El entorno seguro

• Autor: Francisco de Quinto Zumárraga
• Cargo del Autor: Piqué Abogados Asociados

La norma internacional ISO/IEC 17799 conocida como el «CODIGO DE BUENA PRACTICA» para la gestión de la SEGURIDAD DE LA INFORMACION aclaró taxativamente que: «La seguridad obtenida sólo con medios tecnológicos es limitada y en consecuencia insuficiente». Una cosa está clara; con soluciones insuficientes la seguridad puede convertirse en un concepto poco o nada manejable.

En opinión de Miguel A. Navarrete, Director de Seguridad Informática, Planificación e Innovación Tecnológica de Caja Madrid, publicada en la revista SIC (-), los factores esenciales para alcanzar la seguridad en la información son:

– La cultura, aptitud y papel desarrollado por la Dirección en la gestión de la seguridad.

– El área de Seguridad Informática (tecnológica). – El cuerpo normativo de la seguridad de la información (se refiere al conjunto de normas legales y protocolos privados sobre el particular).

– El Plan y los Programas de seguridad de la información. – La concienciación de los usuarios (se refiere a los trabajadores y terceros con acceso web a Internet o a intreanets).

– Los sistemas de análisis del riesgo, seguimiento y control (se refiere a

AUDITORIA DE SEGURIDAD).

En el esquema anterior queda manifiesta la opción multidisciplinar y multifactorial que defiende el autor sobre el ámbito de la Seguridad Informática. A nuestros efectos nos limitamos a transcribir aquella parte de su trabajo que se refiere al «Cuerpo Normativo» y al apartado dedicado a la retroalimentación del Sistema, mediante el «Ánalisis del riesgo, seguimientos y control».

El cuerpo Normativo

- Navarrete, Miguel A. Revista SIC Nº 47, nov. 2001, págs. 60 y 61: «Gestión de la seguridad de la información: las claves de un modelo».

Debe existir la declaración formal de la postura de la alta dirección en relación con la seguridad de los sistemas de información, y establecerse los objetivos, responsabilidades y comportamientos necesarios para gestionar los activos informáticos en un entorno profesional, lo que podemos denominar Cuerpo Normativo de Seguridad de la Información. Este lo conforman un conjunto de Políticas, Directrices, Normas y Procedimientos de Seguridad Informática, de común aplicación por todos los usuarios que acceden o utilizan los activos informáticos del Grupo; debe ser de obligado conocimiento y cumplimiento, tanto por parte del personal propio como por terceros con autorización de acceso y observar de los atributos siguientes:

– Aprobación directa de la a1ta dirección. Para conseguir el máximo alcance y grado de aplicación.

– Cobertura total. Regulación desde el punto de vista de seguridad informática de todos y cada uno de los procesos/actividades con implicaciones en seguridad de la información.

– Alto grado del consenso. Los órganos clave (Asesoría Jurídica,

Organización, Recursos Humanos, Auditoría Informática...) deben participar.

– Clara definición de roles y responsabilidades de todos los partícipes en la seguridad. Desde la alta dirección y órganos clave, hasta el usuario final, pasando por la jefatura de proyectos o los administradores de sistemas. – Práctico y operativo, Normas, Procedimientos y Guías Técnicas de

Seguridad específicas para entornos particulares que lo precisen (proyectos e-business, de arquitectura de sistemas, actuación del Call Center...).

– Concordancia con la normativa legal (LOPD, recomendaciones de la

OCDE, directivas europeas –firma digital...–, con normativa de referencia –certificación de la seguridad.

Criterios comunes, ITSEC/ITSEM, Norma británica BS7799– y control de calidad –ISO9001...–).

– Sistema de retroalimentación. Revisión periódica, buscando un ajuste fino y un reflejo fiel entre la operativo deseable y la realidad.

Análisis del riesgo, seguimientos y control

Verificar que los mecanismos empleados para implementar los servicios de seguridad cumplen el objetivo por el que se instrumentaron, es impedir que los diques y los cauces del pasado y de hoy, dejen de ser eficaces. Es preciso diseñar e incorporar mecanismos de seguimiento y control de la actividad, sistemas de identificación de incidentes, alertas preventivas, información de gestión, de análisis de riesgos. Todo un mundo de gestión, análisis y diseño.

Un factor de éxito en este área es conseguir una estrecha colaboración con la Auditoría Informática, ya que algunos de los objetivos de ésta y de la Seguridad de la Información, son los mismos. En resumen: obtener un nivel de seguridad apropiado.

Como decía al inicio estos son, en mi opinión, elementos esenciales en la gestión de la seguridad de la información. Convenientemente combinados, forman una sólida base que soporta la mejora continua en el nivel de seguridad. Reflexionar y actuar sobre ellos, por encima de los aspectos puramente tecnológicos lo considero una necesidad en el desarrollo de la seguridad de la información y una ayuda importante para alcanzar el grado de madurez y el nivel de protección deseados.

Como consecuencia inmediata de la aceptación y posterior implantación de las Políticas de Seguridad, se conseguirá que la Red se vaya desplazando paulatinamente hacia una «Arquitectura de Control», incluso sin la colaboración del Estado («la arquitectura es una especie de ley»), de acuerdo con las tesis de Lessig. Ello proporciona la proliferación de intranets reservados a élites capacitadas y sobre todo capitalizadas que, marginalmente, definirán un entorno excluido repleto de «infobasura». Recordar la tesis de Reg Withacker antes expuesta.

Tanto la posición de Lessig como la de Withacker sin ningún punto en común, están elaboradas con notable anticipación a los sucesos del 11- S/2001. La inmediata consecuencia posterior a estos desmesurados y criminales actos puesta de manifiesto en los escasos meses transcurridos es una clara tendencia al REFORZAMIENTO DE LA SEGURIDAD (Law enfacement) y en este sentido son reiteradas las manifestaciones en todos los ámbitos legislativos, tanto en USA como en la UE y potencias limítrofes como Rusia, Japón o China.

17.1. POLITICAS PREVENTIVAS EX-ANTE

Consisten en la definición de protocolos de conducta diversas:

1. Dentro/fuera.

2. Del personal con el S.I.

3. De terceros con el S.I., proveedores, clientes y clientes potenciales.

4. Administraciones Públicas con el S.I.

   Estos protocolos deberán contemplar y entrar a considerar como mínimo, los siguientes aspectos:

   1. Las POLITICAS GENERALES de la empresa o entidad en las diferentes áreas de actividad:

      – Imagen, Relaciones externas.

      – Aprovisionamiento y compras.

      – Factor humano.

      – Producción/Logística.

      – Administración/Finanzas.

      – Comercial/Marketing.

   2. El ORGANIGRAMA de la organización en su doble vertiente de estructura y de flujos, que en definitiva determinan la interrelación entre diferentes áreas antes citadas.

   3. La ARQUITECTURA DEL SISTEMA, como determinante de la estructura y flujos del Sistema de Información.

      En este apartado y en relación con el asunto que nos ocupa se deberá prestar especial atención, pero nunca exclusivo a los siguientes elementos:

      – fire-walls.

      – pixels.

      – scanners de seguridad.

      – VPN’S.

   4. La POLITICA DE AUTENTICACION Y ENCRIPTACION. En este punto se diseñará la tecnología mínima necesaria para reforzar estos dos elementos de la seguridad de los Sistemas de Información, incorporando todas las nuevas tecnologías de generación aleatoria y permanente de passwords, PKI (public key infrastucture) certificados digitales, etc.

   5. La POLITICA DE SEGURIDAD FISICA. Este área debe aglutinar desde la problemática de reparación y conservación de la maquinaria e instalaciones, hasta la preservación de los inmovilizados más intangibles; patentes, marcas, información, I + D, etc.

      Todos estos componentes y alguno más que puede resultar imprescindible en entornos concretos, se deben incardinar en lo que ha dado en llamarse la CULTURA de la SEGURIDAD...