Durante mi trayectoria laboral en el campo de las auditorías de seguridad de la información, he visto todo tipo de situaciones, desde no entender qué significa la seguridad de la información como concepto hasta hacer un uso indiscriminado de las últimas tecnologías y herramientas de seguridad de la información.
Como auditor de diferentes normas de certificación, podría compartir múltiples anécdotas e historias inusuales, e incluso absurdas, que me han pasado durante estos últimos 10 años, pero que, por las razones obvias, no puedo desvelar. Sin embargo, lo que sí puedo compartir es mi opinión sobre las razones por las que se producen aquellos errores más comunes a la hora de implementar un sistema de gestión de seguridad de la información (SGSI). En este artículo, intentaré utilizar el menor número posible de tecnicismos y advierto al lector de que cualquier coincidencia con situaciones ocurridas en empresas reales es pura casualidad.
1. Error: “Si funciona – no lo toques!”
Muy a menudo, una tecnología o herramienta de protección ha estado en uso en un sistema corporativo durante años sin ningún cambio o intervención por parte del personal técnico. No se instalan las actualizaciones o los parches, no se comprueban las vulnerabilidades o la configuración «histórica» que permite el acceso anónimo desde una red externa, etc.
“Va bien, ¿Por qué tengo que tocarlo?”
Cualquier hardware o software debe ser verificado periódicamente para ver su correcto funcionamiento y actualizaciones aplicables. En un SGSI la regla de “si funciona – no lo toques” no funciona. Un sistema de protección debe ser analizado y monitorizado a diario.
SGSI es verificar.
2. Error: “Mi ordenador es lo más importante”
Incluso en las grandes empresas, las actividades de seguridad de la información suelen realizarse únicamente en el marco de los procesos informáticos, sin tener en cuenta los demás componentes: la protección jurídica, organizativa, humana, etc.
“Si mi ordenador está protegido – ¡el resto no importa!”
La seguridad informática (todo tipo de soluciones digitales actuales) es estupenda y necesaria, pero cuando no hay un marco, unos procesos establecidos o unos planes claros de gestión y desarrollo del #SGSI, todas estas actividades no producen los resultados deseados. En algunos casos, incluso puede ser perjudicial.
SGSI es diseñar.
3. Error: “¿Qué hago después de la implementación?”
Hay muchos ejemplos de estos errores en la vida real: un cliente implementa un sofisticado software de prevención de pérdida de datos (DLP) o un sistema de gestión de eventos (SIEM), invierte miles de euros y espera un milagro. Pero los milagros no existen.
“Ya lo tengo ¿Y ahora qué?”
Este tipo de sistemas, al igual que cualquier otra herramienta de seguridad informática, requiere de un mantenimiento constante: actualización, parcheo, seguimiento, automatización, etc. Si no se establecen todos esos “procesos secundarios”, los costosos elementos de seguridad que se implementen no servirán de nada.
SGSI es actualizar.
4. Error: “La obsesión mata”
Algunos expertos en protección de datos (y de hecho la mayoría de personas) a menudo tienden a exagerar la magnitud del problema y tratan de proteger todo de todo. Eso es un error.
“¡Otra vez la VPN!”
Un exceso de protecciones innecesarias es tan malo como la falta de ellas. Al final conseguimos que los usuarios, obligados a adaptarse a un entorno incómodo, pierdan tiempo, dinero y salud. En el mejor de los casos, el resultado será la rotación de personal y, en el peor, el sabotaje deliberado del sistema de seguridad por un empleado o exempleado. Todo tiene que estar alineado con el contexto de la organización.
SGSI es alinear.
5. Error: “1, 2, 3, priorización”
Cuando tenemos varios frentes abiertos en la gestión de la seguridad de la información a veces es muy difícil priorizar.
“¿Qué es lo más crítico? ¿Por dónde empiezo?”
En este caso hablamos de orientar al propietario del sistema y/o al especialista en TI hacia ciertos nodos del sistema que afectan más a otros activos. Es necesario llevar a cabo un análisis de riesgo total/parcial del proceso/negocio.
Esto ayudará a priorizar de forma más coherente e implementar una correcta planificación de las acciones de protección en todos los segmentos del sistema de información: equipos, canales de transmisión de información, procesos y personal.
SGSI es priorizar.
6. Error: “Todo va bien”
Cuando una empresa lleva más de un año en el mercado, las actividades de protección de datos se han llevado a cabo durante el mismo tiempo y a menudo por las mismas personas. En este escenario, no se producen incidentes críticos, los jefes están contentos y la gente se acostumbra al modo de trabajo.
“¡Todo va bien!”
Si en una situación así nos limitamos a seguir la corriente y no realizamos comprobaciones periódicas del sistema de seguridad, corremos el riesgo de que cuando surjan problemas reales no estemos preparados para hacerles frente. La solución es sencilla: debemos ejecutar auditorías externas o internas de verificación de toda SGSI o únicamente de algunos procesos. Esto, sin duda, ayudará a ver la situación desde fuera, detectar las brechas o errores y, como resultado final, mejorar el sistema de gestión de seguridad de la información.
SGSI es auditar.
7. Error: “Tapando agujeros”
Si las actividades de SGSI de una empresa se consideran operativas, sin la estrategia y las tácticas adecuadas, toda la seguridad de la información se reducirá a que los usuarios trabajen con instrucciones escritas de hace diez años. Tratarán los mismos problemas, eventos y errores usando las mismas herramientas. En estos casos, las causas de los incidentes de seguridad pueden ser ignoradas (concepto “¡No lo veo, no existe!”) o malinterpretadas (“¡Algo pasa con mi ordenador, pero no sé qué es!”).
Al final, con este enfoque la empresa acabará cometiendo los mismos errores. Hay que recordar que una adecuada planificación y un buen análisis de los problemas permite una resolución precoz de los mismos.
SGSI es analizar.
8. Error: “Zona de confort”
Las buenas prácticas o el hábito de utilizar sólo ciertos productos “por defecto” impide a una organización siquiera considerar lo que ofrecen otras empresas o proveedores. Por ejemplo, las soluciones open source (software de código abierto) son herramientas que no suelen considerarse como posibles soluciones.
“¡Mi herramienta actual es la más segura!”
Las normas y la fijación por determinados productos no siempre son perjudiciales. En ocasiones, podemos encontrar una solución en un momento dado y para un sistema en concreto pero que va en contra de las normas y los hábitos establecidos. En esos casos, merece la pena no descartar esa opción de inmediato.
Hay que salir de la zona de confort y probar nuevas tecnologías, sistemas o herramientas. Eso sí, siempre analizando los riesgos asociados (el famoso Risk Analysis).
SGSI es arriesgarse.
9. Error: “Factor humano”
Por desgracia, uno de los errores más típicos y triviales es el conocido factor humano. Los sistemas se construyen por unos expertos en materia que también son personas. Durante el proceso de creación de una SGSI aparecen nuevas reglas, procedimientos, buenas prácticas, etc.
“¡Nadie me ha dicho esto!”
Sin embargo, no toda esta información se trasmite adecuadamente a los empleados (usuarios finales). Es esencial formar e informar a todos los empleados de las reglas básicas de seguridad de la información.
SGSI es enseñar.
10. Error: “Factor Top Management”
Punto 5.1 de la ISO27001: “La alta dirección debe demostrar liderazgo y compromiso con respecto al Sistema de Gestión de Seguridad de la Información”. Para mí, este punto es el más crítico. Si la dirección no se preocupa por la seguridad de la información y, lo más importante, si no cree en ella, jamás podrá construir un sistema de seguridad que funcione.
“¿Para qué es esto? Esto nunca ha pasado.”
Es un hecho triste, pero cierto: en algunas organizaciones es necesario aplicar más energía y tiempo internamente para implementar los cambios en SGSI.
SGSI es liderar.
Ciberseguridad: una asignatura pendiente para las empresas
Me gustaría hacer hincapié en que todos los problemas descritos en este artículo se dan tanto en pequeñas empresas como en grandes corporaciones, es decir, donde no hay ni siquiera un especialista cualificado, o donde existen departamentos de seguridad de la información específicos.
De hecho, todos los problemas y errores pueden reducirse a tan sólo uno: la falta de un enfoque orientado a un análisis competente y a una evaluación de riesgos en todos los niveles y procesos de una empresa.
Recordad que un SGSI no es un simple “nuevo” antivirus, sino un conjunto de procesos operativos y herramientas tecnológicas.
Empresas especializadas en Seguridad de la Información y con presencia internacional como DNV pueden ayudarte a hacer frentes a los retos que supone la optimización del sistema de gestión de seguridad de la información de tu empresa.
Alexey Komlev, ICT Global Technical Hub Manager en DNV