InfoSecMan Blog

Charlaba ayer con mi compañero Carmelo sobre el caso real de un cliente en el que el estado de la seguridad es “indeterminado”, y con “indeterminado” me refiero a que no se tienen datos reales y contrastados de cómo de bien o mal está en ese sentido (aunque “intuitivamente”, parece claro que está bastante mal), puesto que nunca se ha hecho un estudio o análisis al respecto debido a la vorágine que rodea a su negocio (punto este que ya hemos comentado bastantes veces y que fue uno de los orígenes que nos planteó la creación de IS2ME).

Pues bien, de cara a comenzar con la implantación de la seguridad en esa organización el primer paso será saber cómo está realmente, es decir realizar un diagnóstico o “gap analysis” (informe SEIS en terminología de IS2ME) de los distintos aspectos de la seguridad para poder, a continuación, establecer un plan de acción una vez evaluados y gestionados los riesgos existentes en la organización.

Llegados a este punto, cabe mencionar que se trata de una organización de cierta dimensión, con distintas ubicaciones y un tamaño considerable. ¿Qué nos viene en ese momento a la mente? Establecer el alcance de ese estudio, de ese diagnóstico, ¿verdad?. Pero, si lo que queremos es mejorar el nivel de seguridad de toda la organización, no de un área o departamento, ni buscar una certificación para un determinado servicio, ¿cómo podemos establecer el alcance adecuado de forma que el resultado del diagnóstico de la organización nos sirva para elevar ese nivel de seguridad?

De forma teórica y extremadamente ortodoxa, si lo que queremos es asegurar toda la organización, el alcance del estudio debería englobar su totalidad (distintos departamentos, distintas ubicaciones, todos los procesos, etc.). Sin embargo, esto haría que el proyecto tomase una dimensión que, en la práctica, haría que no se obtuviesen resultados “palpables” hasta pasado un buen tiempo (varios meses), y cuando digo “palpables” me refiero a disminución del riesgo asumido por la organización demostrable ante la alta dirección.

Por otra parte, la opción más fácil sería reducir el alcance únicamente a un determinado departamento o unidad de negocio, teniendo en cuenta sus relaciones con el resto, etc. Esta opción sería la más sencilla y abordar su diagnóstico, así como su análisis e incluso evolucionar hacia su certificación sería algo rápido y abordable. El “pero” en este caso, es que aún habiendo hecho esto y obteniendo un resultado demostrable y con un plazo relativamente corto, no estaríamos disminuyendo significativamente el riesgo real asumido por la organización (salvo en el supuesto caso en que ese departamento o unidad de negocio supusiese un % muy significativo del volumen de negocio de la organización).

Entre una y otra elección existen toda una gama de opciones que pueden aportar más en uno u otro sentido, y la pregunta aquí es: ¿cómo seleccionar el alcance adecuado del diagnóstico en una organización en la que su estado de madurez en seguridad es extremadamente básico y que no tiene, a priori, elementos para valorar una u otra opción?

La solución propuesta es la que, mediante IS2ME creemos la más efectiva y eficiente en este tipo de empresas. El objetivo es rentabilizar al máximo el uso de los recursos obteniendo los mejores resultados para la disminución del riesgo con el empleo de los mínimos recursos necesarios, es decir diagnosticar el menor % de procesos (con sus activos correspondientes) que represente el mayor % de volumen de negocio de la organización. Por ejemplo, evaluando el 20% de los procesos de la organización que supongan el 80% de su volumen de negocio, probablemente nos daremos cuenta que para englobar el 85% del volumen de negocio, el % de los procesos de la organización evaluados deberá ser mucho mayor (por encima del 50%) y por tanto el retorno de inversión en los recursos utilizados a corto plazo, será mucho menor.

Por ello, creemos que una opción adecuada y eficaz para realizar el diagnóstico, “gap analysis” o desarrollo del informe SEIS en este tipo de organizaciones con falta de madurez en seguridad, es “abarcar” toda la organización aunque llegando a una profundidad del diagnóstico limitada, es lo que llamamos “alcance global con profundidad limitada”. Esto es, no se tratará de evaluar todos y cada uno de los procesos y activos de la organización en el mayor detalle, sino aquellos representativos con el mayor volumen de negocio y que supongan el mayor riesgo para la organización (siguiendo la idea ya mencionada en el anterior párrafo). Un método adicional además del volumen de negocio manejado (y conocido habitualmente por el interlocutor o cliente) será el muestreo, que permitirá obtener muestras representativas del estado de seguridad de procesos y activos de la organización.

Con esta opción, el resultado obtenido del diagnóstico (o Informe SEIS, o Gap Analysis) habrá identificado el estado de seguridad de la organización completa, identificando aquellos puntos que suponen mayor riesgo para la organización y aportando estos resultados en un plazo de tiempo muy corto que permite a la alta dirección poder tomar decisiones en base a estos resultados para disminuir de forma inmediata los riesgos asumidos globalmente por la organización, y mejorar así su estado en lo que a seguridad de la información se refiere.

Cierto es que este diagnóstico no será completo (o al menos no tan completo como si se definiese formalmente un “alcance global de profundidad completa”), pero sí cumplirá el objetivo perseguido inicialmente: disminuir el nivel de riesgo asumido por la organización, obteniendo los mejores resultados, con los menores recursos y en el menor plazo de tiempo posible.

La consecución de una labor de este tipo, trae como consecuencia adicional (y positiva) el avance en el grado de madurez de la organización en lo que a seguridad de la información se refiere y sienta la base para, una vez mejorado su estado en seguridad (y por tanto disminuido el riesgo asumido y aumentado su valor), comenzar el camino hacia una implementación más formal siguiendo en este caso ya un enfoque clásico de implantación de SGSI, que de otra forma sería inabordable en organizaciones de este tipo, y definiendo para esa nueva fase o proyecto el alcance más adecuado, ahora ya sí con elementos de valoración adecuados tras haber realizado las labores mencionadas.