Por todos es bien conocido eso de que los tres pilares de la seguridad son los Procesos, las Personas y la Tecnologia. Sin embargo, hay uno de ellos al que no se le presta suficiente atencion: los procesos.
Algunos diran que no es cierto, que ha sido precisamente en estos ultimos años cuando se ha empezado a considerar la (gestion de la) seguridad como un proceso. Y no digo que no sea una concepcion correcta, pero me parece una vision insuficiente de este tercer pilar.
Considerar la seguridad como un proceso supone considerarla como algo vivo, cambiante, que evoluciona y que precisa de adaptacion continua. Y no solo eso. Como proceso, la seguridad es un "ente" que tiene entradas, salidas, objetivos, recursos... En fin, todos los elementos que debe tener un proceso. Eso es todo?
Si comparamos este pilar con los otros dos, creo que queda claro que hay que ir mas alla. La seguridad no solo se implementa mediante tecnologia, sino sobre la tecnologia. No solo se desarrolla por las personas, sino sobre las personas. Y por tanto, no solo se debe implementar como un proceso, sino que tambien se debe implementar sobre los procesos. Es uno de los principales requisitos de la ISO 27001 (definir el alcance por procesos), y sin embargo es el mas olvidado.
La aplicacion de la seguridad sobre los procesos requiere el analisis de dichos procesos. Pero no solo de sus recursos, normalmente tecnologia y personas, sino sobre todo de su funcionamiento. Del flujo de tareas y actividades, del apartado operativo del proceso, de los procedimientos. Es necesario estudiar como se desarrolla el proceso y analizar sus debilidades desde el punto de vista de la seguridad, identificar en que puntos la integridad, disponibilidad o confidencialidad del flujo de informacion puede verse amenazado y que medidas hay que tomar para resolver estas situaciones.
Por que digo que los procesos son los grandes olvidados? Porque todavia no he visto ningun analisis de riesgos, piedra angular de la seguridad, que contemple este tipo de situaciones. Normalmente los procesos ni siquiera figuran en el registro de activos, y en los pocos casos en los que esto ocurre, nunca aparecen amenazas asociadas a la dinamica de la informacion, al flujo de actividad del proceso. Pese a que todo el mundo es consciente de que las situaciones en las que mas riesgo hay de "problemas" con la informacion es cuando esta siendo "movida" (hablada, escrita, fotocopiada, procesada digitalmente, transmitida, etc.), los analisis de riesgos ni siquiera contemplan los procesos como activos a analizar (y mucho menos la secuencia de actividades como fuente inherente de riesgos). Como mucho, contemplan los distintos "soportes" de esa informacion (incluyendo aqui el soporte neuronal).
Cual es mi reivindicacion? Sencillamente, que se haga un poco mas de caso a los procesos. Que se tenga en cuenta que las empresas son organizaciones intrinsecamente dinamicas, y por tanto un analisis de riesgos solo deberia considerarse completo cuando se ha analizado ese dinamismo. Y que las herramientas de analisis de riesgos incorporen librerias y catalogos de activos, amenazas y vulnerabilidades que permitan modelizar esos procesos, que permitan realizar analisis de riesgos fuera de los entornos IT. Que no haya que recurrir a los analisis de riesgos artesanos y a las hojas de calculo para poder completar un analisis de riesgos fuera de los departamentos IT de la organizacion. Y por ultimo, que si alguien conoce alguna herramienta que realmente integra estas posibilidades (y no sean un simple parche), nos lo cuente a todos los que leemos este blog.
Vaya post mas reivindicativo me ha quedado! Va a ser cierto eso de que la primavera la sangre altera, aunque estemos ya casi en verano y estemos hablando de temas profesionales...
Suscribirse a:
Enviar comentarios (Atom)
2 comentarios:
No se como realizarán los análisis de riesgos los demás pero yo siempre hago una revisión top-down desde los procesos hasta los elementos soportes de capas inferiores como son la información, las personas, la tecnología y las ubicaciones físicas. En mi post Arbol de activos subí las transparencias que utilizo para representar las relaciones de dependencias y represento un esquema básico de las dependencias habituales que suelen existir. Es más, la valoración de los activos solo la realizo sobre los procesos y el resto de elementos necesarios reciben su valor final dependiendo de los procesos a los que dan soporte.
La pregunta sobre cómo se realizan los análisis de riesgos en el sector es muy interesante... Yo diría que, en general, hay dos opciones: "artesanal" o "soportado por herramientas". Quizás no parezca muy pensado el comentario, pero es muy importante. Sencillamente, porque en el segundo caso la "metodología" usada es la que implementa la herramienta. Y por supuesto, con sus ventajas y limitaciones (librerías de amenazas, capacidad de modelado de activos,...).
El árbol de activos que comentas me parece totalmente válido, y coincidimos en valorar sólo los activos superiores. Ahora bien... Conoces alguna herramienta que permita hacer un análisis de procesos aceptable? Me interesaría conocer al menos un catálogo "estándar" de amenazas que permita ese tipo de análisis... Porque por el momento, la única opción que conozco para hacer un análisis de riesgos de la parte dinámica de los procesos es utilizando la técnica "artesanal". Y claro, esa opción tiene bastantes inconvenientes...
Publicar un comentario