50 principios y recomendaciones para tener éxito en implementar la seguridad de la información

Pongámonos en situación

Un principio es una idea fundamental [y/o ley] sobre la que se basa una teoría o a partir de la cual se puede formular un razonamiento.

Consideremos entonces los principios morales, como reflejo de nuestro comportamiento social, como la cultura y/o religión; y los principios éticos, que reflejan el comportamiento “adecuado” de personas y el uso de sus conocimientos específicos (que devienen de la ciencia) en áreas profesionales relevantes para la sociedad, como en las profesiones. Leamos este artículo con este contexto como base.

En un artículo previo, 16 habilidades de seguridad crítica que necesitamos, sugerimos de forma básica cómo empezamos a hacer algo a nuestro favor con respecto a la seguridad. De hecho, todo esto implica gestionar la seguridad de la información,(confidencialidad, integridad, disponibilidad, y sus relaciones con la privacidad, identificación y autenticación, no repudio, auditoría y responsabilidad), siempre apoyados en procesos y procedimientos de seguridad documentados, comprobados, y mantenidos.

Empecemos por lo básico –ya que, cuanto más cambian las cosas, más permanecen igual

  1. Implemente mecanismos para evitar el robo de nuestros activos físicos. Cadenas, candados, áreas [cerradas] restringidas y vigiladas, cámaras [infrarrojas], sensores de movimiento, sensores de consumo de energía [por encima o por debajo de umbrales pre establecidos como adecuados], entre otros, podrían ser útiles
  2. Así como un capitán conoce [perfectamente] su barco, así debemos conocer nuestra plataforma tecnológica. Consideremos responder preguntas importantes como qué necesito, dónde lo necesito, cuándo lo necesito, cómo lo necesito, cuánto necesito, cuánto costará, qué protejo, para qué protejo, a quién protejo, de qué protejo, durante cuánto tiempo protejo, quién debe proteger, quién debe asegurar que la protección sea efectiva, cuáles son los criterios y formas establecidas para verificar que la protección logra su cometido, cómo valido la continua necesidad de la protección, entre otros factores a considerar (proponga más, utilice su experiencia, su ingenio). Herramientas útiles podrían ser RACI, MoSCoW, 6W‑2H, SMART, KISS.
  3. Los sistemas operativos tienen fallas [no es raro –ni nuevo], o se actualizan [mejoran] –lo cual puede, potencialmente, ocasionar fallas. Parchar los sistemas operativos oportunamente es mandatorio, pero recordemos que los servicios actualmente en operación no deben verse alterados. Así, debemos considerar aspectos mínimos para la seguridad como: urgencia; exigencia; afectación; activo, vulnerabilidad; amenaza; riesgo; impacto; necesidad; ambiente de control; entre otros.
  4. Y con los sistemas operativos de las computadoras personales aparecieron los virus –que luego se extendieron a las computadoras de mayor nivel (llamados luego servidores) que están basados en tecnología similar. Luego se extendieron a otro tipo de dispositivos, con diferentes kernel.
  5. La protección luego comenzó a ampliarse a las herramientas, productos, o ‘servicios’ que utilizamos, como correo electrónico, sistemas de archivos, descargas desde Internet, entre otros.
  6. Además, la seguridad comenzó a combinarse [ampliando y complicando a la vez las cosas] con otras posibilidades de protección como firewall, anti‑phishing, anti‑keylogger, webcam, USB, entre otras.
  7. Respaldemos nuestros [los] datos, periódica y consistentemente. Esta actividad es un seguro (esperamos lo mejor), para cuando ocurra el evento que requiera los datos respaldados (preparándonos para lo peor).
  8. Reducimos el riesgo limitando el acceso (entregar los privilegios mínimos necesarios para realizar la tarea), acceso que debe estar vigente sólo durante el tiempo más breve necesario (luego del cual recuerde retirar los privilegios), y limitando los datos a los que se accede (reducir la superficie de ataque -compromiso), funciona de la mano con la prevención (evitando valores por defecto, ‘recomendaciones’ del fabricante o de empresas similares, implementando e implantando mecanismos para accesos, listas de control, autenticación, autorización, certificación, permisos, usuario y contraseña, MAC, DAC, RBAC, entre otros) y detección (análisis de logs, trazabilidad, herramientas apropiadas).
  9. Entrenamiento, capacitación, formación, educación, generar conciencia, fomentar una cultura positiva de seguridad. Nunca es suficiente, tampoco es una tarea que se realice sólo una vez. Se requiere constancia, perseverancia, continuidad, confirmación, conformidad, compromiso (la seguridad es tarea de todos), resultados, entre otros aspectos a considerar.
  10. Reduzcamos el riesgo de intrusos. Conocer quién se conecta a nuestra red desde el interior es bueno [usuarios autorizados], así como también desde el exterior (“¡bárbaros en la puerta!”).
  11. Permitimos entonces el acceso [utilizando mecanismos como firewall, VPN, IPS/IPS] sólo a aquellos [redes, usuarios] en quienes confiamos.
  12. Incrementemos la confiabilidad de los datos al validar su ingreso (restringir, rechazar y desinfectar los datos) a los sistemas de información (asegurar tipos, patrones y rangos válidos).

Ahora, incrementamos un poco nuestra preocupación por la seguridad

  1. Las medidas de seguridad apropiadas para una organización dependerán de sus circunstancias, sus objetivos institucionales, de entregar la calidad y valor que los interesados esperan, de proveer reportes de rendimiento con respecto a la seguridad conforme se ha establecido.
  2. Conviene entonces adoptar un enfoque basado en el riesgo para decidir qué nivel de seguridad se necesita: categorizar utilizando un sistema de información; seleccionar los controles de seguridad; implementar estos controles; valorar los controles; establecer las autorizaciones necesarias; monitorizar los resultados; y volver a empezar.
  3. Planifiquemos, establezcamos mecanismos, roles y responsabilidades, identifiquemos la tecnología necesaria, aseguremos que hagamos lo planeado.
  4. Monitoreo, control, supervisión, de las acciones planificadas (programadas y en ejecución, ya sean automatizadas o manuales) son temas evidentes que no pueden faltar –ni fallar.
  5. No olvidemos comprobar, asegurar los resultados, y de tomar la acción correctiva necesaria de forma oportuna (actualizar planes, procesos, procedimientos, formación, tecnología, proveedores, perfiles, otros).
  6. Implica identificar los activos de información (obviamente, esto incluye los datos), categorizarlos, tratarlos en consecuencia, analizar sus vulnerabilidades y amenazas, establecer los riesgos.
  7. No olvidemos resolver las brechas de seguridad de forma transparente –correctamente y rápido (reduciendo, por ejemplo, el tiempo entre detección y respuesta). La seguridad mediante el oscurantismo no es buena. De hecho, presuma mejor que sus secretos no son seguros.
  8. Ciertamente debemos saber quién se conecta a nuestra red, así como a qué redes nos conectamos. Necesitamos considerar [en el tiempo] la variada tecnología que podemos o debemos emplear –y gestionar. Es mandatorio gestionar la configuración interna y externa de nuestra plataforma tecnológica (la interrelación de los componentes mediante los que se entregan los servicios).
  9. Consideremos mecanismos adicionales para controlar [y asegurar] el acceso a nuestra plataforma tecnológica (HW, SW, software utilitario, motores de base de datos, sistemas de información), como separar los privilegios, jerarquizarlos, aislarlos.
  10. Diseñemos e implementos mecanismos de defensa en profundidad. Es una exigencia básica el cerrar las puertas traseras en nuestras redes -¿necesidad, cumplimiento normativo, regulatorio o legal, local o internacional? Tenemos entonces opciones como DLP, SIEM, UEM, entre otras. La tarea no tiene fin; así, debemos gestionar el cambio de forma continua.
  11. La cadena se rompe por el eslabón más débil. Es obvio que los ataques se dan contra los componentes que los hackers han identificado como menos seguros. Y no siempre es la tecnología el eslabón más débil; procesos, procedimientos, formación, proveedores, cultura organizacional, entre otros aspectos, son también de consideración.
  12. Podemos fallar, pero procuremos hacerlo de forma segura. Debemos planear para estos casos en que pueden/puedan ocurrir fallas. Esto implica gestionar la mejora continua. Lo que es evitable son los problemas de seguridad relacionados con la falla. Si la aplicación falla, aseguremos que los datos sensibles no queden sin protección –tras una falla, pasar a un modo seguro. El problema es que cuando muchos sistemas fallan de alguna manera, exhiben un comportamiento inseguro.
  13. No compartamos mecanismos de autenticación, a menos que confiemos en los usuarios de esos mecanismos. Aislamiento de objetos (cuyo acceso, individual y en cada momento, debe ser verificado por la autoridad necesaria para dicho acceso), independientemente de los rangos jerárquicos, y de los mecanismos utilizados para accederlos es una buena idea.
  14. Sin embargo, no es buena idea confiar demasiado. La confianza es transitiva –y eso puede ser un problema de seguridad. La confianza pasa por cinco niveles: valores compartidos, integridad, preocupación por otros, competencia (además carácter y comunicación, para un líder), confiabilidad/dependencia.

Siempre es bueno revisar otros aspectos –que usualmente pasamos por alto, damos por descontados o, peor, creemos que estamos en lo correcto

  1. La seguridad de la información se establece desde el diseño de los servicios que vamos a prestar y por ello es vital gestionar este diseño.
  2. Los principios de seguridad en la nube.
  3. Los principios de seguridad provistos por marcos de trabajo reconocidos internacionalmente.
  4. Los principios o fórmulas o recomendaciones de seguridad de los proveedores de equipos y/o de software.
  5. Establecer la necesidad de cifrar nuestros datos sensibles.
  6. Analizar el contenido de los archivos de registro (log) que estamos almacenando. Protejamos los log.
  7. Balancee la protección necesaria (¿sistemas críticos primero?) a implementar (revise sus recursos, analice sus capacidades) con su utilidad (no olvide considerar el valor percibido por los interesados de esta implementación).
  8. No olvide registrar los eventos –y proteger los registros, en cumplimiento legal. Ahora importan los exitosos tanto como los no exitosos. Con la potencia y capacidad actual de la tecnología, ya no son válidos argumentos del siglo pasado como lentitud, disco lleno, necesidad adicional de administración, costos no contemplados, capacitación insuficiente, entre otros.
  9. ¿Realizamos auditorías? Claro que son necesarias, en todos los niveles
  10. Debemos identificar la existencia de excepciones (para lo cual la empresa primero debe definir qué significa para ella una excepción) y, una vez identificadas, ¿cómo las manejamos?
  11. Ejecutemos pruebas frecuentes. Hay diferentes formas. Busquemos las formas y programemos. Recuerde, un hacker no es un criminal –al menos no siempre, a diferencia de un cracker –y no hablo de galleta, que comúnmente sí.
  12. No estamos solos así que, si tenemos problemas, busquemos ayuda.
  13. Adoptemos nuevas formas de trabajo, como LEAN, SCRUM, DEVOPS.
  14. Entendamos que el SHADOW IT, y otras formas que “atentan” nuestro statu quo, es una realidad y debemos aceptarlas y, más bien, buscar la manera de integrarlas. Posiblemente no nos hemos dado cuenta –o no queremos darnos cuenta- y estamos en etapa de transformación de una empresa bimodal0 a una bimodal 2.0.
  15. Promueva la privacidad de la información de identificación personal –ya sabemos, cuando está almacenada, en tránsito, o procesándose. La información de identificación personal no sensible puede ser fácilmente obtenida de registros públicos, guías telefónicas, directorios de empresas y sitios web; la sensible es, por ejemplo, información biométrica, información médica, información financiera con identificación personal, e identificadores únicos tales como números de pasaporte, DNI, AFP.

Claro, ¿y qué hay del [apropiado] gasto en seguridad? Seguro necesitamos presupuesto, pero, sugerimos realizar primero las siguientes acciones

  1. Empecemos por establecer las prioridades de seguridad –tenga en cuenta los objetivos de la empresa; concéntrese en las aplicaciones de misión crítica.
  2. Analicemos la cultura organizacional con respecto a la seguridad de la información –podría haber inconsistencias/incongruencias/contradicciones que conviene identificar con anticipación.
  3. No olvidemos que al elefante nos lo comemos por tajadas.
  4. ¿Podemos automatizar, hasta qué punto?
  5. Estandaricemos cuando y cuanto sea posible. Posiblemente requiramos simplificación y centralización.
  6. Establecemos un balance entre acciones reactivas y proactivas (fomentando un mayor número de proactivas al implementar acciones que reduzcan las reactivas).
  7. Haga pruebas de penetración internas –obtenga primero la autorización.
  8. Planifique escenarios para lo peor
  9. Establezca el costo para el negocio de cada hora sin servicio. Hable con la alta dirección en sus términos (dinero).

Conclusiones

El mantra de siempre: la seguridad de TI es un trabajo desafiante que requiere atención al detalle (establecer lo éticamente correcto), al mismo tiempo que exige un mayor nivel de conciencia (establecer lo moralmente correcto).

Busquemos, de ser posible, primero la mayor adopción – interiorización (sujeto, claro, a la cultura organizacional)- para que, tras la implementación subsiguiente (sujeta a menor resistencia), obtengamos los resultados comprometidos/esperados de la seguridad (que técnicamente hemos establecido como alcanzables).

¿Me comentas?