La gestión del riesgo

Estar al tanto de vulnerabilidades, parches, virus, gusanos, troyanos y ese largo etcétera de amenazas que golpean una y otra vez los sistemas de la información.

En circunstancias normales, los responsables de seguridad actúan proactivamente para prevenir los efectos perniciosos de los ataques, y cuando no hay más remedio, porque la prevención ha fallado, se actúa a posteriori. Pero, ¿se plantean los responsables antes de cualquier otra cosa de medir el riesgo que conllevan estas amenazas?

Difícil balanza la que representa colocar en un platillo la cantidad de riesgo que estamos dispuestos a asumir, y el otro platillo la cantidad de recursos financieros de los que disponemos para mitigar los riesgos en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección estratégica de las organizaciones que confían en metodologías reconocidas para alimentar sus sistemas de gestión. Especialmente duro se hace gestionar el riesgo en aquellas empresas cuyos procesos críticos reposan en tecnologías de la información, sobre todo, cuando la seguridad de esos procesos es igualmente crítica: banca, telecomunicaciones, proveedores de acceso, y muchas otras organizaciones donde un fallo crítico puede suponer, en el mejor de los casos, una ruptura de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para convertirse en algo obligatorio. Desde hace tiempo, en Hispasec Sistemas hemos tomado nota de éstos cambios en las tendencias de gestión y hemos aplicado en nuestra cartera de clientes metodologías avanzadas de gestión de riesgos para conseguir controlar y administrar el riesgo, proporcionando al mínimo coste, la máxima integridad, disponibilidad y confidencialidad de la información corporativa. Tarea compleja, sin duda, teniendo en cuenta las muchísimas variables de las que depende el riesgo.

La gestión de la seguridad de la información es muy extensa, pero sin duda alguna, uno de sus puntos claves es la adecuada gestión del riesgo. Equilibrar los dos platillos de la balanza de los que hablamos es, la gran mayoría de las veces, difícil de abordar, y la incertidumbre de los resultados es muy elevada, especialmente cuando no hay datos anteriores que permitan proyectar una posible tendencia. Para más inri, hay riesgos incontrolables y que por tanto escapan a toda planificación. Pero esto no puede ser obstáculo para que apartemos a un lado los riesgos, y sigamos mirando al frente como si nada hubiera pasado.

Es preciso tener claro que establecer contramedidas para mitigar absolutamente todos los riesgos es algo desmesurado, por cuestiones económicas y de índole operativa, y que tampoco sería correcto asumir la totalidad de los riesgos, sin invertir en ninguna medida de control de los mismos. Es necesario llegar a un equilibrio entre inversión y riesgo asumido voluntariamente, y éste es el objetivo principal de la gestión de los riesgos, tal y como se ha explicado.

Maneras de gestionar adecuadamente el riesgo hay muchas. Desde luego, siempre se aconseja emplear metodologías reconocidas ya que éstas emanan de una experiencia y un contraste que las hace válidas a priori.

Ejemplos de estas metodologías está la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas), impulsada originalmente por el Ministerio de Administraciones Públicas, y cuya revisión y actualización se vaticina como muy próxima. MAGERIT proporciona un buen número de herramientas para que obtener un mapa de todos los riesgos que deseamos controlar y representar, lo que facilita enormemente la toma de decisiones.

Esta metodología considera acertadamente que la gestión del riesgo es el “alma mater” de toda actuación organizada en materia de seguridad y, por tanto, de la gestión global de la misma.

A nivel internacional los estándares comúnmente aceptados como válidos son los que proclama la norma internacional ISO/IEC 17799:2000 “Information technology. Code of practice for information security management”. Recientemente, el 17 de mayo de 2005, ha visto la luz una ampliación denominada “Security techniques” dentro del marco que brinda ISO 17799:2000.

Esta norma internacional deriva del marco reglamentario BS 7799, elaborado y definido por el British Standards Institution, en el que se definieron diez puntos de control para gestionar adecuadamente los sistemas de la información. Estos puntos de control han sido contemplados igualmente en el marco ISO 17799 y sus trasposiciones a normas nacionales:

1) Política de Seguridad, donde se establecen las directrices gerenciales en materia de seguridad.

2) Organización de recursos y activos de la información, para sentar las correctas bases de la gestión de la seguridad dentro de la empresa.3) Clasificación y control de activos de la información, donde se pretende inventariar los activos a proteger así el establecimiento de las correctas medidas de protección.

4) Seguridad ligada al personal, con el fin de tratar aspectos relativos a la seguridad vinculada a los recursos humanos: confidencialidad, accesos no permitidos, fugas de información, etc.

5) Seguridad física y del entorno, donde se establecen las pautas correspondientes a la seguridad de las instalaciones físicas.

6) Gestión de las comunicaciones y las operaciones, con la idea de asegurar el procesado de la información.

7) Control de acceso, en el que se establecen privilegios y autorizaciones para acceder a los recursos.

8) Desarrollo y mantenimiento de sistemas, que serán los recipientes principales de la gestión de la seguridad.

9) Gestión de la continuidad de los negocios, donde se establecen planes de recuperación y minimización del impacto ante discontinuidades en los procesos críticos de la empresa.

10) Conformidad legal, donde se observa el cumplimiento con la legislación vigente según la localización territorial de la empresa.

Para el caso concreto de España, existe una trasposición de la norma codificada como UNE-ISO/IEC 17799:2002 “Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información”. Otro documento interesante a considerar es el conjunto de especificaciones publicadas en la norma española UNE 71502:2004, “Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)”, que proporciona un marco certificable para la norma global de seguridad.

En resumen, es fácil comprobar cómo la seguridad de la información es mucho más que la seguridad informática más tradicional, y es fácilmente observable como, a la hora de hablar de seguridad de la información, todo gira en torno a un eje temático: La gestión del riesgo.