13 mayo 2010

Crítica práctica al Esquema Nacional de Seguridad

El otro día tuve la suerte de participar en un interesante debate con varias organizaciones del sector público que se están "peleando" con la implantación del ENS, y estas organizaciones estuvieron comentando comentando algunas de las dificultades que estaban teniendo a nivel práctico para lograr una implementación eficaz y sobre todo eficiente de dichas exigencias.

La primera dificultad común, ya prevista, venía dada por la necesidad de establecer nuevas funciones y responsabilidades en torno a la seguridad. Las figuras del responsable de la información, del servicio y de la seguridad son fáciles de entender, pero estaban teniendo dificultades a la hora de designar estos responsables en un organigrama en el que no es tan sencillo como parece identificar dichas responsabilidades de manera unipersonal.

No obstante, el debate se centró principalmente en la aplicación práctica de las medidas de seguridad recogidas en el Anexo II del ENS, y en la dificultad para poder aplicarlas de manera eficiente, dada la metodología de aplicación que define.

El problema radica en que, según el ENS, la aplicación de las medidas de seguridad se determina en función de la categoría de los sistemas, es decir, en función del valor de los activos, de su importancia. Esta es una filosofía garantista, ya que asegura la aplicación de mayores medidas de seguridad a los sistemas más valiosos, pero tiene el problema de que no utiliza, para discriminar la aplicación de dichas medidas, los valores de riesgo resultantes en torno a dichos activos. Un análisis de riesgos permite modular las medidas de seguridad a aplicar en función no sólo del valor del activo sino también de la probabilidad de ocurrencia de las amenazas y de la vulnerabilidad que presente el activo a dichas amenazas, de modo que si el primer factor tiene un valor elevado pero los restantes tienen un valor bajo, el riesgo resultante no será excesivamente alto, de modo que las medidas de seguridad a aplicar no tendrán que ser tan férreas como si sólo hubiéramos tenido en cuenta el primero de los factores, ya que los restantes "tiran hacia abajo" del resultado. En el caso del ENS, según la lectura que se hacía en aquella reunión, este efecto modulador del análisis de riesgos sólo es aplicable "hacia arriba", ya que su aplicación "hacia abajo" nos podría llevar a decidir no aplicar, en función del riesgo resultante, algunas medidas de seguridad que según el valor del activo sí que serían aplicables, lo que limita enormemente la capacidad de las organizaciones de poder realizar una gestión de riesgos eficiente, ya que no estaría permitido la no aplicación de ciertas medidas de seguridad.

Dándole vueltas al motivo por el cual las medidas de seguridad no se aplican en función del riesgo resultante sino del valor del activo, llegamos a la conclusión de que parte de la "culpa" probablemente viniese dada por la no determinación de una metodología concreta de análisis de riesgos. Esto supone, en la práctica, que una misma valoración de activos a la que se aplican dos metodologías de análisis de riesgos distintas pueden llegar a resultados de riesgo diferentes (presuponiendo mismos factores y mismos valores), lo que supondría la aplicación de distintas medidas de seguridad, echando por tierra de este modo la filosofía garantista del ENS. No obstante, estoy seguro de que puede haber más motivos a considerar a la hora de explicar esta situación, y puede que incluso la lectura que se haga en otros foros de la metodología de aplicación de medidas de seguridad del ENS difiera de la que se hizo en aquella reunión. ¿Qué pensáis vosotros? ¿Estáis de acuerdo con la interpretación de la metodología de aplicación de medidas de seguridad? ¿Pensáis que es una metodología que permite poca eficiencia? ¿Estáis de acuerdo con las causas que se identificaron en aquella reunión? ¿Se os ocurren otras? Estaría encantado de escuchar vuestras opiniones...

10 comentarios:

Alejandro Delgado dijo...

Si sólo fuese ese el problema del ENS no andaríamos mal del todo.

¿Cómo identificas de forma clara el nivel de cada activo para poder sacar el nivel del sistema de información?. Este problema no creo que sea menos importante, ya que no hay criterios objetivos definidos con claridad y al final un mismo sistema valorado por dos personas diferentes tiene altas probabilidades de quedar encuadrado en niveles diferentes.

Y volviendo al tema: yo pienso (ojo, es mi opinión) que el análisis de riesgos queda desvirtuado por completo, porque nada más empezar ya tienes un pack de medidas de seguridad a implatar "sí o sí".

Javier Cao Avellaneda dijo...

Respecto al ENS y si desvirtua o no el análisis de riesgos, yo creo que es "otra fuente de requisitos" a considerar dentro del plan de tratamiento del riesgo. El ENS es un conjunto de mínimos pero debe ser manejado como "requisitos legales".
Un plan de tratamiento de riesgos debe incorporar acciones o decisiones basadas en tres fuentes principales: 1)los objetivos de la organización (una empresa puede ser ambiciosa o proteccionista y decidir libremente implantar más medidas de las estrictamente necesarias para la gestión del riesgo).
2) Los requisitos legales: el cumplimiento del ENS o del ENS no es algo "opinable" o "decidible". Por tanto, son medidas como dices "si o si" pero bajo la consideración de un conjunto de mínimos (lo que pasa es que las empresas y organizaciones van siempre a lo mínimo imprescindible y a veces pensamos que es eso lo obligado)
3) El propio análisis de riesgos.

Por tanto, el plan debe ser la unión de las tres fuentes.

Anónimo dijo...

Hola
dandole un poco la vuelta al argumento...
en el AR tienes en cuenta la probabilidad/impacto de las amenazas en funcion de medidas de seguridad que tienes... y que en muchos casos coincidiran con las que el ENS te dice que deberias tener segun el valor del sistema...
vamos, que al final llegamos a lo mismo.. en funcion del valor intrinseco de un sistema, tendras que aplicar unas medidas... o las medidas las tienes en cuenta cuando calculas riesgos residuales.

Javier Cao Avellaneda dijo...

De la relectura del artículo 27, queda una duda. Las categorías, por lo que parece, son un criterio más de decisión para aplicar medidas, pero ...no el único.

"Artículo 27. Cumplimiento de requisitos mínimos.
1. Para dar cumplimiento a los requisitos mínimos establecidos en el presente Real Decreto, las Administraciones públicas aplicarán las medidas de seguridad indicadas en el Anexo II, teniendo en cuenta:
1)Los activos que constituyen el sistema.
2)La categoría del sistema, según lo previsto en el artículo 43.
3)Las decisiones que se adopten para gestionar los riesgos identificados.

Los medidas a las que se refieren los apartados 1 y 2 tendrán la condición de mínimos exigibles, y podrán ser ampliados por causa de la concurrencia indicada o del prudente arbitrio del responsable de la seguridad del sistema, habida cuenta del estado de la tecnología, la naturaleza de los servicios prestados y la información manejada, y los riesgos a que están expuestos.

¿Cómo lo interpretáis vosotros?

Joseba Enjuto dijo...

Respondiendo a Javier, mi interpretación es que las medidas de seguridad del Anexo II son mínimos que pueden ser incrementados si está justificado en base a los riesgos identificados.

Para contestar el comentario de Anónimo me voy a valer de Magerit / PILAR, que creo que es donde se ve más fácil. Esa metodología / herramienta propone un cálculo inicial de los riesgos intrínsecos sin considerar las medidas de seguridad aplicadas, pero en la que ya se consideran el valor del activo, la probabilidad de la amenaza y la degradación que provoca. Por tanto, ya tenemos un resultado "modulado" por el riesgo en el que todavía no se ha considerado ninguna medida de seguridad. Luego, al considerarlas (o aplicarlas), el riesgo resultante es todavía menor, pero puede que en el punto de riesgos inherentes ya se pudiera justificar la no aplicación de ciertas medidas de seguridad...

En relación al comentario de Alejandro, estoy de acuerdo en que los criterios de valoración de activos son poco concretos y tienen un grado de subjetividad nada despreciable, pero tampoco me parecen tan malos, ya que al menos marca un criterio para decidir entre Alto, Medio o Bajo, cosa que en muchas metodologías de análisis de riesgos ni siquiera figura, es algo completamente arbitrario. Está claro que si lo comparamos con los criterios de decisión de la LOPD es mucho menos exacto, pero es que si quisiéramos llegar a un caso similar el ENS tendría que haberse "atrevido" a catalogar la información de todas las administraciones públicas, y eso es algo que ni siquiera se han "atrevido" finalmente a exigir que haga cada administración por su cuenta, como ya he comentado alguna vez.

Anónimo dijo...

Bueno, la teoria es la teoria y la practica es qeu cuando estimas % de ocurrencia y de impacto... como no considerar las medidas que ya tienes?
Por otro lado (a cuenta del ENS), ni medio año de vida y ya con numerosos fallos... boe con las correcciones el 11/marzo

Joseba Enjuto dijo...

Bueno, tampoco es sorprendente que un texto del BOE requiera corrección de errores... Me temo que a la mayor parte les ocurre. De todas formas, la mayoría eran erratas más de forma que de fondo, así que no me preocupa demasiado. Por cierto, para todo el que quiera, está disponible un texto consolidado en el que se han corregido los errores, para que sea más fácil de utilizar. Aunque en realidad ya estaba disponible incluso desde antes de su publicación en el BOE, en la versión que repartieron en el TecniMap.

En cuanto al grado en el que se tienen en cuenta las medidas de seguridad existentes a la hora de valorar el riesgo potencial, es cierto que alguna se te puede "colar", sobre todo desde el punto de vista de que hay medidas que son parte intrínseca del propio activo, pero... No crees que hay casos en los que se podría justificar la no aplicación de ciertas medidas de nivel medio?

Oliver dijo...

Hola,

-sobre las responsabilidades: completamente de acuerdo, desde mi punto de vista no deberían haber concretado más que la figura del responsable de seguridad, sus atribuciones y el principio de función diferenciada. En cada caso el responsable de seguridad sabrá con quién tiene que hablar en su organización...

-sobre la valoración de activos: es subjetiva, pero es que no puede ser de otra manera. El valor es algo muy subjetivo, (no confundir valor con precio). Por ejemplo, una misma cosa puede tener un valor diferente según a quién le preguntes.

-sobre la elección de medidas: sin duda el esquema es garantista en esto. Pero lo veo lógico. La probabilidad de ocurrencia de un incidente es IMPOSIBLE de determinar, si fuera posible no habría incidentes. Y las vulnerabilidades conocidas de un sistema no suponen el 100% de las vulnerabilidades del mismo, hay siempre vulnerabilidades desconocidas. Y el % de las conocidas sobre las desconocidas es imposible de determinar. En resumen, lo único seguro (a pesar de subjetivo) es la valoración del activo.

Saludos!

Sorani dijo...

Creo que Olivier ha dado en la clave... lo importante es el valor de los activos y debe ser la base para la estimación de las medidas a aplicar (es el enfoque garantista que se comenta). Si incluimos la probabilidad y dejamos que sea el nivel de riesgo el que decida la medida a aplicar, nos encontraremos con hipotéticas situaciones en las que un activo no estaba protegido partiendo de una probabilidad de ocurrencia baja (en teoría, habría, como mucho, planes de contingencia).

En definitiva, sería el principio de protegerse frente a posibles "cisnes negros"... es un enfoque muy protectos y abre otro debate: ¿Cómo priorizamos la inversión en medidas? Porque está claro que no vamos a poder proteger todos nuestros activos desde un principio...

Joseba Enjuto dijo...

Me gusta el concepto de "protección frente a cisnes negros", que en la práctica supone basar la seguridad en el impacto y no en el riesgo. Efectivamente, ese es el tipo de valoración que tiene sentido de cara a los planes de contingencias y continuidad.

Pero como señalas, el factor coste no se puede obviar, y precisamente por sacar la frecuencia de ocurrencia de la ecuación, normalmente las soluciones de contingencias y continuidad suelen ser tan poco eficientes en costes. Por tanto, para priorizar las inversiones, qué criterio debemos usar, el impacto o el riesgo? ¿En qué momento deberíamos pasar de un criterio a otro?