30 septiembre 2010

Seguridad en las nubes

Después de algún tiempo inactivo vuelvo a la carga, con la esperanza de poder mantener un ritmo de publicación más normal. Y qué mejor que retomar la actividad del blog reseñando un estupendo artículo de Juan Cobo, publicado en la Revista SiC nº 91, titulado Seguridad en "la nube": ¿Cómo controlar lo que no controlas? acerca de qué medidas mínimas se deberían adoptar para mantener bajo control los servicios externalizados en la nube.

Como el artículo está a disposición de todo el que lo quiera leer, me voy a limitar a resumir los aspectos a mi juicio más destacables a la hora de poder gestionar la seguridad de unos servicios externalizados, de acuerdo con dicho artículo:
  • Tendremos que extender nuestros procedimientos y normas de gestión de la seguridad al prestador de servicios, "obligándole" a que las adopte como mínimos exigibles.
  • Deberíamos conseguir que el prestador de servicios se comprometa a aplicar internamente unas medidas de seguridad técnicas, organizativas y operativas mínimas (dicho de otra forma, exigirle que gestione su seguridad).
  • El proveedor deberá comprometerse a ser auditado periódicamente y a corregir las desviaciones que se detecten en las auditorías, poniendo a nuestra disposición los informes de auditoría.
  • Deberemos reservarnos el derecho de ser nosotros mismos quienes auditemos al proveedor, tanto a nivel técnico como a nivel de gestión.
  • El proveedor deberá comprometerse a gestionar formalmente sus incidentes de seguridad, y a informarnos acerca de ellos y de las acciones adoptadas para su corrección.
  • Tendríamos que conseguir que el proveedor de servicios designe un responsable de seguridad que centralice su interlocución con nosotros en dicha materia, manteniéndonos informados periódicamente.
  • Tendremos que reservarnos el derecho de cancelar el contrato a causa de una seguridad deficiente.
  • Deberíamos establecer SLAs sobre los aspectos de seguridad organizativa y técnica más relevantes para el servicio subcontratado: bastionado, gestión de cambios y parches, gestión de incidentes de seguridad, resultados de las auditorías, etc.
  • Por último, también sería conveniente que estableciésemos penalizaciones económicas, aparte de los SLAs, en caso de que se produzca algún incidente grave de seguridad que nos perjudique (sobre todo los relacionados con divulgación de nuestra información).
En resumidas cuentas, un estupendo compendio de condiciones que deberíamos incluir en nuestros contratos a la hora de subcontratar servicios, y más en aquellos casos en los que la nube no nos deja ver el funcionamiento real de los prestadores de servicios. ¿Cuántos de estos condicionantes incluís en vuestros contratos?

13 septiembre 2010

Cuestion de confianza

A estas alturas seguro que nadie se sorprenderá de oir decir que un análisis de riesgos es subjetivo. Sin embargo, a veces pienso que somos demasiado superficiales al dejar la reflexión en ese punto. ¿Cuáles son las causas de esa subjetividad? ¿Podemos hacer algo para combatirla? Y si no es así... ¿Tenemos capacidad, al menos, para concretar esa subjetividad y "asumir los riesgos" derivados de ella?

Uno de los factores de esa subjetividad es, sencillamente, la necesidad de hacer estimaciones. Normalmente carecemos de datos estadísticos que nos permitan cuantificar objetivamente la probabilidad de ocurrencia de las amenazas, así que acabamos estimando su valor. ¿Y de qué depende esa estimación? En general suele depender del optimismo o pesimismo de quien valora, pero también (y en gran medida) de sus experiencias pasadas. Todos aquellos que hayan tenido que desinfectar su parque informático o que hayan sufrido en carne propia la inundación del CPD seguro que son más propensos a "sobrevalorar" estasa amenazas que quienes no hayan tenido que afrontarlas nunca...

No obstante, en el factor en el que me quería centrar hoy es en el referente a los riesgos derivados de los administradores de sistemas. Muchas veces suele ser un tema tabú, sobre todo dentro del sector, pero la realidad es que hay más de un responsable de negocio que está preocupado por la "omnipotencia" de sus administradores de sistemas. Y la realidad, al menos la de hace un año, nos dice que los riesgos de los usuarios privilegiados no se gestionan bien, incluso en organizaciones que cuentan con un SGSI, de modo que los miedos de los responsables de negocio parecen estar justificados, al menos en parte...

Valorar la probabilidad de materialización de un abuso de privilegios por parte de los administradores de sistemas no es nada gratificante. En resumidas cuentas estás valorando cómo de malas son las intenciones de un compañero de trabajo, que en función del tamaño de la empresa puede tener cara, nombre y hasta familia, y la verdad es que dejar a un lado las relaciones personales puede ser una tarea imposible. Pero por otro lado, es realmente necesario hacerlo?

Visto desde otro punto de vista, lo que estamos valorando es el nivel de confianza que la organización puede depositar en los administradores de sistemas. Desde un punto de vista "práctico", cuanto más confiemos en ellos menores serán las precauciones a adoptar, lo que es lo mismo que aplicar menos controles debido a que el resultado del análisis de riesgos ha dado valores bajos porque la probabilidad de ocurrencia de esta amenaza es baja. Obviamente la confianza es subjetiva, pero... de qué depende? Aunque en esta valoración intervienen muchos factores, podemos pensar que ese nivel depende tanto del grado de competencia de la persona en cuestión como, sobre todo, del nivel de satisfacción que ese administrador de sistemas tiene en relación a su trabajo. Traduciendo a términos corporativos ambos factores, en el primer caso tendríamos la política de formación y capacitación de la compañía y en el segundo un compendio de política retributiva, conciliación, gestión de expectativas... En resumidas cuentas, todas las actividades que se suelen asociar a una moderna gestión de personas (o departamento de RR.HH. en los casos más habituales, me temo). A la hora de la verdad, los mecanismos "clásicos" de gestión empresarial siempre están ahí...

En definitiva, no sólo estamos ante un factor subjetivo, sino que en este caso dicha subjetividad es necesaria, ya que en función de las personas implicadas y de su situación "personal" concreta la valoración de los riesgos asociados a ellas debería cambiar. El nivel de confianza que la organización deposita en las personas es variable, y lo más importante es que la propia organización dispone de las herramientas necesarias para modificar los principales parámetros que condicionan dicha confianza. Dicho de otro modo, la gestión del riesgo asociado a las personas no sólo depende de la aplicación de los controles "formales" que define la ISO 27001, sino que la primera medida de gestión del riesgo que deberíamos aplicar es, sencillamente, la "inteligencia emocional" corporativa (concepto que, si no existe, me acabo de inventar con gran satisfacción). Ahora bien... esto, que parece una perogrullada, cuántas empresas lo aplican?