26 Gen

2. Gestió de la Seguretat de la Informació

Si al primer mòdul es tocaven els fonaments i els conceptes bàsics de la Seguretat de la Informació, en aquest segon, se’ns parla de la gestió d’aquesta seguretat. Aviam què diu en Federico, que m’encanta com s’explica. I mira que és argentí ;)

Necessitats i Objectius

Primerament, hem de tenir en compte algunes coses com la necessitat d’aquesta gestió i un sistema de gestió pròpiament, és a dir, les eines adequades per portar-la a terme, que estrictament es diu Implementació de Sistemes de Gestió de la Seguretat de la Informació (SGSI). També és important l’estructura normativa que permetrà la posada en marxa d’aquest sistema de gestió. Hi ha gestions per avorrir: gestió del risc, gestió de canvis i activitats, gestió d’incidents…Per últim, la cirereta del pastís: la consciència de l’usuari.

Els objectius principals de la gestió de la seguretat són:

  • Protegir els actius de la informació (per generar confiança)
  • Alienació amb el negoci (no l’ha d’inferferir sinó ajudar)
  • Característiques puntuals: procés continu i cíclic, inexistència de solucions úniques i infalibles, incumbència d’alta gerència (Top-Down), requereix d’un SGSI i està relacionat amb el sistema de Govern de la Seguretat (Security Governance)

El sistema de gestió de la Seguretat de la Informació disposa d’uns estàndards, com la família ISO 2700, que deriva de la BS7799. Per exemple:

  • 27.001 – requisits per als SGSI i certificació
  • 27.002 – objectius de control i controls recomanables (evaluació i tractament de riscos, política de seguretat, organització de la Seguretat de la Informació, gestió dels actius i dels recursos humans, la seguretat física i ambiental, gestió d’operacions i comunicacions, control d’accessos, desenvolupament i manteniment de sistemes, gestió d’incidències i administració de la continuïtat del negoci, cumpliment de la normativa del país).
  • 27.003 – guia de implementació del SGSI
  • 27.005 – gestió de riscos

Hi ha també altres estàndards de gestió, com el COBIT (Control OBjectives for Information and related Technologies).

Responsabilitats i Riscos 

Per manca de consciència, a moltes empreses (i també a nivell particular, d’usuari) no es veu la problemàtica de la seguretat com un problema que ens afecti directament. “Es hackeja als altres, jo no tinc res que ningú vulgui a venir a buscar” i coses per l’estil. Val temps o diners, cal gestionar-ho i no es troba necessari…Anem bé, cirerer!

Crec que directius i usuaris estem allunyats de les problemàtiques reals de la Seguretat de la Informació perquè encara no hem entès que formem tots part d’aquesta nova realitat virtual, que ens permet projectar la nostra subjectivitat sòlida en una xarxa líquida, Internet.

Als sistemes jeràrquics sempre hi ha un responsable funcional de les polítiques, procediments i normatives (CISO, Chief Information Security Officer o ISSO, Information Systems Security Officer) però també hi ha una màxima autoritat que es materialitza en un comité de seguretat. Això és així en empreses grans perquè es necessita diferents persones de diferents àrees per tal de tenir en compte tots els aspectes possibles.

Respecte a la gestió del risc i la classificació de la informació, hem de prendre moltes mesures: accions preventives, correctives, d’acceptació, de transferència (entenc que passant “el marrón”, hehe). El pitjor, però, és ignorar el risc…Primer s’han d’analitzar i fer una previsió i després prendre les mesures més adeqüades. El risc no es pot eliminar però es pot reduir al màxim.

Hi ha amenaces i vulnerabilitats, i una vulnerabilitat pot ser una amenaça. Una porta que no es pot tancar bé i un exploit (programa maliciós) són el mateix però un és sòlid, propi del món físic i l’altre líquid, del món digital. Hem de protegir els actius d’informació i per fer-ho hem de:

  • Identificar els actius
  • Valuació dels actius (monetària o no)
  • Identificació amenaces i vulnerabilitats
  • Estimació de la probabilitat d’incidències
  • Quantificació de l’impacte de l’amenaça (reputació)
  • Càlcul del risc qualitatiu i quantitatiu (alt, mig i baix)
  • Anàlisi del cost-benefici

La classificació de la informació és un procés previ i molt important ja que permet categoritzar la informació. A més, ajuda a identificar els nivells de confidencialitat, integritat i disponibilitat. Els criteris de valor s’estableixen en funció de qui ha creat aquella informació, la seva vida útil o la seva vinculació amb altres persones. Els nivells del valor d’aquests actius poden ser públics, privats o confidencials.

Trobarem propietaris de la informació i custodis de la informació, un administrador del sistema, per exemple. Però també tenim a l’usuari, que és qui fa servir la informació, i l’auditor, que vetlla perquè es compleixin normatives, etc.

Altres gestions 

Gestió del canvi: un canvi pot provocar un problema en la seguretat, així que, davant qualsevol canvi, s’ha de tenir en compte l’impacte d’aquest a través de la seva avaluació i implementació.

Gestió dels logs: els registres seqüencials dels esdeveniments. S’ha de pensar la lògica dels logs i establir la informació que es requereix, controlant el cicle de la informació, des de que es genera fins que desapareix.

Gestió de les activitats: és important que més d’una persona s’encarregui d’aquest tema. Es parla de segregació de funcions, és a dir, que la totalitat del procediment s’ha de repartir entre persones amb diferents funcions per tal que ningú tingui el monopoli de les activitats. La validació no se la pot fer un a un mateix…“Sóc de l’àrea de compres, tinc accés, em dóno un crèdit”, per exemple.

La rotació de les tasques també facilita el coneixement de tots els processos i millora la gestió de les activitats. M’ha sobtat això de les vacances obligatòries: mentre un no hi és es veu que es poden fer auditories sobre la feina feta. La mesura permet detectar tan coses bones com dolentes: frau o esforç personal. Les dades simplement mostren el que les persones fem…La meva pregunta és si no es poden fer auditories encara que estiguis treballant…Són dades, no? En fi, seguim.

Gestió d’incidents: alguna cosa dolenta sempre acaba passant, així és la vida…Sabent-ho, doncs, podem prevenir mals majors…Primer es fa una previsió, però tot i així, davant de cada incidència, s’haurà, com sempre, d’avaluar i minimitzar, erradicar si és possible. És més important ensinistrar la capacitat de resacció que solucionar un problema concret perquè la cosa tracta de preparar-se suficient com per poder-los resoldre a mesura que vagin sorgint.

El CSIRT (Computer Security Incident Response Team), com el seu nom molt bé indica,  és l’equip que dóna resposta als incidents tècnics relacionats amb la seguretat. Es veu que sol haver CSIRTs nacionals i se’ns exposen: US-CERT, ArCERT, AusCERT…(Estats Units, Argentina i Austràlia, respectivamenet). Les “E” són d’Emergency…Computer Emergency Response Team.

Per últim, destacar el paper humà en quant a la consciència sobre la seguretat: què fer amb les dades i com. És primordial que les persones, que encara controlem els sistemes, tinguem coneixement i pautes de bones pràctiques a l’hora d’interactuar amb la gestió de la Seguretat de la Informació.

Conclusions 

  • La seguretat ha de ser gestionada
  • La gestió de la seguretat és un procés continu i inclou subprocessos
  • Classificar la informació permet gestionar millor la seguretat
  • Els riscos poden ser analitzats i calculats per tal de ser ben gestionats
  • És necessari definir un procés de gestió d’incidents en la seguretat

En breu, el tercer mòdul sobre en Seguretat en xarxes.

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *