Tomando en serio la seguridad de la Información



Por: Jermy Ward. Mayo 2002. (m.lara@delitosinformaticos.com). Marzo 2002.

Jeremy Ward es Director de Desarrollo de Servicios de Symantec Security Service

Una de las razones principales por las que los hackers consiguen penetrar
en los sistemas corporativos es la falta de conocimientos acerca de las vulnerabilidades
existentes.



• Introducción



La seguridad perfecta no existe. En nuestro mundo incierto, cualquier cosa puede
suceder, así como lo demuestran los hechos del 11 de septiembre. Entre
otras cosas, estos hechos nos crearon la necesidad de garantizar que manejemos
los riesgos en nuestra empresa. La respuesta del gobierno estadounidense a la
tragedia del 11 de septiembre consistió en tomar medidas de seguridad
inmediatas que se reflejaron en una nueva legislación y reglamentación.
El primer resultado fue el proyecto de ley antiterrorista Patriot de Octubre
de 2001.



El proyecto de ley incide en la seguridad de la información puesto que
actualiza leyes contra la interceptación de líneas telefónicas
a fin de no quedarse atrás de las tecnologías cambiantes como
los teléfonos celulares, la mensajería telefónica y el
correo electrónico.

El proyecto de ley Patriot y otros avances similares indican que el gobierno
ha reconocido la necesidad de mayor reglamentación para las tecnologías
de la información y están comenzando a hacer algo al respecto.
Se pueden vislumbrar esta nueva tendencia en el discurso pronunciado por Richard
Clarke, Director de la Seguridad en el Ciberespacio del Presidente Bush en febrero
de 2002. Clarke dijo que los distribuidores de software deberían hacer
mayores esfuerzos por brindarle más seguridad a su tecnología
para proteger a las empresas de un desplome total de la infraestructura. Clarke
agregó: "si el sector de TI continúa eludiendo la responsabilidad,
pronto nos veremos afectados".

Clarke concluyó que es hora de re-evaluar cuánta conectividad
necesitan las personas en su vida y anotó que "Debemos replantear
la norma tácita de que todo en Internet debe estar conectado automáticamente
a todas partes del planeta".

Hay indicios de que muchas personas del sector de TI han recibido el mensaje.
Microsoft, entre otros, proclama que la seguridad es un asunto que tiene prioridad
en su agenda. La implicación es clara: si las empresas por cuenta propia
no empiezan a cumplir las prácticas exitosas de seguridad de la información,
el gobierno podrá intervenir para asegurar su cumplimiento.

• Historia de la reglamentación para la seguridad de la información



Anteriores intentos llevados a cabo por los organismos del gobierno a fin de
reglamentar la seguridad de la información no han tenido resultados muy
eficientes. Podríamos recordar la controversia del 'key escrow' que se
desató en la década de los 90.



Los organismos de seguridad del gobierno norteamericano, viendo la tendencia
a un mayor uso del cifrado como una amenaza para su capacidad de interceptación,
intentaron presentar una legislación que obligara al uso del 'clipper
chip'. El 'clipper chip' contenía un algoritmo que les hubiera permitido
a los organismos gubernamentales leer todas las comunicaciones que se cifraron
mediante su uso. En muchos otros países se intentó presentar una
legislación similar.

Como resultado de la presión por parte del sector de TI, ninguno de
estas propuestas tuvieron éxito. En años recientes hemos visto
más legislación en el área de protección a la privacidad.
Algunos ejemplos recientes son las normas HIPAA standards para los registros
de salud y la Ley Gramm-Leach-Bliley para hacer cumplir las normas de privacidad
en las instituciones financieras.



Para muchas personas del sector, la legislación es inoportuna. Sin embargo,
cumple con el objetivo útil de 'allanar el terreno de juego' entre aquellos
que están preparados para aunar esfuerzos en las prácticas exitosas
y aquellos que intentar reducir gastos. Como buenos ciudadanos corporativos,
todos debemos tener ahora la responsabilidad de protegernos.

• Cuatro principios del ciclo vital de la seguridad de la información



Para convencer a los gobiernos de que un enfoque de línea dura no es
necesario, todas las personas que trabajan con sistemas de información,
deben participar activamente en el desarrollo y uso de las prácticas
exitosas de la seguridad. Esto significa en realidad entender y adoptar los
cuatro principios básicos del ciclo de vida de seguridad de la información,
los cuales se pueden resumir así:

- Evaluación de riesgos

Evaluar los riesgos de seguridad de la información y determinar niveles
de riesgos aceptables.



- Diseño e implementación de la seguridad

Incorporar las políticas, normas, procedimientos y la tecnología
de la seguridad como elementos esenciales en el diseño e implementación
de todos los sistemas y redes de información.



- Manejo de la seguridad

Adoptar un enfoque completo para el manejo de la seguridad en todo el ciclo
de vida de los sistemas y redes de información.



- Re-evaluación

Estudiar y re-evaluar la seguridad de los sistemas y redes de información
y si es pertinente, modificar las políticas, normas, procedimientos y
tecnología.



• Qué deben hacer las organizaciones



Será necesario realizar una planificación adecuada en lugar de
'soluciones rápidas'. Los cuatro principios anteriores apuntan la dirección
que debe tomar el plan si se quiere que la protección sea rentable. Se
le recomienda a la organización que esté considerando implementar
estos principios que tenga en cuenta utilizar un sistema de administración
de la seguridad de la información.



La norma internacional ISO 17799 describe este sistema y es el tema del artículo
titulado "ISO 17799: La nueva norma técnica global de seguridad".
La norma está lista para ser utilizada. Ahora todos deberían estar
pensando en implementarla.



• Compruebe la protección de su empresa



Hay una pieza del rompecabezas de la seguridad de la información que
falta en los principios mencionados anteriormente. Se trata de la habilidad
para comprobar que se han adoptado medidas adecuadas y existosas. Es verdad
que cuando la seguridad de la información falla, solo es visible para
aquellos que no están directamente involucrados (como la administración
superior o el gobierno).

Entonces ¿cómo comprobar la seguridad? La frase "Nuestro
sistema no ha sido atacado por los hackers durante mucho tiempo" puede
significar lo siguiente:

- Usted tiene un excelente y adecuado sistema de administración de la
seguridad de la información.



- Nadie ha intentado atacar el sistema.



- Solo ha sido atacado por personas incompetentes que nunca tuvieron éxito.




- Ha sido atacado pero usted no se ha dado cuenta.



La única forma de mantenerse alejado de las brechas en el sistema de
seguridad es instalando un sistema adecuado y efectivo de auditoría y
control. Estos sistemas se interpretan y utilizan normalmente en el contexto
de los controles financieros y de la calidad, pero pocas organización
los utilizan en el contexto de la seguridad de la información. Es importante
anotar que todo sistema debe contar con los procesos apropiados y la tecnología
correcta si se quiere que sea rentable y no cause interrupción en el
trabajo diario de la compañía. Además, todos deben considerar
el uso de auditores independientes que ayuden con el proceso.

_________________________

Acerca del autor

Jeremy Ward es Director de Desarrollo de Servicios de Symantec Security Services.
Está encargado del desarrollo de servicios de consultoría para
Symantec Security Services, especialmente en lo relacionado con las normas internacionales
de seguridad de la información.

Jeremy es representante de la Confederación del Sector Británico
(CBI) ante el grupo de expertos en seguridad de la información del Consejo
Consultor de Industria y Comercio del OCDE (Organización de Cooperación
y Desarrollo Económico) . También forma parte del Foro de Industria
y Gobierno sobre el Cifrado y el Cumplimiento de la Ley y del grupo de trabajo
de seguridad de la información del CBI. Es gerente competente del proyecto
TI y auditor principal certificado de la norma BS 7799.