25 abril 2007

SGSI: Gestion y Seguridad

Hace ya algun tiempo (mas del que pensaba, ahora que vuelvo a ver la fecha), publique un post en el que analizaba el contenido de la ISO 9001 desde el punto de vista de sus componentes: Gestion + Calidad. El objetivo de este post es hacer el mismo analisis con la ISO 27001, y de ese modo facilitar la identificacion de los componentes de un SGSI.

Un SGSI es, por un lado, un sistema de gestion. En este caso, desarrollado con el objetivo de gestionar la seguridad de la informacion. Por tanto, sus componentes como sistema de gestion son los ya señalados:
  • Plan: Políticas, objetivos, metas, planes, ...
  • Do: Procesos, difusión, formación, gestión documental, registros, ...
  • Check: Auditorías, mediciones, gestión de incidencias, no conformidades, revisión por la dirección, ...
  • Act: Correcciones, acciones correctivas, acciones preventivas, ...
Por otro, un SGSI es Seguridad. Seguridad gestionada, y como tal, separada en dos partes: gestion de riesgos y controles de seguridad. La primera parte, la gestion de riesgos, es la principal aportacion de la norma, y exige la realizacion de un analisis de riesgos formal, la definicion de la estrategia de tratamiento de esos riesgos y la eleccion de las medidas para llevar a cabo ese tratamiento. Y para llevar a cabo esa eleccion de medidas de seguridad es precisamente para lo que se utilizan los controles de seguridad, ya que la norma propone definirlas mediante la seleccion de los controles necesarios de entre los 133 controles que la propia norma propone en su anexo A (y usar controles adicionales si los 133 no son suficientes).

En resumen, podemos decir que la ISO 27001 define un SGSI como Sistema de Gestion + Gestion de Riesgos + Controles de Seguridad. Ahora bien, los tres elementos tendran que estar adecuadamente integrados si queremos que el SGSI completo funcione. Ahi esta precisamente la dificultad, y tambien uno de los aspectos en los que, desde mi punto de vista, la norma quizas no sea lo suficientemente clara. Al fin y al cabo, los tres elementos que componen el SGSI llevan coexistiendo por separado en el mundo de la seguridad durante mucho tiempo, y sin embargo son muy pocos los ejemplos que se pueden poner de SGSIs reales y que funcionen antes de la aparicion de su antecesora (BS 7799-2).


P.D.: Perdon por no usar las tildes en los ultimos post, pero es que esa tecla ha decidido dejar de funcionar en mi equipo. Alguien sabe como convencerla para que vuelva al trabajo?

23 abril 2007

La formacion es clave

Hoy algunos medios se hacen eco de un informe publicado por McAfee sobre la seguridad de la informacion en las pymes europeas. Este informe, elaborado a partir de mas de 1000 encuestas, destaca que muy pocas empresas incluyen la seguridad informatica entre las materias de formacion interna. Este deberia ser un apartado especialmente importante en la formacion inicial que deben recibir todos los empleados, y tambien de cara a regular las actividades de mayor riesgo dentro de las organizaciones (navegacion web, acceso al correo electronico, utilizacion de dispositivos de almacenamiento extraibles, uso de equipos portatiles, ...). En general, el informe afirma que la falta de formacion deja a los empleados expuestos a los riesgos de seguridad de la informacion, y que seria conveniente informar a los empleados sobre los mismos.

Otro de los elementos que destaca el informe es que en muchos casos no estan claras las responsabilidades de la organizacion y las de los empleados a nivel individual, y afirma que aunque las acciones de los empleados pueden desembocar en infracciones de seguridad, el responsable último de los procesos y condiciones que rodean los incidentes de seguridad es de la direccion de la organizacion.

Sin embargo, ni siquiera en estos casos es todo tan sencillo. Al menos, si atendemos a esta otra noticia, que afirma que es precisamente la direccion de las empresas la que lleva a cabo la mayor parte de los delitos de fraude. Y no solo eso, sino que estos delitos normalmente son recurrentes y se cometen durante periodos de tiempo prolongados. Aunque quizas el dato mas preocupante es que estos delitos normalmente no son investigados ni se inician investigaciones penales al respecto. ¿Por tanto, cuantos casos de este tipo se produciran sin que pasen a formar parte de las estadisticas?

Y como reflexion final, una duda. Si es la direccion la que tiene que establecer las politicas de seguridad, y se da la casualidad de que coincide con una de las direcciones fraudulentas de la segunda noticia... Que tipo de autoridad moral tiene esta direccion para establecer dichas politicas? En fin, todo un dilema...

16 abril 2007

Control Interno

El control interno es uno de los elementos de gestión empresarial que más cambios ha sufrido en los últimos años. En sus comienzos fue un concepto prácticamente exclusivo de las áreas financieras de las grandes corporaciones. Más adelante se fue extendiendo gracias a que los auditores internos lo heredaron y desarrollaron, aunque en gran medida siguió bastante ligado a los entornos económicos. Y en los últimos años el concepto se amplió y extendió a otros ámbitos, siendo poco a poco utilizado por responsables de calidad, seguridad o tecnología informática.

En la actualidad existen una gran cantidad de modelos de control interno, pero en muchas ocasiones es difícil distinguir entre unos y otros y apreciar claramente sus diferencias y similitudes. Y más si tenemos en cuenta que entre unos y otros existen muchas influencias y puntos comunes. Por eso, creo que este documento puede ser bastante útil para todo aquél que quiera adentrarse en estos temas.

En el documento se comparan tres modelos de control interno: Cobit, SAC y COSO. Inicialmente se lleva a cabo una presentación de cada uno de los tres modelos, y posteriormente se comparan distintos atributos de cada uno de ellos, analizando a quién va dirigido, la forma de ver el control interno de cada modelo, los objetivos organizacionales que persiguen, los componentes del modelo, el ámbito de aplicación y el alcance, entre otros.

Sin pararme a resumir el contenido del documento completo, sí que quiero destacar algunas diferencias que me parecen significativas, sobre todo entre COSO y COBIT, que son los dos modelos más difundidos en la actualidad. La primera gran diferencia es que COSO está enfocado a toda la organización, mientras que COBIT se centra en el entorno IT. La segunda es que COBIT contempla de forma específica la seguridad de la información como uno de sus objetivos, cosa que COSO no hace. Y la tercera, que el modelo de control interno que presenta COBIT es más completo, dentro de su ámbito, que el de COSO, ya que contempla políticas, procedimientos y estructuras organizativas además de procesos para definir el modelo de control interno.

Como única pega que se le puede poner al documento, y a falta de una referencia clara sobre su fecha de realización, es que tengo la sensación de que el artículo no es demasiado actual, y no utiliza ni la referencia de COBIT v4 para analizar este modelo ni las aportaciones del informe COSO II para completar este otro. De todos modos, creo que la referencia es bastante útil para adentrarse en el mundillo del control interno.

12 abril 2007

Continuando con el negocio

Cuando las empresas se preocupan por la continuidad de negocio, en muchas ocasiones no encuentran referencias válidas en las que poder basarse para estimar los costes que supone y las exigencias asociadas a ese tipo de soluciones. Sin embargo, Internet es un mundo en el que se puede encontrar prácticamente de todo, y en este caso no iba a ser menos.

Una referencia básica pero bastante aconsejable es esta. Realmente no es un artículo con el que esté totalmente de acuerdo, ya que minimiza la importancia de los planes preventivos, pero creo que por lo demás es un artículo bastante completo y muy instructivo (y en castellano). Habla de objetivos, necesidades, componentes, requisitos... Una referencia bastante completa, a nivel de introducción.

Si se quiere profundizar, una de las referencias más completas que conozco son los redbooks de IBM. En concreto, en este artículo aparece una introducción a la estrategia de continuidad que desarrolla esta compañía, basada en la definición de 7 niveles de continuidad de exigencias crecientes en cuanto a tiempo de recuperación y pérdida de datos. Si el artículo parece interesante, y se dispone de tiempo y ganas de leer en inglés, desde este link se puede descargar el documento (de "sólo" 416 páginas) que explica con mucho detalle esta filosofía, en qué consiste cada una de las capas, la metodología para seleccionar una u otra solución, las tecnologías y aplicaciones necesarias, ... En fin, toda la teoría necesaria para utilizar esta metodología. Y si lo que se quiere son referencias concretas a cómo se implementan las distintas tecnologías y aplicaciones, la referencia necesaria es la segunda parte del libro (otras 534 páginas de amena lectura), más comercial pero muy útil a la hora de estimar costes (al fin y al cabo, sólo se necesita pedir precios de las soluciones propuestas).

Espero que estas referencias sirvan a todo aquél que quiera profundizar en soluciones de continuidad de negocio. Y que tenga ganas y tiempo de leer...

09 abril 2007

Referencias

Hoy sencillamente quiero hacer referencia a la actualización del apartado de referencias de este blog. He introducido links a los blogs de Xavier Ribas y Paloma Llaneza en relación a la "seguridad legal", y al blog de Samuel Linares en el apartado de "seguridad general". De los primeros, creo que no hace falta decir mucho. Del último quiero destacar la calidad del blog, y en particular uno de sus últimos post, que habla sobre la continuidad de negocio aplicada al ámbito personal. Por si alguien piensa que estos conceptos son sólo aplicables al entorno empresarial...

02 abril 2007

Comparando herramientas de consolidación de logs

Hace ya algún tiempo, dejaba pendiente en otro post ampliar algo de información relativa a consolidadores de logs. Hoy quiero zanjar esa "deuda" pendiente.

En primer lugar, decir que no existe una terminología clara para este tipo de dispositivos. Comercialmente está triunfando la de "gestores de eventos de seguridad", aunque existen múltiples variantes para referirse a este tipo de tecnologías (gestores de incidentes, correladores de eventos, consolidadores de logs, ...).

A partir de ahí, y para aclarar un poco más en qué consisten y cómo funcionan este tipo de dispositivos, me remito a este documento, que aunque es en inglés, y no sea totalmente actual, explica bastante bien no sólo la estructura y funcionamiento de este tipo de dispositivos, sino que ofrece una guía de funcionalidades que se podrían exigir para estas tecnologías. La propia publicación actualiza su información sobre este tipo de dispositivos en este artículo, tal y como refleja Javier Cao en su blog (aprovecho para agradecerle su referencia a este blog, y para recomendar el suyo, de gran calidad de contenidos y accesible directamente desde el apartado de links).

En cuanto a las solicitudes de comparación de este tipo de herramientas, vuelvo a hacer uso de referencias externas, ya que seguramente han tenido más tiempo y más recursos que yo para desarrollar un análisis en profundidad (y espero que suficientemente objetivo y desinteresado). En este caso, el link que quiero dejar es este, a un artículo de Network Computing que data del pasado Mayo y refleja una comparativa de este tipo de productos llevada a cabo por Neoaphsis. El artículo, independientemente de los resultados que ofrece, muestra un listado bastante completo de los principales fabricantes de este tipo de dispositivos (no sólo de los participantes en la comparativa, sino también de aquellos que no lo hicieron), así como una serie de criterios de valoración y ponderación que poder tomar como referencia para seleccionar el producto que más interese. Combinado con las funcionalidades del primer documento referenciado, creo que puede constituir una buena referencia para adentrarse en este tipo de tecnologías.

Y por último, no quiero concluir sin resaltar que no sólo existen estos fabricantes. A día de hoy, diversas empresas ofrecen soluciones de correlación de eventos sin ser grandes multinacionales, y por tanto sin aparecer entre el listado de estos artículos. No tienen por qué ser soluciones de menor calidad, y sobre todo es posible que, en entornos concretos, puedan ofrecer funcionalidades más útiles que los grandes fabricantes.

Como siempre, tendremos que analizar a fondo el entorno, y centrarnos en cuáles de nuestras necesidades tenemos que satisfacer. Y no sólo pensando en el presente, sino con mente abierta y capacidad para ver más allá de las apariencias. Por que si no, puede que sea complicado justificar inversiones de más de 60000$ en este tipo de dispositivos, si atendemos a los precios de referencia que se utilizaron en la comparativa que he citado.