Código de práctica para la administración de la seguridad de la información (1º parte).

Qué es la seguridad de la información?

La información es un recurso que, como el resto de los importantes activos comerciales,  tiene valor para una organización y por consiguiente debe ser debidamente protegida. La seguridad de la información protege ésta de una amplia gama de amenazas, a fin de garantizar la continuidad comercial, minimizar el daño al mismo y maximizar el retorno sobre las inversiones y las oportunidades.

La información puede existir en muchas formas. Puede estar impresa o escrita en papel, almacenada electrónicamente, transmitida por correo o utilizando medios electrónicos, presentada en imágenes, o expuesta en una conversación. Cualquiera sea la forma que adquiere la información, o los medios por los cuales se distribuye o almacena, siempre debe ser protegida en forma adecuada.

La seguridad de la información se define aquí como la preservación de las siguientes características:

a) confidencialidad: se garantiza que la información sea accesible sólo a aquellas personas autorizadas a tener acceso a ella.

b) integridad: se salvaguarda la exactitud y totalidad de la información y los métodos de procesamiento.

c)  disponibilidad: se garantiza que los usuarios autorizados tengan acceso a la información y a los recursos relacionados con ella toda vez que se requiera.

La seguridad de la información se logra implementando un conjunto adecuado de controles, que abarca políticas, prácticas, procedimientos, estructuras organizacionales y funciones del software.

Se deben establecer estos controles para garantizar que se logren los objetivos específicos de seguridad de la organización.

Por qué es necesaria la seguridad de la información

La información y los procesos, sistemas y redes que le brindan apoyo constituyen importantes recursos de la empresa. La confidencialidad, integridad y disponibilidad de la información pueden ser esenciales para mantener la ventaja competitiva, el flujo de fondos, la rentabilidad, el cumplimiento de las leyes y la imagen comercial.

Las organizaciones y sus redes y sistemas de información, se enfrentan en forma creciente con amenazas relativas a la seguridad, de diversos orígenes, incluyendo el fraude asistido por computadora, espionaje, sabotaje, vandalismo, incendio o inundación. Daños tales como los ataques mediante virus informáticos, "hacking" y denegación de servicio se han vuelto más comunes,  ambiciosos y crecientemente sofisticados.

La dependencia de las organizaciones respecto de los sistemas y servicios de información denota que ellas son más vulnerables a las amenazas concernientes a seguridad. La interconexión de las redes públicas y privadas y el uso compartido de los recursos de información incrementa la dificultad de lograr el control de los accesos. La tendencia hacia el procesamiento distribuido ha debilitado la eficacia del control técnico centralizado.

Muchos sistemas de información no han sido diseñados para ser seguros. La seguridad que puede lograrse por medios técnicos es limitada y debe ser respaldada por una gestión y  procedimientos adecuados. La identificación de los controles que deben implementarse requiere una cuidadosa planificación y atención a todos los detalles. La administración de la seguridad de la información, exige, como mínimo, la participación de todos los empleados de la organización. También puede requerir la participación de proveedores, clientes y accionistas. Asimismo, puede requerirse el asesoramiento experto de organizaciones externas. Los controles de seguridad de la información resultan considerablemente más económicos y eficaces si se incorporan en la etapa de especificación de requerimientos y diseño. 

Cómo establecer los requerimientos de seguridad

Es esencial que una organización identifique sus requerimientos de seguridad. Existen tres recursos principales para lograrlo.

El primer recurso consiste en evaluar los riesgos que enfrenta la organización. Mediante la evaluación de riesgos se identifican las amenazas a los activos, se evalúan las vulnerabilidades y probabilidades de ocurrencia, y se estima el impacto potencial.

El segundo recurso está constituido por los requisitos legales, normativos, reglamentarios y contractuales que deben cumplir la organización, sus socios comerciales, los contratistas y los prestadores de servicios.

El tercer recurso es el conjunto específico de principios, objetivos y requisitos para el procesamiento de la información, que ha desarrollado la organización para respaldar sus operaciones. 

Evaluación de los riesgos en materia de seguridad

Los requerimientos de seguridad se identifican mediante una evaluación metódica de los riesgos de seguridad. Las erogaciones derivadas de la satisfacción de las necesidades de control deben ser equilibradas con respecto al impacto potencial de las fallas de seguridad en los negocios. Las técnicas de evaluación de riesgos pueden aplicarse a toda la organización, o sólo a partes de la misma, así como a los sistemas de información individuales, componentes de sistemas o servicios específicos cuando esto resulte factible, viable y provechoso.

La evaluación de riesgos es una consideración sistemática de los siguientes puntos;

a)  impacto potencial de una falla de seguridad en los negocios, teniendo en cuenta las potenciales consecuencias por una pérdida de la confidencialidad, integridad o disponibilidad de la información y otros recursos;

b)  probabilidad de ocurrencia de dicha falla tomando en cuenta las amenazas y vulnerabilidades predominantes, y los controles actualmente implementados.

Los resultados de esta evaluación ayudarán a orientar ya determinar las prioridades y acciones de gestión adecuadas para la administración de los riesgos concernientes a seguridad de la información, y para la implementación de los controles seleccionados a fin de brindar protección contra dichos riesgos. Puede resultar necesario que el proceso de evaluación de riesgos y selección de controles deba llevarse acabo en varias ocasiones, a fin de cubrir diferentes partes de la organización o sistemas de información individuales.

Es importante llevar a cabo revisiones periódicas de los riesgos de seguridad y de los controles implementados a fin de:

a)  reflejar los cambios en los requerimientos y prioridades de la empresa;

b)  considerar nuevas amenazas y vulnerabilidades;

c)  corroborar que los controles siguen siendo eficaces y apropiados.

Las revisiones deben llevarse a cabo con diferentes niveles de profundidad según los resultados de evaluaciones anteriores y los niveles variables de riesgo que la gerencia está dispuesta a aceptar. Frecuentemente, las evaluaciones de riesgos se realizan primero en un nivel alto, a fin de priorizar recursos en áreas de alto riesgo, y posteriormente en un nivel más detallado, con el objeto de abordar riesgos específicos. 

Selección de controles

Una vez identificados los requerimientos de seguridad, deben seleccionarse e implementarse controles para garantizar que los riesgos sean reducidos a un nivel aceptable. Los controles pueden seleccionarse sobre la base de este documento, de otros estándares, o pueden diseñarse nuevos controles para satisfacer necesidades específicas según corresponda. Existen diversos modos de administrar riesgos y este documento brinda ejemplos de estrategias generales. No obstante, es necesario reconocer que algunos controles no son aplicables a todos los sistemas o ambientes de información, y podrían no resultar viables en todas las organizaciones. Como ejemplo, el punto 8.1.4 describe cómo pueden separarse las tareas para evitar fraudes y errores. Podría no resultar posible para las organizaciones más pequeñas separar todas las tareas, pudiendo resultar necesarias otras formas de lograr el mismo objetivo de control.

Los controles deben seleccionarse teniendo en cuenta el costo de implementación en relación con los riesgos a reducir y las pérdidas que podrían producirse de tener lugar una violación de la seguridad. También deben tenerse en cuenta los factores no monetarios, como el daño en la reputación.

Algunos controles de este documento pueden considerarse como principios rectores para la administración de la seguridad de la información, aplicables a la mayoría de las organizaciones. Se explican con mayor detalle en el siguiente párrafo, bajo el título de "Punto de partida para la seguridad de la información". 

Punto de partida para la seguridad de la información

Algunos controles pueden considerarse como principios rectores que proporcionan un buen punto de partida para la implementación de la seguridad de la información. Están basados en requisitos legales fundamentales, o bien se consideran como práctica recomendada de uso frecuente concerniente a la seguridad de la información.

Los controles que se consideran esenciales para una organización, desde el punto de vista legal comprenden:

a) protección de datos y confidencialidad de la información personal (ver 12.1.4);

b)  protección de registros y documentos de la organización (ver 12.1.3) ;

c)  derechos de propiedad intelectual (ver 12.1.2) ;

Los controles considerados como práctica recomendada de uso frecuente en la implementación de la seguridad de la información comprenden:

a)  documentación de la política de seguridad de la información (ver 3.1.1);

b)  asignación de responsabilidades en materia de seguridad de la información (ver 4.1 .3);

c) instrucción y entrenamiento en materia de seguridad de la información (ver 6.2.1);

d)  comunicación de incidentes relativos a la seguridad (ver 6.3.1);

e)  administración de la continuidad de la empresa (ver 11.1 );

Estos controles son aplicables a la mayoría de las organizaciones y en la mayoría de los ambientes.

Se debe observar que aunque todos los controles mencionados en este documento son importantes, la relevancia de cada uno de ellos debe ser determinada teniendo en cuenta los riesgos específicos que afronta la organización. Por ello, si bien el enfoque delineado precedentemente se considera un buen punto de partida, éste no pretende reemplazar la selección de controles que se realiza sobre la base de una evaluación de riesgos.

Factores críticos del éxito

La experiencia ha demostrado que los siguientes factores, a menudo resultan críticos para la implementación exitosa de la seguridad de la información, dentro de una organización:

a)  política de seguridad, objetivos y actividades que reflejen los objetivos de la empresa;

b)  una estrategia de implementación de seguridad que sea consecuente con la cultura organizacional;

c)  apoyo y compromiso manifiestos por parte de la gerencia;

d)  un claro entendimiento de los requerimientos de seguridad, la evaluación de riesgos y la administración de los mismos;

e) comunicación eficaz de los temas de seguridad a todos los gerentes y empleados;

f)  distribución de guías sobre políticas y estándares de seguridad de la información a todos los empleados y contratistas;

g)  instrucción y entrenamiento adecuados;

h)  un sistema integral y equilibrado de medición que se utilice para evaluar el desempeño de la gestión de la seguridad de la información y para brindar sugerencias tendientes a mejorarlo.