InfoSecMan Blog

“La Seguridad es un proceso dinámico de mejora continua que precisa atención permanente en el ámbito de la organización”

A medida que Internet continúa evolucionando hacia una herramienta y medio de negocio crítico en la vida de las compañías, y los sistemas de información y comunicaciones constituyen un elemento indispensable para su funcionamiento, la Seguridad se convierte en un punto de máximo interés y con una alta prioridad en los procesos de negocio de cualquier organización. Los riesgos de intrusión y ataques, tanto internos como externos, crecen día a día suponiendo importantes pérdidas económicas cuantificadas como tiempos fuera de servicio y degradación del mismo, modificación, pérdida  y eliminado de información y datos críticos, filtrado de datos confidenciales al exterior o devaluación de la imagen pública de la compañía, entre otras.

Sistemas que hace unos años eran considerados como opcionales hoy en día se nos presentan como obligatorios si queremos mantener un nivel de seguridad adecuado en la organización. A diario somos bombardeados con publicidad sobre sistemas o fabricantes que incorporan características novedosas y que debemos incorporar a nuestro parque de sistemas instalados. Las tecnologías involucradas en estas soluciones requieren a menudo de una sólida formación multidisciplinar incluso para su mera comprensión, no digamos ya para su correcta implantación. En este escenario, es fácil perderse en el maremagno de dispositivos, tecnologías o estándares y asumir que la solución a todas nuestras necesidades es una “máquina ideal” que “asegure” nuestros procesos de negocio (paradójicamente como hace no muchos años se pensaba de los firewalls).

Sin embargo, y precisamente porque la Seguridad es un campo multidisciplinar y complejo, la solución nunca es únicamente tecnológica, y mucho menos estática. Es por ello que mi visión de la seguridad trata de interpretarla como una estructura con distintas capas de abstracción que interaccionan entre sí formando un todo compacto, robusto y homogéneo que mejora el valor global de la organización.

Como primera y muy breve aproximación, desarrollando la figura adjunta, podríamos describir las siguientes capas o campos de actuación:

• Legislación. Debería ser la base sobre la que construir el sistema de gestión o metodología de seguridad correspondiente. No hacerlo así supondría incurrir en importantes responsabilidades legales (LOPD, LSSICE, etc.) que acarrearían importantes pérdidas a la organización.
• Estándares/Metodologías. La adopción de estándares o metodologías aceptadas internacionalmente (como ISO 27001 o IS2ME ) en la implementación, gestión y auditoría de la seguridad, beneficiará directamente a la organización de forma análoga a la adopción de otros estándares más ampliamente conocidos (como ISO 9000, ISO 14000, etc.) en otros campos.
• Gestión y Operación. La consecuencia directa de una buena organización y gestión de la seguridad, se materializará en la existencia de unas políticas de seguridad, procedimientos, instrucciones de trabajo y registros que reflejen la gestión y operación habitual de la organización.
• Diseño. Puesto que una parte importante de la implementación de la seguridad es técnica y tecnológica, es necesario un completo y correcto diseño de las arquitecturas, topologías y servicios que la organización ofrece y utiliza.
• Sistemas de Seguridad. La correcta instalación, configuración y operación de los dispositivos de seguridad (firewalls, IDS, IPS, proxies, AntiSpam, etc.) es fundamental y absolutamente necesaria para alcanzar los niveles de seguridad adecuados, pero no deja de ser una minúscula parte del todo que debe tenerse en cuenta en la seguridad de la información.

Finalmente, podríamos añadir una capa adicional que puede considerarse incluida en la anterior, pero que por su importancia merece la pena mencionar:

• Código Fuente. Como eslabón final de la cadena y al más bajo nivel, la seguridad también debe ser un requisito a incorporar en cualquier desarrollo que se lleve a cabo (herramientas internas, aplicaciones web, etc.), puesto que el desarrollo suele ser la base de los sistemas de seguridad ya mencionados y de aplicaciones y servicios que forman parte de los procesos de negocio de la organización.

Sirva esta pequeña refelexión como introducción a esta visión (holística) de la seguridad de la información que, cuando el tiempo me lo permita, intentaré ir desarrollando en posteriores entregas.