MEDIDAS A IMPLEMENTAR PARA EL MEJORAMIENTO DE LOS NIVELES DE SEGURIDAD DE LA INFORMACIÓN EN PYMES COLOMBIANAS
MEASURES TO BE IMPLEMENTED TO IMPROVE THE SECURITY OF INFORMATION IN COLOMBIAN PYMES
RESUMEN
El
artículo presenta un prototipo metodológico que permite a las PYMES colombianas el
mejoramiento de la seguridad de la información, tomando como base la planeación
estratégica y la metodología magerit, esto con el fin de mitigar posibles
ataques tanto internos como externos y reducir los daños causados contra la
confidencialidad, integridad y disponibilidad de la información.
Palabras claves: Planeación Estratégica, Seguridad
Informática, Análisis de Riesgo, Magerit, Seguridad en Pymes, Seguridad Informática
Colombia.
ABSTRACT
This article
presents a prototype methodology that allows
PYMES Colombian to improve
the security of information,
based on strategic planning and methodology Magerit
this in order to
mitigate potential internal and external attacks
and reducing damage
against the confidentiality,
integrity and availability of information.
Keywords: Strategic Planning, IT Security, Risk Analysis, Magerit SME
Security, Computer Security Colombia.
INTRODUCCION
Muchas empresas colombianas especialmente de
sectores diferentes a los tecnológicos no están realmente preocupadas por
fortalecer la seguridad de sus activos informáticos, debido a que no lo
consideran una prioridad[1].
Usualmente estas labores son asignadas a los
departamentos de sistemas responsables de las fallas en la seguridad de la
información. Estos departamentos en la mayoría de los casos no cuentan con
personal calificado en seguridad informática, limitándose a seguir reglas
básicas de configuración de equipos (computadores, router, firewall, etc) y en
algunos casos en tratar de concientizar al personal de la importancia de la
seguridad de la organización.
La mayor parte de las empresas sin importar su
tamaño (pequeña, mediana o gran
empresa), realizan una planeación estratégica corporativa en la cual
involucran su misión, su visión, sus objetivos y metas, los recursos tangibles
e intangibles, sus capacidades y sus competencias nucleares para lograr una
competitividad estratégica; con ella se obtienen las estrategias a seguir como
por ejemplo ser líder en costos, mostrar
una diferenciación respecto a las demás, enfocarse en un nicho de negocio, etc., tratando deficientemente o
dejando de lado la seguridad informática. La seguridad informática debe tomarse
como parte importante de cada empresa y por ello debe ser tenida en cuenta en
su planeación estratégica.
PLAN ESTRATEGICO DE SEGURIDAD INFORMATICA
Para la adecuada protección de los activos
informáticos de una empresa no basta con tener precauciones a la hora de
configurar equipos, manejo de usuarios y contraseñas o en el manejo general de
la información sino que debe establecerse, implementarse y desarrollarse un
plan estratégico de seguridad informática. Este plan no solo creará políticas,
normas, estándares sino que contendrá mecanismos que busquen la modificación de
la cultura corporativa alrededor de la seguridad informática, concientizando al
personal de su importancia.
GRAFICA 1 Fases para la implementación de Plan
Estratégico de Seguridad Informática[2].
Las
fases que deben tenerse en cuenta en la implementación de Plan Estratégico de
Seguridad Informática son las siguientes[3]:
· Para realizar el
Plan Estratégico de Seguridad Informática (PESI) se debe realizar antes un
análisis de riesgo (se tiene en cuenta el análisis de vulnerabilidades),
teniendo en cuenta alguna metodología probada.
· Con base en el
análisis de riesgo inicial se construye el Plan Estratégico de Seguridad
Informática, ya que se conoce la situación actual de la empresa en cuanto a
seguridad y las posibles medidas a implementar para mejorarla.
El Plan Estratégico de Seguridad Informática
genera actividades o proyectos a realizar, estos proyectos se pueden dividir en
dos tipos, que son proyectos únicos y proyectos cíclicos.
GRAFICA 2 Nivel de Seguridad Vs Tiempo y Costo[4].
Estos proyectos llevarán a la empresa desde el
nivel de seguridad en que se encuentra a un nivel que debe ser definido, que
será el nivel de seguridad óptimo. Este nivel de seguridad óptimo no es el
100%, porque nunca seria alcanzado[5].
Los proyectos únicos son los que permiten un avance muy grande en el nivel de
seguridad de la empresa, pero son los más largos en tiempo y requieren un nivel
importante de inversión más grande no solo en costos sino también en tiempo,
como por ejemplo las políticas de seguridad de la empresa. Mientras que, los
proyectos cíclicos se realizan para lograr medir el nivel actual de seguridad,
son rápidos en ejecución y su costo es menor que el de los proyectos únicos,
estos proyectos se utilizan para mantener el nivel de seguridad luego de que se
ha llegado al nivel de seguridad óptimo, un ejemplo de este tipo de proyectos
son las pruebas de penetración.
Los proyectos no son necesariamente
tecnológicos, existen proyectos como campañas de concientización que son
necesarios para la implantación y mantenimiento del plan de seguridad.
Una vez ejecutados los proyectos únicos y los
cíclicos el ciclo total del Plan Estratégico de Seguridad Informática se
realimenta y vuelve a comenzar, debe ser de esta manera debido a que la
seguridad informática nunca es estática, los procesos de negocio cambian y la
tecnología también.
ANALISIS DE RIESGOS
El análisis
de riesgos es una parte fundamental en la implementación del Plan Estratégico
de Seguridad Informática, ya que
determina en que porcentaje de nivel de
seguridad se encuentra la empresa en el momento de su realización; identifica las partes más frágiles de la
infraestructura de tecnología de la empresa y su relación con los procesos críticos del negocio; define si es necesario
implementar esquemas de recuperación de desastres y continuidad del negocio;
provee una guía para las medidas de protección que son viables con respecto al
costo; y, permite obtener información sobre los activos, la valoración del impacto que para la organización puede
suponer la pérdida de los mismos y la identificación de las amenazas a las que están expuestos.
Existen
metodologías de análisis de riesgos ya reconocidas a nivel mundial entre ellas
se tiene CRAMM, EBIOS, IT-GRUNDSCHUTZ, MAGERIT, Manual de Seguridad de TI
Austriaco, Infosec Assessment Methodology (IAM), Norma ISO/IEC IS 27005,
OCTAVE, SP800-30 NIST Risk Management Guide for Information Technology Systems,
además de las normas nacionales como NTC 5254, que pueden ser adoptadas como la
metodología a seguir por la empresa.
La metodología propuesta tiene relación con la metodología
MAGERIT, la cual se adoptó como base por ser reconocida por ENISA (European Network
and Information Security Agency), además, ser de carácter público, de sencilla
implantación, fácil mantenimiento, idioma nativo es español, muy difundida y
contar con herramientas para ayudar al procedimiento informático y lógico del
análisis y la gestión de los riesgos de un sistema.
Los pasos prácticos a seguir en la metodología son:
1. Conformar el equipo de desarrollo para el análisis de riesgos en el cual debe
involucrase a dueños, usuarios, desarrolladores, administradores de bases de
datos, auditores; si la empresa es pequeña y el departamento de sistemas se
está encargado del análisis deberá involucrarse a jefes de áreas y personal
operativo clave para la organización.
2. Recoger toda la
información relacionada con la infraestructura y el sistema, con base en
diferentes técnicas como las entrevistas, cuestionarios, manuales sobre la
infraestructura, se debe también recoger la información sobre posibles
situaciones que puedan comprometer la seguridad posteriormente se analiza y
clasifica la información obtenida.
3. Identificar los
activos relevantes en cada proceso y su interrelación, teniendo en cuenta la
información obtenida en el paso anterior; en esta etapa también debe
identificarse las medidas de protección existentes para cada activo.
4. Valorar los
activos, empezando por su valor comercial que lo da el inventario existente,
adicionalmente se valoran por sub estados de la seguridad (alto, medio, bajo),
con respecto a la integridad, confidencialidad, autenticidad y disponibilidad.
5. Hacer una enumeración de las amenazas, identificar cuales afectan a los
activos informáticos, priorizar las amenazas, crear una tabla de afectación de la amenaza baja, media, alta; crea hoja de factor de
riesgo que vincule la amenazan, el impacto en la organización y el factor de
riesgo total estimado.
6. Estimar del
impacto de la materialización de la amenaza sobre el activo, se realiza el análisis del impacto que ocurriría si las amenazas
identificadas se concretaran, se realiza amenaza por amenaza, se tiene en
cuenta los controles existentes, también se puede realizar una valoración de
los daños causados por los impactos.
7. Analizar el
impacto ponderado por la frecuencia de ocurrencia de la amenaza.
8. Se identificar medidas de protección, se busca encontrar los controles
técnicos, administrativos, legales y
físicos para proteger con un costo razonable a los activos, conforme a las
amenazas de mayor riesgo.
Al final del proceso de análisis de riesgos, se conocen los riegos
y los costos en los que se acarrearían al evitar estos riesgos, entonces se
puede obtener el %de nivel de seguridad óptimo para la empresa, que mantiene en
equilibrio riesgos vs costos.
GRAFICA 3 Obtención del Nivel de Seguridad
Optimo de la empresa[6].
CREACION DEL PLAN ESTRATEGICO DE SEGURIDAD INFORMATICA
El
Plan
Estratégico de Seguridad Informática debe ser
elaborado teniendo en cuenta las
características de la empresa, del
negocio, la organización, sus
activos, sus amenazas, los mecanismos de protección que estén implementados, y
en general los resultados obtenidos del análisis de riesgos , que se realizó en
la fase anterior.
La creación de Plan Estratégico de Seguridad Informática debe
realizarse de tal manera que se alinee con el Plan
Estratégico de la Empresa,
hay que concientizar a la alta gerencia sobre la importancia de la información
y que su protección no es un gasto sino una inversión para la empresa; esto
generara un compromiso de la alta gerencia y podrá permitir que este plan sea
adoptado como un comportamiento corporativo, además, se necesita compromiso de la alta gerencia ya
que se requiere que ella asigne presupuesto y personal para mantener el Plan
Estratégico de Seguridad Informática.
Este plan debe tener en general dos tipos de estrategias una preventiva
y otra reactiva, las preventivas deben contener todo lo necesario para prevenir
ataques o violaciones de la seguridad de la empresa, aunque no se pueden evitar los ataques
definitivamente, si se pueden realizar diversas acciones para disminuir los
riesgos y mitigar los daños ocasionados cuando un ataque contra la
infraestructura de la empresa sea exitoso; las estrategias reactivas deben dar
los lineamientos de cómo actuar ante el éxito de un ataque, ayudan a evaluar
los daños causados, esta estrategia debe
describir como es el proceso de recuperación después de un ataque, describen
como documentar y aprender de la experiencia.
De este plan se desprenden
proyectos que son realizados para mejorar los niveles de seguridad actual de la
empresa. Hay dos tipos de proyectos que se generan, los proyectos únicos y los
proyectos cíclicos.
Los proyectos únicos que son
proyectos que se ejecutan una sola vez por ciclo del Análisis de Riesgo, entre
estos proyectos se tienen las políticas de seguridad, proyectos de control de
acceso, proyectos de cifrado, proyectos de análisis de impacto de negocio
(BIA), proyectos de continuidad de negocio (BCP), plan de recuperación de
desastres (DRP), implementación de sistemas de detección de intrusos (IDS),
Sistemas de prevención de intrusos (IPS).
Los proyectos cíclicos son
repetitivos, más cortos y de menos inversión, entre estos proyectos se tienen:
la implementación de software antimalware, campañas de concientización,
campañas de divulgación, pen test, monitoreo periódico, revisión de seguridad
de aplicaciones, auditorias de seguridad.
CONCLUSIONES
El prototipo metodológico guía, fue pensado y enfocado a la
seguridad informática, específicamente al análisis de vulnerabilidades en
empresas de mediana y pequeña escala, con el fin de aumentar la seguridad en
este tipo de organizaciones, así como también para asegurar aquellos recursos
que estén dispuestos para un posible ataque por parte de personas internas o
externas a la entidad. Asimismo la
metodología en general, debe ser un proceso iterativo y reiterado en el tiempo,
debido a que la tecnología nunca deja de evolucionar y cada vez más se generan
nuevos riesgos para las organizaciones.
BIBLIOGRAFIA
·
BORGHELLO,
Cristian Fabián. Seguridad informática sus implicancias e implementación. Tesis
Licenciatura En Sistemas. Argentina: Universidad Tecnológica Nacional. 2001.
309 p.
· Daltabuit, Hernandez, Mallen, Vazquez, La Seguridad de la Información, México,
primera edición, Noriega editores, 2007.
· Metodologia
Magerit, http://www.coit.es /publicac/publbit/bit128/bitcd1/legisla/pg5m21.htm
[1] “los negocios colombianos han
invertido menos de la mitad del promedio mundial en protección”, Según lo dicho
en artículo “Colombia es subcampeón mundial en fraude”, Revista Enter, octubre
19 de 2010, basado en estudio realizado por The Economist Intelligence Unit; http://www.enter.co/otros/
colombia -es-subcampeon-mundial-en-fraude/
[2] Rubio, Martin, Anotaciones en la clase Seguridad
Operativa, Especialización Seguridad Informática, Universidad Piloto.
[4] Rubio, Martin, Anotaciones en la clase Seguridad
Operativa, Especialización Seguridad Informática, Universidad Piloto.
[5] Una de las salidas del análisis
de riesgos es la determinación del nivel de seguridad óptimo. Ya que es
particular para cada empresa.
[6] Grafica Basada en Grafica 9.1
Punto de Equilibrio Costo/Seguridad, Pagina 204, Tesis Seguridad Informática
sus implicancias e implementación, A.S.S. Borghello, Cristian, Septiembre de
2001, Universidad Tecnológica Nacional.
