Archivo del Autor: Luis Cruz
Identificar, el primer paso en la Cyberseguridad
Hace unos días recalcaba la importancia del framework de Cyberseguridad de NIST en el contexto de los eventos de ataques a las infraestructuras de TI que están sucediendo. Vamos a iniciar un recorrido por las fases, comentando puntos que han probado ser hitos difíciles de superar en la gestión de la seguridad de la información.
La primera fase se refiere a la identificación de todo lo que tiene importancia para la gestión de la información. El lector debe de tener sumo cuidado en no confundir esta fase con la tradicional identificación de activos de información de otros frameworks. Aunque es necesario tener identificados los activos de información, esto es dispositivos que almacenan, transportan o procesan información, el framework también incluye en esa fase importantes categorías que se relacionan con la identificación de funciones crítica de la gestión de TI. Estas categorías son: el ambiente de negocios, el gobierno de la seguridad, la evaluación de riesgos y el análisis de riesgos operacionales. Estas categorías en la realidad tienden a ser ignoradas en las empresas, pero representan hitos fundamentales en el control de la seguridad de la información. Quizá la más relevante sea la evaluación de riesgos de seguridad porque es la que aporta información crucial para entender la importancia de la seguridad de la información para el negocio. Es también la más difícil de asimilar para el negocio. Mi mejor comentario aquí para los dueños de negocio es: si no quieren gastar de forma aleatoria en seguridad, participen en la evaluación de riesgos para dejarle claro a los responsables de la seguridad adónde es que están los riesgos que impactan en la organización. Es importante mencionar que el framework no es solamente técnico y cuando establece la categoría de evaluación de riesgos, en unos de sus componentes especifica directamente que “los impactos potenciales al negocio” sean identificados. Esta frase debe dejarnos clara la idea de que la implementación de la cyberseguridad debe realizarse de acuerdo con los lineamientos del negocio. Hay que recordar aquí que un riesgo es todo lo que podría pasar que tiene la probabilidad de impedir el lograr los objetivos de negocio.
Tener una idea de los riesgos ayudará también a definir el Gobierno de la Seguridad que es necesario para la empresa. Es importante que se identifiquen roles y responsabilidades a todos los niveles de tal forma que se obtenga la seguridad a partir de un conjunto ordenado de esfuerzos. En el área de gobierno, el establecimiento de políticas de seguridad que son continuamente monitoreadas para establecer su efectividad y necesidades de mejora es una tarea primaria.
En la categoría del ambiente de negocios, es importante considerar aquellos procesos de gestión de TI que están pensados para interactuar con el negocio. El establecimiento de niveles de acuerdo de servicios, la gestión de proveedores, la gestión de la capacidad y similares, que garanticen que la información estará disponible, se mantendrá integra y será confidencial cuando las necesidades del negocio así lo requieran.
Por último, la gestión del riesgo operacional es una necesidad eminente de la Gerencia de TI. Esto es identificar riesgos en las operaciones de TI y preparar acciones mitigantes o de reacción en caso de que se materialicen. Esta categoría es importante para no perder disponibilidad en caso de un evento contingencial. Por ejemplo, que pasaría si un empleado “critico” se enferma. Esto es un riesgo operacional. ¿Hemos preparado a alguien más para desempeñar sus funciones críticas? ¿Sabíamos que era crítico? ¿Tenemos documentación suficiente para responder al negocio aunque falte el empleado? Estas preguntas nos hacen entender que no sólo hay que identificar activos en esta fase, sino que es una fase para identificar todo lo que es importante para una gestión eficiente de la seguridad de la información, tomando como criterio primordial el impacto que se necesita evitar a las operaciones del negocio.
La Cyberseguridad: una implementación urgente
Las amenazas a las plataformas informáticas en el 2015 han aumentado de una forma mayor a lo sucedido históricamente. Las facilidades proporcionadas por las comunicaciones han abierto grandes posibilidades para los negocios, para incrementar productividad y para estar comunicado en todo momento. Pero esto también está permitiendo un nuevo tipo de ataques, permanentes, masivos, más elaborados. Quienes gobiernan las tecnologías de la información ahora tienen que pensar en que un gobierno efectivo también debe de gobernar la seguridad de la información.
Hoy quiero llamar la atención hacia el framework de Cyberseguridad, desarrollado por el Instituto de Estándares y Tecnología (NIST – National Institute of Standards and Technology). Nace a partir de una orden ejecutiva presidencial, que por sí solo debería de ser una alerta del nivel de urgencia que existe por implementar medidas de seguridad en cualquier organización. El framework está formado por un conjunto de estándares y mejores prácticas que fueron consensadas a través de diferentes talleres con actores predominantes en la industria de las Tecnologías de la Información. La misma ISACA ha formado parte de este esfuerzo y quienes seguimos de cerca la producción de material para orientar el gobierno de las tecnologías de la información ya contamos con una publicación de esta entidad para implementar Cybersecurity: “Implementing the NIST Cybersecurity Framework”. Esto también ha extendido el conjunto de certificaciones emitidas por ISACA, existiendo ahora certificaciones para los niveles de Fundamentos, Practicante, Especialista y Experto en Cyberseguridad. Esto adicional a la tradicional CISM (Certified Information Security Manager). Definitivamente, tantos esfuerzos por el NIST e ISACA no deben de pasar inadvertidos por los Gerentes de TI, que tienen que empezar a preparar su caso de negocio para implementar medidas de seguridad en su organización y buscar que su personal cuente con conocimientos sobre seguridad de la información.
Personalmente me parece bastante atinado el proveer a todos de un conjunto de 100 medidas, que se constituyen en una base bastante extensa de salvaguardas para proteger la empresa. Estos controles tendrán éxito en su implementación en la medida que formen parte de un esfuerzo coordinado que pone la seguridad en un papel defensivo, pero con capacidad de identificación y respuesta. Este enfoque busca que incidentes de cyberseguridad causen el más mínimo, sino nulo, impacto al negocio. Las funciones especificadas por el framework, siguen una lógica muy similar a la de los ataques, sólo que ahora estas acciones deben de ser ejecutadas preventivamente. Las funciones son identificar, proteger, detectar, responder y recuperar. En muchas empresas, cuando se habla de seguridad de la información, enumeran acciones que protegen la información, tales como controles de acceso físico y lógico, el cifrado de información, la instalación de antivirus y firewalls. Proteger está bien, pero las otras funciones también son importantes. La identificación es necesaria para conocer la superficie de ataque existente. Cuantas veces al auditar, hemos encontrado que existen equipos sin antivirus instalado. Esto sucede porque nadie se ha tomado el trabajo de identificar todos los activos de la organización y verificar que el número de equipos sea igual al número de antivirus instalados y actualizados. Los virus informáticos si se toman el tiempo de buscar adónde se pueden instalar y encuentran esos activos que no están protegidos. Esto muestra la necesidad de mantener indicadores más informativos del funcionamiento de las medidas de protección, que busquen una protección del 100% de los activos.
Las funciones de detección, respuesta y recuperación proponen el tener la capacidad de conocer que se está recibiendo un ataque y a partir de ahí activar protocolos que permitan responder oportunamente y recuperar el control de la situación. Esto en el fondo implica que no sólo deberíamos decir nos atacaron, sino también conocer quién nos atacó, como entró a la organización, que activos fueron afectados e iniciar acciones para limitar y anular el margen de acción del atacante. Esto implicará que las organizaciones deberán a utilizar herramientas más sofisticadas, similares a las que utilizan los hackers, para evaluar la seguridad de la organización. Estas herramientas permitirán también el cruzar información de los fabricantes sobre las últimas vulnerabilidades descubiertas y su impacto en la infraestructura de la organización. El análisis de vulnerabilidades y la evaluación de riesgos de seguridad constituyen en este contexto dos controles vitales para el éxito de un programa de cyberseguridad y la priorización de la implementación de controles de seguridad.
Como podemos intuir de estas líneas, hablar de Cyberseguridad implica comenzar a pensar más como hacker y utilizar las mismas herramientas que tradicionalmente ellos han utilizado para encontrar y cerrar las posibles brechas que nos hacen vulnerables a los ataques. Esto debería de ser el accionar responsable de una Gerencia que busca el éxito de las operaciones de negocio, minimizando riesgos y evitando interrupciones a las operaciones, mientras se mantiene una atención eficiente y efectiva a los clientes.
Controles para la Seguridad de la Información
Sin importar el tipo o tamaño de una empresa, todas pueden ser impactadas por fallas en la gestión de la seguridad. El efecto final puede ser experimentado de diferentes formas, como daños a sus equipos, pérdida de información o una disminución en los tiempos de respuesta de los equipos utilizados por los empleados para trabajar. Los usuarios finales normalmente se quejarán de estos problemas diciendo cosas como “no hay sistema”, “el sistema está lento” o “¿No encuentro mis datos?”. El impacto en el negocio dependerá de qué tan crítico sea el momento en el que no hay sistema, o en el que la respuesta es lenta o de la importancia de los datos perdidos.
La Gerencia de Sistemas debe poner la debida atención a entender y analizar los riesgos relacionados con la seguridad de la información y a establecer todos los controles necesarios que permitan reducir la posibilidad de que eventos no deseados les impacten. Durante muchos años he sido testigo de muy buenas intenciones de muchos gerentes de sistemas para establecer los controles necesarios para brindar seguridad a la información de su organización, pero estas intenciones no son compartidas con los gerentes generales o gerentes financieros, que objetan iniciativas, por considerar que los gastos son excesivos. Los segundos a veces cambian de mentalidad cuando se ha sufrido un ataque que implicó pérdidas financieras, daños a la reputación o serios retrasos en las operaciones.
En todo caso, para tranquilidad de todos, los Gerentes de Sistemas tienen que realizar un análisis de riesgos de seguridad de la infraestructura y presentar a la organización el listado de posibles amenazas visualizadas, estableciendo su probabilidad de ocurrencia y el impacto que tendría cada una de ellas en las operaciones, a efectos de que sea claramente entendible por todos la ventaja o desventaja de establecer un control adicional, aunque esto requiera de alguna inversión. Esta práctica es efectiva para visualizar los riesgos, pero debe optimizarse a través de la identificación de controles que permitan, a un costo razonable, mitigar el riesgo.
Los riesgos, para ser entendidos, deben de ser expresados en función de la jerga del negocio. Por ejemplo, si se enuncia como una amenaza el que un virus tome control de un servidor y lo deje inoperante, nuestro riesgo real es que los negocios que se realizan con las aplicaciones existentes en ese servidor se vean interrumpidos porque el servidor fue atacado por un virus. Establecer el impacto en función de la amenaza de perder o retrasar el ingreso de efectivo si llevará al negocio a invertir en tener un sistema antivirus instalado en el servidor y en equipos clientes que tengan relación con el mismo. Si bien en este caso el control primario es el sistema antivirus, y este representa una inversión, se debe de ser muy analítico para decidir la conveniencia o no de implementar controles adicionales, que tal vez no incluyan inversión, pero que requieren del cuidado del personal. Pongamos un par de ejemplos. Si consideramos que para garantizar el éxito de un antivirus, este debe de estar actualizado, tanto en su software, como en las definiciones de virus, podemos entender que es necesario asegurar que la persona responsable del mantenimiento del software antivirus, realiza revisiones rutinarias que verifiquen que el software está funcionando y que resuelva cualquier problema que cause que la solución de antivirus no funcione de la mejor manera posible. Estas revisiones también constituyen un control. Los gerentes deben de exigir a los técnicos que realizan estas funciones que dejen evidencia del monitoreo realizado y de acciones correctivas que se han tomado. Un segundo control podría ser la restricción de utilizar dispositivos de memoria usb en equipos sensitivos. Aquí la decisión debe ser basada en el siguiente razonamiento “Si los puertos usb no son necesarios para mi negocio, los bloqueo”. Esto reduce la posibilidad de que un virus entre directamente al equipo por estos dispositivos. Este control nos llevaría a desactivar la capacidad de que los usuarios administren sus equipos y por lo tanto no puedan sobrepasar la configuración que desactive los puertos usb. También para esto es necesario tener un control del número de equipos existentes en la organización, para garantizar que en todos está debidamente configurada esta configuración.
Como el lector podrá deducir, la amenaza de un virus, estaría siendo mitigada con tres controles. Uno requiere inversión, pero los otros dos requieren de la definición de prácticas de trabajo que ayuden a confirmar la efectividad de la inversión realizada en el antivirus. No implementar estos controles adicionales podría ponernos en la situación en la que se ha invertido en un software de antivirus y aun así se materializa el riesgo.
Esto nos lleva a la conclusión de que los controles de seguridad no están basados totalmente en la inversión que realiza una organización, sino más bien en la aplicación constante de un análisis de los riesgos existentes y la adopción de medidas que mitiguen al máximo la posibilidad de ocurrencia.
Auditoría de Sistemas
Vamos a comentar un poco sobre la Auditoría de Sistemas, comenzando con su definición. Es importante hablar de este tema, porque en El Salvador y en la región centroamericana en general no se ha llegado a valorar el verdadero aporte que un buen auditor de sistemas proporciona a la organización. Muchos perciben la auditoría de sistemas como una asistencia al Auditor Financiero externo o al Auditor Interno. Pocos perciben la necesidad de considerar Auditorías de Sistemas que realmente auditen las Tecnologías de la Información, ayudando a comprender si quienes son responsables de la función de TI están desempeñando un trabajo completo, que proporciona un soporte a las operaciones actuales del negocio, mientras se prepara para asumir los retos futuros, evaluando riesgos y aprovechando al máximo la inversión en TI. Lógico es pensar, que en primer lugar, la Alta Gerencia también ha valorado muy poco la función de TI en la organización, considerándola un centro de costo, más que un aliado estratégico en el logro de objetivos de negocio. Por otro lado, si la Alta Dirección le da importancia a contar con sistemas de información e infraestructura de Tecnologías de la Información que soporten con efectividad y eficiencia al negocio, también incluirá en sus planes el contar con Auditoría de Sistemas que le ayude a verificar que efectivamente es así y que además le ayude en la formulación de Planes de Acción razonables para mejorar el desempeño del soporte de TI al negocio.
Primero, hay que valorar la función de las Tecnologías de la Información en la organización, luego hay que auditarlas para comprobar su efectividad.
Bajo este enfoque, igual que la Auditoría Interna, la Auditoría de Sistemas proporciona una labor de soporte a los objetivos de negocio, proporcionando aseguramiento sobre la función de TI en la organización y proveyendo consultoría adecuada a los objetivos de la organización. A este respecto, es conveniente definir previamente que es un Auditor Interno. De acuerdo al Instituto de Auditores Internos (IAI, www.theiia.org) “la Auditoría Interna es una actividad independiente y objetiva de aseguramiento y consulta, concebida para agregar valor y mejorar las operaciones de una organización. Ayuda a una organización a cumplir sus objetivos aportando un enfoque sistemático y disciplinado para evaluar y mejorar la eficacia de los procesos de gestión de riesgos, control y gobierno.” Para el IAI un Auditor de Tecnología de la Información es un Auditor Interno que se enfoca en el uso que la Organización hace de las Tecnologías de la Información. Por lo cual, el desarrollar una buena práctica de auditoría de sistemas, implica realizar el trabajo de acuerdo con metodologías de auditoría interna que van desde la creación de un Plan Anual de Auditoría, la creación de revisiones específicas de procesos de gestión de TI o de la correcta configuración de Tecnologías específicas, hasta la revisión y discusión de hallazgos con los responsables de la función de TI y la elaboración de informes para la alta gerencia que permitan revelar efectivamente los principales problemas detectados y las soluciones recomendadas para mejorar el funcionamiento de las Tecnologías de la Información en la organización.
Es importante recalcar que el proceso de auditoría de sistemas es altamente técnico. Un análisis sin fundamento técnico carecería de valor para el auditado, porque no se le estarían identificando problemas clave ni generando recomendaciones que mejoren la forma en la que se brinda soporte al negocio. Esto incluye las mismas herramientas que se utilizan, como los escaneadores de infraestructura, que requieren ser configurados efectivamente para lograr los mejores resultados, a través de parámetros específicos del equipo que se está auditando. Es tan importante esto, que los mismos fabricantes del software para realizar auditorías, otorgan a través de examenes detallados, certificaciones del conocimiento que una persona tiene para auditar utilizando estas herramientas (a manera de ejemplo se puede consultar http://elearn.tenable.com/course/info.php?id=55). Adicionalmente, ISACA, la entidad que ha normado a nivel mundial el conocimiento requerido para certificarse como Auditor de Sistemas, CISA, (Certified Information System Auditor, http://www.isaca.org/Certification/CISA-Certified-Information-Systems-Auditor/Pages/default.aspx) otorga una certificación relativa al conocimiento que el auditor de sistemas tiene en cinco áreas de conocimiento. El auditor de sistemas de información certificado debe demostrar conocimiento en el proceso de auditoría, el gobierno y la gestión de TI, la adquisición, desarrollo e implementación de Sistemas de Información, la operación, mantenimiento y soporte de los sistemas de información y la protección a los activos de información. En estas áreas, un auditor de sistemas es probado a través de un examen su conocimiento sobre las normas existentes, las prácticas más recomendadas por los fabricantes y el funcionamiento de las tecnologías auditables. Esto tiene el objetivo de proveer aseguramiento de que quién posee una certificación en auditoría de sistemas, tiene el conocimiento técnico y conoce la metodología de trabajo de la auditoría interna para lograr cumplir con su trabajo de aseguramiento y consultoría para ayudar a la alta dirección a retroalimentarse sobre el funcionamiento de la función de TI en la organización.
Auditando la Integridad de la Información
Últimamente la seguridad de la información y los riesgos de la información han ocupado espacio en este blog. Esta vez pensé escribir de algo diferente, la integridad de la información, pero si reflexionamos un poco, no es un tema tan diferente. El estándar de seguridad de la información ISO 27001 estableció como criterios para definir la seguridad de la información que para considerarla asegurada, la información debe de satisfacer tres criterios: confidencialidad, disponibilidad e integridad. Esta tríada, ampliamente conocida en el mundo de las Tecnologías de la Información como CIA, por las siglas en inglés (Confidenciality, Integrity, Availability) definen los atributos que la información debe poseer para considerarla segura. Así que técnicamente, seguimos en el tema. Es importante considerar aquí que la probabilidad de que nuestra información pierda seguridad por daños a la integridad es mucho mayor porque los daños a la integridad son causados normalmente por causas internas. Esto implica un mayor riesgo que debe de ser considerado por el auditor de sistemas.
Mi principal consideración acerca de la integridad de la información es que la estructura de los datos de una organización define su integridad. Esto es así porque cada dato recibe un nombre, un tipo de datos, una longitud y valores permitidos que son específicos para cada organización. Es importante asegurarse que esta definición existe a través de una documentación adecuada y que además ha sido apropiadamente actualizada de acuerdo con los cambios que la afectan. Este punto se dice fácil, pero ha probado ser difícil en múltiples revisiones de auditoría. Los casos que se encuentran van desde que no hay documentación hasta que la documentación no corresponde con el uso que se le da a cada dato.
Es conocido también que una buena práctica de gestión de datos exige asignar la propiedad de los datos a personas específicas. El auditor de sistemas debe entonces verificar que se han definido las personas responsables de realizar y aprobar las definiciones de datos apropiadas que permitan conocer adónde y como se almacenan los datos que se utilizan en los procesos de negocio.
Si se han establecido estos dos elementos, el auditor de sistemas puede entonces entrevistar a los responsables de los datos, tanto desde el punto de vista técnico como funcional, establecer cuáles son los datos más críticos de la organización y proceder a preparar pruebas, utilizando la información de la definición de los datos, que permitan establecer que se mantiene una integridad razonable en la organización. Esto es, hablando en términos técnicos que el 100% de los datos cumplen con la definición de los mismos y que no se tienen valores fuera de rango, valores nulos, referencia a valores inexistentes, registros huérfanos y demás. Este valor esperado de 100% de datos conforme a la norma es difícil de cumplir por múltiples razones, que van desde mala digitación y malos controles de aplicación hasta errores en las aplicaciones. Muchas veces, al realizar la evaluación de la integridad y encontrar deficiencias en los datos, es más importante determinar porque se dio la diferencia para determinar la causa raíz de la falta de integridad y proceder a implementar una solución que elimine el problema de integridad para el elemento auditado, así como para futuros cambios que se realicen en la estructura de los datos. Por ejemplo, si un programa está guardando mal la información y esto causa que no se almacene un dato, el auditor de sistemas debe de identificar el error en el programa como la causa raíz y acordar con la Gerencia de Sistemas un plan de implementación para corregir el programa y evitar que se siga repitiendo el daño a la integridad de la información.
Auditar la integridad de los datos de una organización es una de las tareas más difíciles para un Auditor de Sistemas, debido al tamaño de los sistemas de información utilizados hoy en día, la complejidad de reglas de negocio que se le aplican a los datos y la falta de cumplimiento de buenas prácticas como la asignación de responsables y la documentación adecuada.
La Administración Segura de los Recursos de TI
Para los profesionales en Auditoría de Sistemas que trabajamos siguiendo estándares internacionales en diferentes áreas es difícil auditar ambientes que no siguen estándar alguno. Seguir un estándar proporciona un criterio verificado por una organización que tiene un respaldo que garantiza que los resultados no son antojadizos y que en la elaboración del estándar se ha seguido una metodología que garantice resultados satisfactorios si el estándar es seguido. En el primer mundo las regulaciones han venido a ser tan amplias, que seguirlas se ha convertido en la norma y las auditorías que se basan en estándares resultan normales y en la mayoría de los casos sirven sólo para confirmar que se está siguiendo una buena práctica en la gestión de TI y los riesgos a la seguridad de la información están mitigados. Por otro lado, en el medio centroamericano gestionar tecnología sin seguir estándares es más bien la norma seguida. Esto es un producto de la calidad de nuestras universidades, que adoptan prácticas de gestión de Tecnologías de la Información de manera tardía y en muchas ocasiones sin el soporte adecuado de entrenamiento, tanto para los docentes como para los estudiantes. Es una situación difícil, pero superable por una gestión proactiva de la Gerencia de Tecnologías de la Información. No me sentiría bien, para terminar con esta idea, sin mencionar que también he tenido la experiencia de conocer excelentes Gestiones de Tecnologías de la Información en el área centroamericana, las que han venido a ser una excepción, pero que me confirman que si se puede gestionar a primer nivel los recursos de TI.
Para poner un ejemplo concreto, en la administración de servidores, muchas veces se pasan por alto configuraciones consideradas inseguras, o para decir un término más adecuado a la situación actual, explotables. ¿Qué estándar existe para configurar un servidor? Existen varias opciones. Si nuestra operación se realizará en un país del primer mundo, tendríamos el mandato de aplicar alguna de ellas. En mi opinión, en Centroamérica como estamos en un ambiente no regulado en este aspecto, tenemos la gran ventaja de poder elegir la que más nos convenga para nuestra operación. Primero, podríamos ver a lo que los fabricantes llaman las mejores prácticas. Cada fabricante propone para su producto no sólo configuraciones recomendadas que aportan seguridad a la operación del servidor, sino también medios para probar fácilmente si existen desviaciones en las configuraciones recomendadas. Esto último hace más fácil que un administrador pueda dar seguimiento al nivel de seguridad del equipo bajo su responsabilidad. Como depender de los consejos de un proveedor sobre su propio producto no es suficiente para asegurar que su operación es segura, existen fuentes independientes que generan recomendaciones sobre la configuración de los servidores. Por ejemplo, el Instituto Nacional de Estándares y Tecnologías, del departamento de comercio de los Estados Unidos, ha emitido varios documentos, tanto de carácter general como para productos específicos, que sirven de guía para mitigar riesgos a la seguridad de la información. Una opción ampliamente utilizada en la Industria de la Seguridad de la Información son las recomendaciones del Centro para la Seguridad de Internet (CIS – Center for Internet Security) que provee recomendaciones para productos específicos. Estas recomendaciones vienen en la forma de Benchmarks, es decir, a partir de un consenso realizado entre expertos en seguridad. Estas opciones son de alto carácter técnico, esto implica que indican valores específicos esperados en archivos de configuración y valores de parámetros utilizados. Son tan técnicas, que cuando se auditan, se pueden auditar por medio de software, lo que permite tener una opinión de la seguridad de un centro de datos en forma rápida. En mi experiencia, auditar centros de datos siguiendo estos estándares, así como algunos otros, ayuda a mejorar la postura de seguridad de una organización. Esto es sumamente importante, porque aunque en nuestra región no se exige la aplicación de estándares para administrar tecnología de la información, si tenemos los mismos riesgos de seguridad, porque estamos insertados en un medio común, la Internet.
Los Diferentes Ángulos de la Seguridad de la Información
Aunque trabajo en la auditoría de sistemas de información, el análisis de riesgos, de rigor para el ejercicio de la auditoría en general, siempre me lleva revisar y a identificar hallazgos relacionados con la seguridad de la información. De esto podemos concluir, que las amenazas a la seguridad de la información, constituyen uno de los mayores riesgos para que las operaciones de TI cumplan con su objetivo de soportar las operaciones de negocio de una manera eficiente.
Para soportar el negocio eficientemente, las operaciones de TI no pueden ser interrumpidas por ataques que nos lleven a tener que reconfigurar equipos o a perder información. Pero existen amenazas más problemáticas aún para el negocio, como es la posibilidad de que terceros tengan acceso a mi información, que obtengan copia de ella o que la modifiquen. Cada escenario que puse de ejemplo parece más y más siniestro. Pero en ese mundo es en el que se vive. Afortunadamente, el universo de equipos y direcciones IP aún es grande y muchas empresas en el ámbito centroamericano no son objetivos tácitos de este tipo de ataques. Pero eso no significa que las Gerencias de TI pueden tener la guardia baja y no realicen acciones para proteger la información de su empresa. Aunque ya existen estándares definidos para abordar el tema de seguridad a continuación enumero una lista de áreas que deben de ser atendidas como un mínimo desde el punto de vista de la seguridad informática:
1. Las configuraciones de antivirus. Aquí es importante no solo el contar con software de este tipo, sino también garantizar su efectividad a través de la actualización de la definición de virus.
2. Las configuraciones de sistemas operativos. Aunque obviamente son más importantes las de los servidores, equipos clientes desactualizados pueden servir de plataforma para el lanzamiento de ataques, por lo que hay que considerar ambos entornos.
3. Las redes. En estos momentos es ya imposible vivir sin estar conectados. Los ambiente empresariales exigen el uso de correo electrónico, soluciones de comunicaciones, mensajeria y el mismo acceso a la Web. Pero la conectividad debe de ser restringuida a través de un diseño efectivo de la red y la configuración adecuada de los equipos que forman parte de la red, como routers y firewalls, así como por los que la protegen, como los firewalls.
4. La administración del acceso a las aplicaciones. Esto implica la definición de mecanismos de acceso y autenticación efectivos de los usuarios con la autorización para registrar, modificar y consultar datos en una aplicación.
5. Las normas de gestión de la seguridad. Las medidas de seguridad necesitan ser acompañadas de prácticas que garanticen su efectividad. Estas practicas tienen que ver con la revisión rutinaria del estado de todas las salvaguardas establecidas, la evaluación de la efectividad de las medidas, la detección y correción de excepciones e incluso el diseño de nuevas medidas para resolver nuevos incidentes de seguridad.
Áreas adicionales podrian ser consideradas. De acuerdo a las condiciones de cada empresa y su perfil de riesgo se podría llegar a definir cosas como la clafisicación de la información, las protecciones físicas de los activos de información, los planes de continuidad y el cifrado de la información.
Lo importante es que los responsables de la función de TI estén atentos a identificar y resolver los principales riesgos de seguridad de la información que afronta en su ambiente operativo, haciendo uso de las herramientas adecuadas y configurándolas en su nivel óptimo.
Por supuesto, la Alta Dirección debe de hacer uso de la Auditoría de Sistemas para obtener un aseguramiento de que las medidas de seguridad definidas e implementadas en la organización son adecuadas, se han implementado de una forma óptima y se encuentran operacionales. De no ser así, las Auditoría de Sistemas colaborará con la Gerencia General en la definición y verificación de un plan de implementación que permita cerrar las brechas descubiertas y mejorar la posición de seguridad de la organización.
La Gestión de la Seguridad de la Información
Escribo este blog en abril de 2014. Este mes, ha sido excepcional para el área de la Seguridad de la Información, debido al descubrimiento de una vulnerabilidad en una implementación del protocolo SSL que podría haber proporcionado una gran capacidad a un potencial atacante para penetrar en servidores y tener acceso a información que no debería de ser conocida. Es un hecho que los conocedores de seguridad se han quedado perplejos ante las dimensiones de la vulnerabilidad detectada. Pero todavía más relevante, es el hecho de que la pieza de código afectada fue publicada en mayo del año 2012, por lo que ha estado operando por 2 años sin que se detectara esta vulnerabilidad. Es importante mencionar que la vulnerabilidad es indetectable desde cualquier infraestructura privada, porque existe en el enlace de comunicaciones, que es público y por lo tanto, se tenía que realizar una prueba de penetración muy detallada, para interceptar los paquetes de información “encriptados” y detectar una forma de acceder a la información que se estaba transportando. Esto ilustra la complejidad del tema de la seguridad. Varias acciones de remediación pueden realizarse en las empresas vulnerables a este problema. Se habla de renovar certificados, de realizar los parches correspondientes, de actualizar palabras secretas (passwords) y cosas similares. Pero si analizamos desde el punto de vista de la Gestión de la Seguridad de la Información, estamos hablando de las mismas actividades que se definen, ejecutan, monitorean y ajustan en un Plan de Seguridad. Esto constituye un indicador claro de la efectividad que proporciona el tener formalmente implementado un Plan de Seguridad de la Información, incluyendo su revisión bianual por parte de un auditor certificado. Es inconcebible, por ejemplo, que en este caso en el que se ha tenido una exposición de más de dos años, los passwords y los certificados sigan siendo los mismos, cuando es una recomendación primaria de seguridad de la información la renovación frecuente. Este es un principio básico, mediante el cual renuevo el mecanismo de seguridad al actualizarlo, logrando que si las credenciales de autenticación han sido comprometidas, la vulnerabilidad generada quede sin efecto al descartarlas. Quiero recalcar aquí, que hasta la tarea de concientización sobre la seguridad de la información es importante. Si tomamos como ejemplo el cambio de passwords, a muchas personas no les gusta o no entienden la necesidad de realizar el cambio y ven la tarea como una tediosa y ridícula petición de la Gerencia de TI. He visto como en algunos lugares se implementa la autenticación con dos factores, lo cual incrementa el trabajo de ingreso a un sistema para el usuario, por lo que para no ser tan autoritativos o molestos, se proporciona como una opción para los usuarios que quieran estar más seguros. Puesto en estos términos, la tasa de usuarios que deciden pasar por el trabajo de utilizar el segundo factor de autenticación resulta baja. Esto definitivamente no es servicio al cliente, en términos de seguridad. Se debe de entender claramente que los usuarios en una organización no son los dueños de la información, por lo cual, deben de acatar todos las regulaciones establecidas para tener segura la información de la organización, que es el fin último de la medida. Todavía más allá, la concientización debe ayudar a dejar claro a un usuario sobre las amenazas existentes, la existencia de posibles vulnerabilidades, haciendo énfasis en esta naturaleza probabilística de su existencia, estableciendo que podrían existir o no, más sin embargo, las medidas de seguridad nos ayudan a estar preparados, logrando prevenir su ocurrencia, detectar su materialización o disminuir su impacto en el logro de objetivos. Así vemos que hasta la tarea de concientización tiene un rol importante en la gestión de la Seguridad de la Información. Por supuesto, medidas más técnicas, como las implementadas en la red de comunicaciones, la utilización de software antivirus, la ejecución de respaldos, la creación de un plan de contingencia y demás, deben de formar un Plan de la Seguridad de la Información completo, que identifique, mitigue y responda a eventos que pongan en peligro la pérdida de confidencialidad, integridad o disponibilidad de nuestra información.
La importancia del Plan de Contingencia de TI
El objetivo de este blog es establecer que es un Plan de Contingencia de TI y su importancia en las organizaciones.
El Plan de Contingencia de TI es una herramienta que mitiga el riesgo de no poder continuar con las operaciones por períodos que se prolongan más allá de lo soportado por los procesos de negocio. Es decir, no estamos hablando de interrupciones debidas a un corte de energía eléctrica. Un corte de energía eléctrica en los países centroamericanos es tan frecuente, que para poder operar, los centros de datos y lugares críticos de procesamiento de datos, deben de tener implementados sistemas de redundancia eléctrica, protección ante los cambios de voltaje y la generación de energía alterna a la fuente primaria. Por supuesto, la inversión a realizar en la protección eléctrica debe ser en proporción a la importancia que tiene el proteger los activos y mantener las operaciones funcionando. Si ponemos de ejemplo un Banco, seguramente para no interrumpir el flujo de atención a clientes, la protección eléctrica incluirá hasta plantas de generación eléctrica con capacidad para mantener operando todas las oficinas de manera continua. No hacer esto, implicaría además de un impacto financiero, al retrasar la percepción de ingresos, un daño a la imagen del Banco, que tendría a los clientes esperando a que se reanuden los servicios.
El Plan de Contingencia de TI va más allá. Cuando el centro de datos falla, junto con todos sus mecanismos de protección primaria, cuando se pone en riesgo no sólo las operaciones, sino la integridad física de las personas, el Plan de Contingencia debe de ser la guía que indica qué hacer. Responde a preguntas como: ¿Qué pasa si se inunda mi área de operaciones? ¿Qué pasa si se incendia el edificio? ¿Qué pasa si un terremoto destruye el edificio? ¿Qué pasa si un volcán hace erupción y me obliga a parar operaciones? En todos estos casos, la ejecución de negocios de manera normal no es posible, por lo que el Plan de Contingencia de TI debe prever como se trasladarán las operaciones, las tareas que hay realizar, quién será el responsable de realizarlas, como se comunicarán los equipos y la ejecución de procedimientos de contingencia para que se reconecten los vínculos con clientes, proveedores y empleados. Definitivamente, un Plan de Contingencia de TI es uno de esos planes que uno quisiese no tener nunca que ejecutar, pero llegado el momento de un desastre, es considerado un activo valioso de la empresa, preparada para afrontar problemas y seguir adelante con la ejecución de planes.
La creación de un Plan de Contingencia de TI inicia con las priorización de todos los activos de información, entendiendo en cada caso el nivel de criticidad para los objetivos de la empresa. Posiblemente, en una organización grande existan servicios que facilitan labores secundarias que no son precisamente en las que hay que enfocarse. Esta categorización debe ser realizada con la participación con los dueños de la información, comenzando con la alta dirección. Como resultado de este análisis, quién realiza el Plan de Contingencia de TI conocerá exactamente el orden en el que deben de afrontarse las contingencias, los servicios que deben iniciarse primero y todos los recursos involucrados. Esta priorización debe ser realizada tanto a nivel cualitativo como a nivel cuantitativo. Debe establecerse claramente el monto de pérdida por el cese de operaciones para poder establecer un plan de contingencia que con una inversión razonable minimice la pérdida. Esto es, el Plan de Contingencia no debe de ser más costoso que la pérdida, porque si ese fuera el caso, no tendría viabilidad financiera. Esto permite concluir que el Plan de Contingencia de TI es importante desde el punto de vista financiero para una organización, reduciendo la pérdida y el impacto en el negocio en caso de un desastre.
La Medición del Riesgo de TI
Iniciaré este tema, planteando la situación ideal de la gestión de riesgos de TI. De manera ideal, una buena organización de TI es capaz de identificar la eminente materialización de un riesgo, algo que está por suceder que impactará negativamente las operaciones normales, ejecutar acciones que eliminen o mitiguen la materialización del riesgo y luego eliminen la causa raíz por la cual se incrementó el riesgo operativo de la organización. Es importante entender que esta situación se puede dar a cualquier nivel, en cualquier área de las operaciones de TI, más sin embargo, la organización está lista para identificar y responder a los riesgos. Fin de la situación ideal. Se vale soñar pensarán algunos, esto suena como la fantasía de un Gerente de Informática.
Medir el riesgo de TI es importante para iniciar proyectos de control interno de TI, seguridad de la información y auditoría de sistemas. Cada norma y procedimiento en estas áreas menciona que se deben de tomar decisiones basadas en el nivel de riesgo existente. Sin embargo, independientemente de la implementación de normas específicas, la gestión de TI necesita conocer de la situación de riesgos existente en las operaciones de TI y tomar decisiones que permitan eliminar o mitigar los riesgos existentes.
Para ejemplarizar un riesgo, pensemos en que sucede en nuestro centro de cómputo cuando existe un alza en el voltaje eléctrico. La vulnerabilidad aquí es el suministro eléctrico, que está expuesto a la amenaza de un incremento en el voltaje, que ciertamente puede dañar servidores y equipos de comunicaciones. El resultado final, al materializarse esta amenaza, es un alto en las operaciones de TI y por consiguiente, un alto en las operaciones de negocio. Manejar este riesgo implica, primero reconocer que esta situación se puede dar, esto es el paso de identificación. Las acciones que se deben de tomar, son preventivas. Este es un riesgo que no podremos mitigar después de ocurrida la incidencia, sin pérdidas grandes para la organización. Las medidas preventivas pueden incluir el diseño de un circuito eléctrico propiamente aterrizado y con el equipo necesario para asegurar que cualquier alza de voltaje es debidamente canalizada hacia el aterrizaje, llegando incluso hasta la desconexión total de la red de suministro y pasando a una alimentación secundaria, ya sea por baterías o plantas eléctricas propias. Obviamente, el nivel de respuesta dependerá de cuánto dinero esté en riesgo.
Como regla general existe una sola razón que permite que todas las decisiones de control y mitigación de riesgos sean tomadas, que es cuando el ingreso proveniente de las operaciones del negocio está en riesgo evidente de ser interrumpido. Disminuir el ingreso es letal para las organizaciones, dado que impacta directamente en los resultados.
La principal dificultad a la hora de evaluar riesgos en TI radica en que normalmente no hay una vinculación de los servicios de TI contra los procesos que generan ingresos y el nivel de dependencia que estos procesos tienen de los servicios. Si hablo solo de la industria salvadoreña, en la mayoría de empresas los mismos “servicios de TI” no han sido definidos, lo cual significa que el universo de riesgos es imposible de definir. Esto es grave en un marco de gestión de TI en el que se quiere conocer, evaluar y gestionar los riesgos de TI. Esto nos lleva a concluir, que para medir el riesgo de TI, se tiene como pre-requisito conocer la operación de TI y la dependencia que el negocio tiene de TI para lograr sus objetivos. Esto implica conocer que hacemos, con qué lo hacemos y establecer una medición del nivel de importancia que tenemos en la creación de valor para la empresa. Créanme que escribir estas líneas es fácil, pero la realidad es que en el entorno salvadoreño la mayoría de empresas no ha logrado aún definir su catálogo de servicios, con lo cual podrían iniciar esta cadena de decisiones que les lleven a una eficiente y efectiva gestión de riesgos. Esto incluso proporciona respuesta a los gerentes de informática que aún preguntan y ¿Para qué implementar normas y metodologías de gestión en TI? Realmente, la implementación planificada del Gobierno de TI, proporciona a los departamentos de TI la visibilidad y el control que permite a toda la organización entender la importancia de la función de TI.
Gestión y Auditoría de TI 