Gestión del riesgo, alineamiento entre la seguridad y los objetivos de negocio

Como es lógico, esto conlleva una dependencia de toda la sociedad actual del buen funcionamiento de los sistemas de información, si éstos se paran, la sociedad se para. El hecho de que diariamente surjan cerca de 20 nuevas vulnerabilidades (datos de 2006 del CERT – www.cert.org -) hace que cada día tengamos 20 nuevas oportunidades de que nuestro modelo de explotación se vea comprometido, 140 a la semana, 4200 al mes. Son demasiadas. Seguridad y negocio frecuentemente tienen intereses contrapuestos. Es imprescindible plantear un modelo que permita analizar y gestionar este riesgo de una forma ágil y razonable, donde el negocio y la seguridad convivan en equilibrio.

SISTEMAS Y NEGOCIO

Hoy en día la gran mayoría de las organizaciones dependen de su sistema informático, si éste se detiene, se detiene el negocio. Es vital para el día a día de las empresas y de la propia sociedad garantizar con referencia a su información y sistemas informáticos que son razonablemente seguros.

Las leyes que afectan a los administradores y alta dirección de las sociedades exigen que se adopten las medidas necesarias para custodiar los activos de la compañía, tanto tangibles como intangibles.

El que una empresa no pueda continuar su actividad normal por un incidente, para el cual se debían haber tomado medidas preventivas evidentes, es un problema muy serio que la ley contempla, no sólo porque se hagan mal las cosas, sino también por no hacerlas.

Desde esta perspectiva la seguridad de los sistemas de la información es una necesidad ineludible para el negocio, no un gasto.

También hay que considerar que la seguridad basada en medidas tecnológicas se ha demostrado insuficiente, no hay más que comprobar el crecimiento sostenido de los incidentes y de las vulnerabilidades que afectan a los sistemas de información. Sin embargo, las organizaciones siguen sufriendo el síndrome de la Panacea, en virtud del cual buscan un producto barato, sencillo de instalar, que no tenga mantenimiento, que resuelva los problemas de seguridad y que nadie en la empresa tenga que cambiar sus hábitos de trabajo para que el problema se solvente, y todo eso siempre después de que se haya producido un incidente (raramente se hace como medida preventiva).

La cuestión es que esta dependencia que el negocio tiene de los sistemas de información se puede ver afectada por cualquiera de las casi 20 nuevas vulnerabilidades que surgen diariamente. Esto quiere decir que podemos irnos a la cama con unos sistemas razonablemente seguros y despertarnos con un sistema lamentablemente inseguro porque en esa noche alguien ha descubierto una nueva vulnerabilidad que afecta a uno de nuestros sistemas críticos y lo deja a merced del viento.

Hay que tener claro que esto no es culpa de nadie (bueno, esto daría para escribir mucho mas que un articulo, pero por el momento dejémoslo así). Simplemente la empresa tiene implantado el sistema que usan todas las empresas de su sector, configurando perfectamente por su departamento de sistemas, pero alguien encuentra un agujero en la de cualquiera de los sistemas intermedios de paso (routers, switches, firewalls, servidores, bases de datos, aplicaciones, puestos de trabajo, etc.).

Cuando esto ocurre la seguridad se rompe, y se rompe con frecuencia, por completo y de forma impredecible. Se pasa del aburrimiento al pánico en cuestión de minutos y se pueden tardar unas cuantas horas hasta que se determina el alcance de la nueva amenaza. Puede tratarse desde algo trivial, hasta algo que pone en peligro la continuidad del negocio.

La seguridad es por tanto un requisito de negocio.

LA DIMENSIÓN FINANCIERA DE LA SEGURIDAD

Los profesionales que nos dedicamos a la seguridad estamos acostumbrados a que cuando en una organización se habla de seguridad, inmediatamente se piensa en el área de informática, sistemas o su equivalente dentro de la empresa, en lugar de a la dirección general o como mínimo financiera.

Es cierto que la seguridad tiene una componente técnica importante, sin la cual no es posible conseguir unos niveles de seguridad razonables, pero probablemente los dos aspectos más importantes de la seguridad sean sus aspectos legales y financieros.

La fuente más importante de requerimientos de seguridad para cualquier organización es la propia legislación y los compromisos contractuales que la organización haya adquirido con sus clientes.

Legal

Técnica

Financiera

Si de acuerdo con la ley una organización debe contar con tales o cuales medidas de seguridad implantadas, eso no es discutible o interpretable, es así, y el departamento de informática no suele ser el que mejor entienda las consecuencias que, por ejemplo, una inspección de la Agencia de Protección de Datos puede tener para la organización. Lo mismo ocurre si se ofrece un servicio a un cliente con una disponibilidad de 99.75%, hay que adoptar las medidas de seguridad necesarias para poder ofrecerlo.

Por otra parte el departamento que más tendría que decir a la hora de abordar o no una serie de medidas es el financiero. Generalmente cuando se le plantea a un departamento financiero una inversión en seguridad, automáticamente se traduce en “gasto”, sin un retorno claro para la compañía.

El retorno de la inversión de la seguridad lógica es muy elevado. Principalmente, porque entre otros tiene como objetivo reducir cuestiones tan habituales y comunes como las horas de inactividad a causa de las caídas de los sistemas, las horas dedicadas a fines personales (leer y responder correos personales, buscar información en la Web, etc.), las pérdidas de documentación, actualizaciones y reinstalaciones de sistemas, pruebas previas y posteriores a los cambios, los errores de los empleados, las sanciones administrativas, etc.

De hecho, según un estudio realizado por IDC, las empresas consideran que el retorno de la inversión en seguridad es bastante más alto de lo previsto inicialmente.

Se trata de paliar unas pérdidas económicas y de imagen de las que no se tiene constancia, simplemente no se sabe cuanto dinero cuestan al año la multitud de incidentes que se sufren (virus, cortes del suministro eléctrico, ordenadores averiados, uso particular de Internet por parte de los empleados, lagunas en el cumplimiento legal, etc.), y en algunos casos, ni siquiera existen los mecanismos para saber lo que está ocurriendo.

La seguridad desde esta perspectiva debe considerarse una inversión, no un gasto.

CLASIFICACION DE SISTEMAS

Un tema sobre el que a menudo se pierde la perspectiva, es que a la empresa lo que le genera ingresos son sus procesos de negocio, no sus sistemas informáticos.

Los sistemas informáticos únicamente tienen importancia en tanto en cuanto que estos procesos de negocio se sustentan en ellos.

Por lo tanto, en entornos con un número importante de sistemas informáticos se hace imprescindible el establecer unos criterios claros (si es posible incluso objetivos) para determinar cómo clasificar un sistema desde la perspectiva de su relevancia para el negocio.

Pero enlazar los procesos de negocio con los sistemas de información no es tan sencillo como a priori puede parecer. Generalmente, son temas que se gestionan en distintos niveles de la organización. Aunque parezca más o menos evidente determinar que routers, switches, servidores, bases de datos, aplicativos, etc. son necesarios para el funcionamiento de cada uno de los procesos de negocio, no es habitual que esto se haga de una forma sistemática.

Cuando se dispone de esta información, sí es posible determinar la criticidad de cada uno de los elementos involucrados en los procesos desde una perspectiva de su contribución a las operaciones de la empresa.

Esta clasificación es el primer paso para poder resolver las necesidades de seguridad de una forma ordenada desde la visión del negocio.

LA IMPORTANCIA DE LA INFORMACIÓN

Las áreas de informática disponen de muchos datos referentes a la explotación de los sistemas de información.

Generalmente, se dispone de logs y registros de prácticamente todos los elementos del sistema, pero se trata de megas y megas de ficheros, que en caso de que sea necesario se pueden consultar, pero es francamente difícil hacer un análisis diario de su evolución.

No aportan información que se pueda consultar cada mañana para apoyar en la toma de decisiones.

Utilizar esta información para determinar los niveles de riesgo que presentan cada uno de los elementos del sistema no es viable en muchos casos, sobre todo, teniendo en cuenta que el mapa de riesgos varía diariamente a causa de las nuevas 20 vulnerabilidades diarias.

NIVELES DE RIESGO

La técnica que se utiliza para determinar esta situación es la de análisis de vulnerabilidades. Se trata de aplicaciones que chequean los sistemas de información buscando que vulnerabilidades están activas en cada uno de ellos y generando una serie de informes que permitan al personal de las áreas de sistemas corregirlas para reducir la probabilidad de que los sistemas sean atacados con éxito.

La tendencia que existe en la mayoría de las organizaciones es la de confiar en las herramientas automáticas de parcheo de los sistemas operativos y realizar un análisis de vulnerabilidades de vez en cuando para verificar que los equipos no tienen vulnerabilidades importantes abiertas.

Hay que tener en cuenta varias cosas:

  1. Las vulnerabilidades no solo afectan a los sistemas operativos, también al resto de aplicaciones comerciales involucradas en los procesos de negocio.
  2. Muchas vulnerabilidades aparecen como consecuencia de una combinación de factores que normalmente no se resuelven solo con parchear el sistema operativo.
  3. En ocasiones las herramientas automáticas de parcheo no logran parchear la totalidad del parque de maquinas.
  4. Si se hace un análisis de vulnerabilidades, por ejemplo cada 6 meses, tenemos 6x30x180=21.600 nuevas vulnerabilidades que podrían estar presentes en los sistemas. Demasiadas.
  5. Un análisis de vulnerabilidades suele descubrir un número de vulnerabilidades muy alto y sólo aporta criterios de priorización en función de la gravedad de la vulnerabilidad, sin tener en cuenta la criticidad para el negocio de los sistemas afectados.

El enfoque más razonable a la hora de abordar un análisis de las vulnerabilidades de los sistemas de información, es el de conocer el nivel de riesgo que presentan y eso es la combinación de tres puntos:

  1. Valor o criticidad del activo para el negocio.
  2. Probabilidad de que un ataque tenga éxito.
  3. Impacto de ese ataque.

Para lograr esta información se necesita disponer de herramientas que permitan clasificar los activos en función de su importancia para los procesos de negocio de la empresa y que tengan la versatilidad suficiente para poder hacer chequeos frecuentes (semanal o incluso diario) sin impactar en el funcionamiento del sistema de información.

Una vez que disponga de toda esta información, la herramienta debe dar una información del nivel de riesgo del sistema de información.

En términos generales, se puede afirmar que conocer las vulnerabilidades de los sistemas sólo consigue que nos pongamos nerviosos, mientras que conocer el riesgo nos permite priorizar y tomar decisiones.

GESTION DEL RIESGO

No es ningún secreto que los recursos de las empresas no son infinitos. Normalmente no se dispone ni de los recursos ni del tiempo necesario para hacerlo todo.

Los departamentos de informática tienen que lidiar diariamente con multitud de temas (instalación, migración, configuración, sustitución, planificación, etc.) que hacen realmente complicado disponer de tiempo para tener la plataforma perfectamente parcheada y actualizada.

En general, no hay tiempo para estar comprobando cada día a qué nivel de parches está cada uno de los sistemas, ni tampoco para aplicar todos los parches que surgen.

Disponer de una herramienta automatizada que nos permita analizar y gestionar el riesgo en función del nivel de vulnerabilidad de los sistemas y su criticidad para el negocio, sí nos va a permitir saber que es mas importante parchear una vulnerabilidad de nivel medio o incluso bajo en un sistema critico, que una de nivel alto en uno que no lo es.

Permite definir indicadores, ventanas de tiempo para el parcheo, generar tickets que se integren en el service desk, etc. En resumen, integrar el riesgo de sistemas en el flujo de procesos de la organización siguiendo criterios puramente de negocio.

ALGUNAS SOLUCIONES

En el mercado se pueden encontrar herramientas que facilitan la gestión de estos elementos, entre ellas destacaría las siguientes:

CONCLUSIONES

  1. Los procesos de negocio son los que le dan dinero a la organización, los sistemas de información solamente soportan estos procesos de negocio (que no es poco).
  2. Los procesos de negocio se enfrentan a cerca de 20 nuevas vulnerabilidades diariamente.
  3. La empresa necesita información actualizada que le permita priorizar y tomar decisiones.
  4. Para ello, se necesita conocer el riesgo y disponer de unos criterios para gestionarlo.
  5. Los recursos no son infinitos, la empresa tiene que acometer primero lo urgente, y después lo importante.

RESUMEN

El desarrollo de la Sociedad de la Información ha traído consigo una nueva forma más sencilla de interactuar con el entorno. Un sistema de información en condiciones óptimas permite a la organización un volumen de operaciones y un grado de fiabilidad, como hasta ahora jamás se había conocido, es más, hace sólo 50 años no habría sido ni siquiera imaginable.