Autor: Gabriel Marcos
Cargo: Marketing Specialist Datacenter & Security – Global Crossing Colombia
Twitter: @jarvel.

Las noticias, muchas veces, pueden sonar abrumadoras: ataques a escala global, nuevas técnicas (Advanced Persistent Threats), fraudes en aumento, ingeniería social, robos de identidad, redes botnets y ataques distribuidos, amenazas para smartphones… en fin: hay tantas cosas allá afuera que es difícil decidir por dónde empezar!

Más aún, el hecho de que haya tanto de qué protegerse, tiene el efecto de generar una sensación de desazón anticipada, ante la cual muchos directores de tecnología y seguridad sienten que como es imposible estar protegido ante todo, entonces la mejor opción es sencillamente no hacer nada y no malgastar recursos inútilmente.

Si a esto le sumamos que cualquier medida de protección que deseemos implementar nos llevará necesariamente a invertir tiempo y dinero (casualmente los dos tipos de recursos que nunca sobran), está preparado el terreno para que los incidentes sigan creciendo sin control.

Sin embargo, más allá de plantear una posición existencial de acuerdo o desacuerdo con esta situación, y lejos de pretender dramatizar aún más una situación que de por sí es bastante preocupante, es importante plantear que existen medidas mínimas que cualquier organización debería haber puesto en funcionamiento para aspirar a conseguir al menos un grado básico de seguridad.

Seamos claros: la perfección es inalcanzable, y muchas veces la realidad de las empresas hace que sea imposible incluso estar más o menos cerca de esa situación en la cual uno pueda sentirse si no confiado, al menos tranquilo… pero una cosa muy diferente es no tener al menos una base mínima de gestión de la seguridad de la información; eso es lo que coloquialmente se conoce como “dar papaya”: una expresión tan Colombiana como acertada, que significa que siempre es posible hacer algo que está a nuestro alcance para evitar convertirnos en blanco del próximo ataque.

¿Cuál es el mínimo y cómo conseguirlo?

Sería muy fácil decir, por ejemplo, que el mínimo al que una empresa debe aspirar para gestionar la seguridad de su información es implementar al 100% la norma ISO 27001, si no fuera porque conseguir eso es muy difícil y puede llevar desde varios meses a un par de años, y aún así la realidad es que muchas empresas están lejos de poder plantearse semejante desafío, incluso si es verdad que la norma debería ser un estándar para construir un modelo de gestión adaptado a las necesidades particulares de cada organización y complementarlo con otras normas y regulaciones.

Es muy subjetivo plantear cuáles deberían ser las medidas de seguridad mínimas que una organización debería implementar, y a menos que  busquemos adherirnos a una regulación internacional, cualquier selección de puntos a tratar que hagamos siempre será parcial e insuficiente.

Pero la vida no se trata de escaparle a los desafíos, y es por eso que en este artículo voy a presentar cinco puntos que considero indispensables para cualquier organización.
Aún si la implementación de estos cinco puntos no es para nada sencilla, estoy convencido que son una excelente base para luego llegar a modelos de gestión de la seguridad de la información y la continuidad del negocio mucho más completos.

1. Gestión del riesgo
La gestión del riesgo es la clave de la proactividad: a menos que uno quiera pasarse la vida corriendo detrás de los problemas, es necesario implementar mecanismos que permitan anticiparse a lo que pueda ocurrir.

Ningún sistema de gestión del riesgo será infalible ni preverá absolutamente todo lo que pudiera ocurrir, pero la preparación que implica reconocer los riegos y tratarlos genera una cultura organizacional que aumenta la resiliencia de las personas y los procesos incluso ante eventos no previstos.

Operativamente halando, el análisis de riesgos es lo mínimo que una organización debería realizar y mantener actualizado de forma cíclica y permanente, ya que es la base para luego tomar decisiones y llegar a actuar preventiva y proactivamente.

Si además este análisis de riesgo es cuantitativo y no solamente cualitativo (es decir, si expresa los riesgos en función de su potencial impacto económico), estamos hablando de una herramienta muy valiosa para toda la organización, más allá de las fronteras de los departamentos de TI y seguridad.

2. Formación
El concepto de formación (bien conocido para todos los que algunas veces han trabajado con normas ISO y, claro, para todos los que se dedican a la formación profesional) incluye los aspectos de capacitación y concientización necesarios para el correcto desarrollo de las funciones de cada empleado.

Sin embargo, alejándonos de la definición académica y acercándonos a recomendaciones de orden práctico, la idea en este punto es asegurar que los empleados realmente cuenten con las habilidades mínimas que además de cumplir con su tarea del día a día, le garanticen a la empresa que esas tareas no implicarán riesgos significativos.

Si hace falta aclararlo, no me estoy refiriendo a una capacitación anual obligatoria hecha por un sistema web que posee los mismos contenidos año tras año… un programa de formación requiere participación activa del departamento de Recursos Humanos en conjunto con las gerencias de Tecnología y Seguridad de la Información, para definir el plan específico a implementar en cada área de la organización.

Desde mi punto de vista, las dos mayores exigencias de estos programas son, en primer lugar, conseguir los fondos necesarios y asegurar su asignación en el momento adecuado, y en segundo lugar, desarrollar creativamente las metodologías que permitan garantizar la efectividad del programa a través de lograr el compromiso de los empleados.

3. Seguridad interna
Probablemente el tema menos abordado en el mercado sea la cuestión de integrar mecanismos de seguridad al interior de las organizaciones… espero que nadie se desilusione si digo que instalar un antivirus en los computadores está muy bien pero lejos de ser suficiente!

Son muy pocos los casos en que existen sistemas de detección de intrusos protegiendo el acceso a sus servidores críticos (bases de datos, sistemas ERP y CRM, etc.) desde el interior de la organización (“la red interna”), y esto es solamente un ejemplo.

Claro está que esto debería surgir en cualquier análisis de riesgos como prioridad, empezamos a ver cómo estas recomendaciones se entrelazan y complementan unas  a otras, y hasta qué punto la seguridad de la información debe ser abordada de forma sistémica.

4. Nuevas tecnologías de control
Al principio de este artículo mencioné algunas de las cuestiones que forman parte de la última moda y de los éxitos de siempre a nivel de ataques informáticos: es hora de decir también que los mecanismos de detección con los que cuentan la mayoría de las organizaciones actualmente son incapaces de detectar y prevenir muchos de esos ataques.

Quizás un ejemplo paradigmático sea el concepto de SIEM (Security & Information Event Management): hace dos años presenté este concepto bajo el nombre de “Seguridad Inteligente” (http://www.slideshare.net/jarvel/seguridad-inteligente-2009), y desde ese momento hasta el día de hoy ha crecido significativamente la oferta de herramientas que lo soportan pero la demanda se mantiene estable entre la indiferencia y la timidez.

Estamos acostumbrados a tratar la detección de amenazas por “silos” (de forma aislada), recibiendo en unas consolas eventos de servidores, en otra los dispositivos de seguridad, y así siguiendo con los dispositivos de networking y demás componentes de las redes modernas, sin contar tampoco con mecanismos de integración de los resultados de análisis de vulnerabilidades y tests de penetración: esto es exactamente lo que más les conviene a los hackers que utilizan las técnicas de ataque más modernas!

Necesitamos incorporar gradualmente nuevas tecnologías que integren la detección de amenazas en tiempo real con los análisis de riesgo preventivos que permitan actuar a tiempo incluso antes las técnicas de ataque más novedosas.

5. Foco en la información
Para terminar con esta serie de recomendaciones, es fundamental conservar el foco en lo que deseamos proteger: la información.
Muchos especialistas recomiendan implementar algún tipo de última línea de defensa en caso de que todo lo anterior falle, algo así como la última barrera, el último recurso para tratar de mitigar el riesgo aún en las peores situaciones.

Si bien cabe analizar en cada caso particular (y con la ayuda de especialistas!) qué medidas es conveniente aplicar y cuáles son las ventajas y los riesgos que cada una implica, quizás un ejemplo paradigmático de este enfoque es la encripción de datos.

Aún si un atacante llega a franquear todas las barreras de seguridad y logra hacerse de los datos, el hecho de que éstos se encuentren encriptados podría hacer que esos datos resulten prácticamente inservibles… claro está que esto sirve solamente como último recurso, pero considero que es un buen ejemplo de lo que significa no perder el foco.

También es importante aclarar que muchas veces no es necesario tener medidas tecnológicas sino también implementar controles a nivel de procesos, como por ejemplo cuando las transacciones que impliquen montos superiores a determinados límites requieren de una aprobación firmada por escrito: aún si un atacante lograra generar una solicitud válida, habría un último eslabón en la cadena de aprobación que impediría la concreción efectiva del ataque.

Conclusiones

Si bien podemos coincidir o no con algunas de estas medidas, un mínimo es siempre y solamente eso: un mínimo, una base sobre la cual construir lo que realmente se quiere alcanzar.
Las utopías no están para ser alcanzadas, y si somos realistas tenemos que ser conscientes de que en muchas organizaciones el mínimo es lo máximo que se puede alcanzar ahora; este tipo de situaciones, lejos de conformarnos, deberían hacernos pensar más estratégicamente y recordar que una escalera se sube, siempre, escalón por escalón.

¡Con suerte, estas recomendaciones abrirán el juego en cada organización para entender si realmente se cuenta con un nivel mínimo de gestión de la seguridad de la información: si eso permite subir el nivel, nuestra misión se habrá visto satisfecha!