticas 17799, sean suficientes; habrá localizaciones que deberán incorporar algún otro tipo de objetivo. Está claro: es un referencial. Pero trata políticas de seguridad, organización de seguridad de la información, gestión de activos, seguridad de recursos humanos, seguridad física y ambiental, gestión de comunicación y comunicaciones y operaciones, control de accesos, adquisición, desarrollo y mantenimiento de sistemas de información, gestión de incidentes de seguridad de la información, gestión de la continuidad de los negocios y cumplimiento.
Cuando hablamos de cumplimiento nos estamos refiriendo a aspectos legales reglamentarios, que juegan un rol muy importante al momento de la protección de datos de las personas.
Proceso de Certificación
El proceso de certificación de sistemas de gestión. ¿con qué normas lo hacíamos? Con la 27001, o con la IRAM, norma argentina 17798, linkeada con el código de prácticas, al momento de ver cómo ha implementado la organización. Proceso típico , es un primer análisis del sistema del sitio, donde habrá un informe con respecto al standard; luego en forma opcional, puede estar incluido el proceso de certificación, una pre-auditoría al sitio, donde, como explicaba en el informe de auditoría, también se menciona hasta qué ha llegado y cuánto le queda todavía por implementar.
Luego, viene la auditoría de certificación del sitio; con los resultados de esa auditoría y la evaluación del sistema, informe de auditoría y la obtención del certificado (esto se puede producir, sólo y únicamente, si el sistema está libre de no conformidades). Una vez obtenida esa primera etapa, con la obtención del certificado la historia recién comienza; entonces, hay todo un proceso de auditorías de mantenimiento y recertificación, que comienzan a desarrollarse a partir del primer certificado. Viene la primera auditoría de mantenimiento con su informe de auditoría; una segunda auditoría de mantenimiento, también con un informe, y una auditoría de recertificación del sistema, con informe de auditoría y recertificación de sistema. Este proceso tiene una duración a partir de la obtención del certificado de tres años. Las auditorías de mantenimiento se pueden realizar anualmente, cada 12 meses la primera, después 24 y después al tercer año es la recertificación.
Nosotros proponemos siempre, dependiendo de la madurez del sistema de gestión de la información, que la primera auditoría de mantenimiento se desarrolle a los seis meses, porque después del efecto y el esfuerzo de la organización, una vez que obtienen el certificado hay una tendencia a caer. Entonces nosotros, ahí proponemos volver a los seis meses y ver si el sistema sigue. Si se cae, que no se caiga por lo menos tanto, que la organización se mantenga activa.
Conclusiones finales
Aspectos y factores críticos de éxito al momento de implementar un sistema de gestión de la información. Políticas de seguridad. Objetivos y actividades que reflejen los objetivos de la empresa. Una estrategia de implantación de seguridad que sea compatible con la cultura organizacional. Apoyo y compromiso manifiesto por parte de la dirección: la alta dirección cumple un rol fundamental en estos sistemas. Un claro entendimiento a los requerimientos de seguridad. Evaluación de riesgos y administración de los mismos. Comunicación eficaz de la seguridad a todos los gerentes y empleados. Distribución de guías sobre políticas y normas de seguridad de la información a todos los empleados y contratistas: nadie puede quedar afuera. Instrucción y entrenamiento apropiados y un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de seguridad de la información, para brindar sugerencias tendientes a mejorarlos.