El título del post viene como reflexión de lo que últimamente me estoy encontrando al auditar sistemas de gestión de la seguridad de la información. Como ya comenté en el post anterior "SGSI virtuales", nada más tomar contacto con la documentación de un SGSI enseguida se percibe el grado de conocimiento que o bien la empresa a certificar o en gran medida la consultora que ha llevado el proyecto tiene, respecto a la seguridad de la información.
ISO 27001 habla de la construcción de un sistema de gestión pero en este caso, centrado en la seguridad de la información como el elemento esencial que hay que gestionar. Sin embargo a este mundillo están llegando consultoras y personas que vienen de una larga trayectoria y experiencia en gestión pero que desconocen los términos más básicos de esta disciplina que es la seguridad de la información. ¿Por qué digo esto?
Básicamente la respuesta se encuentra en las metodologías de análisis de riesgo que estoy teniendo que revisar y comprender para poder auditar el funcionamiento de SGSI. Ya he comentado varias veces cual es la importancia de la fase del análisis del riesgo y los objetivos que persigue. Sin embargo, me toca frecuentemente ver cómo esta fase, dentro de un proyecto de construcción de un SGSI es vista como un mero trámite que la consultora intenta superar para poder generar los tres documentos que ISO 27001 establece como obligatorios y que son el análisis de riesgos, el plan de tratamiento de riesgos y la declaración de aplicabilidad.
Por desgracia es frecuente que en las metodologías "ad hoc" que las consultoras se inventan aparezca lo siguiente: "Se establecen métodos de valoración de los activos que consideran el riesgo como un único valor aglutinando las estimaciones realizadas sobre el valor de la confidencialidad, integridad o disponibilidad y la frecuencia de las amenazas". He visto como el riesgo es el máximo valor de las tres columnas C,I,D o bien la media, o bien cualquier otra fórmula inventada "adhoc".
Mi reflexión está orientada a hacer ver que no es adecuado y correcto aglutinar en un único valor las tres componentes de la seguridad para establecer el cálculo del riesgo de una organización porque cada propiedad tiene un tratamiento diferente desde la perspectiva de las soluciones que hay que utilizar para proteger dicha característica. Voy a poner un ejemplo que creo que hará más entendible esta situación. Imaginemos que un paciente va al médico porque tiene síntomas relacionados con el sistema circulatorio, el respiratorio y el digestivo. Para este ejemplo, dolencias en las extremidades inferiores, alergia que afecta a sus fosas nasales y dolores en la boca del estómago. El médico, para tratar cada uno de estos síntomas no puede hacer cálculos sobre ellas para dar un único diagnóstico. Cada cosa tiene una sintomática particular y debe ser tratada de forma diferente. Pues bien, en seguridad de la información ocurre exactamente lo mismo.
- Los problemas de confidencialidad tienen soluciones específicas que tratarán de ocultar la información a quien no deba conocerla mediante técnicas de cifrado.
- Los problemas de integridad tienen también soluciones para detectar la alteración no autorizada como pueden ser tecnologías de firma digital, comprobaciones de totales, funciones hash, etc.
- Los problemas de disponibilidad tienen que garantizar que la información está accesible en los tiempos que ésta se requiere y debe trabajar para garantizar dicho acceso, utilizando técnicas de alta disponibilidad, redundancia, etc.
¿Qué sentido tiene decir cosas como que el nivel de riesgo es una suma o un promedio? Lo correcto es saber para cada propiedad cual es su diagnóstico y en cada caso tomar las decisiones oportunas.
Si tomamos como método de calculo la suma, estamos sobreprotegiendo al activo, dado que realizaremos un esfuerzo para evitar ese nivel de riesgo, asumiendo que en las tres componentes se dan valores altos. Por ejemplo, el valor de un activo que tuviera en confidencialidad un 1, integridad un 3 y disponibilidad un 4, tomaría como valor final del elemento el 4. Dentro de lo malo, al menos es un método prudente porque protege por defecto más de lo necesario.
Si tomamos la media si que puede ocurrir que el nivel de protección no logre cubrir al activo de las amenazas potenciales detectadas. Siguiendo con el ejemplo anterior, el valor del activo sería 2,66. Aquí vemos como el valor del activo no llega a identificar las verdaderas necesidades que tiene la protección de la información para dos de sus componentes, la integridad y la confidencialidad.
Este tipo de actuaciones solo me plantean una par de cuestiones:
- ¿Qué modelo de seguridad se puede proporcionar a una Organización si se ignoran las sustanciales diferencias que existen entre las tres propiedades de la información?
- ¿Qué clase de tratamiento se puede dar a unos resultados basados en la mezcla conjunta de síntomas?
En cualquier caso, creo que la dinámica de las certificaciones sobre sistemas de gestión pueden estar contribuyendo a crear marcos de gestión pero pueden estar haciendo un flaco favor a la propia seguridad de la información si quien establece el marco de gestión no entiende del elemento gestionado. Este tipo de perversiones ya han ocurrido bajo los esquemas ISO 9000 y ahora se extienden hacia la 27001. Y todo ello por atender más a las formas que al fondo.
Pedro, un lector, dejo una muy buena reflexión hace algún tiempo en forma de comentario:
"En la vida y obra del buscón Don Pablos describía al caballero para el que servía, viejo hidalgo, de mucha nobleza, pero mucha mas pobreza. Tras haber encontrado un trozo de pan, no lo usó en comerlo, pese al hambre que pasaba, sino en desmigarlo y hecharselo sobre el pecho para parecer que había comido.
Los siglos pasan, pero estas practicas perviven, convenientemente modificadas. Existe una triste practica es España, que es la certificación como objetivo, no ya en seguridad, sino en cualquier otra área, como la calidad. Y es que se le da mas importancia a lo que se parece que a lo que se es."
Un sistema de gestión de la seguridad de la información que no logre su objetivo esencial de nada servirá si ante cualquier incidente no es capaz de evitar, detectar, prevenir o remediar cualquier tipo de incidente. No ser conscientes de los riesgos nos pone en una situación de indefensión si ignoramos los problemas que pueden estar al acecho sin ser conscientes de ellos. Por tanto, démosle la verdadera importancia que tiene a la fase del análisis del riesgo para elaborar planes de tratamiento que tengan sentido y solventen las deficiencias detectadas.
2 comentarios:
e checando tu post y es bueno, me gusto como lo explicaste yea...
Hola!!!
Me gusto mucho tu explicación y concuerdo plenamente contigo.
Yo estoy tratando de elaborar tablas para la valoración de la Integridad y disponibilidad, ya que comunmente he visto que solo se toma en cuenta la conficencialidad ¿me podrias ayudar?
Publicar un comentario