Tema 1 - Módulo 3: Diseño de Planes de Seguridad - PDF

Tema 1. Diseño de planes de securización 1.1. Introducción a la economía circular en la industria 4.0 ¿Qué es la economía circular? El modelo de economía lineal en el que se ha basado la producción tradicional se basa en tomar los recursos de la naturaleza, manufacturar y transformar dichas materias primas en productos que serán utilizados para diversos fines. Si embargo, con la llegada de la economía circular, este modelo comienza a desplazarse a un segundo plano. Se trata de un modelo que está siendo impulsado por la digitalización, las nuevas tecnologías de la información y el Big Data, que cuenta con el potencial para asimilar y apalancar nuevos modelos de negocios donde se consumen recursos renovables y se eliminan los desechos. Aquí es donde la industria 4.0 y la economía circular se encuentran y potencializan. La economía circular en la industria 4.0 es un sistema cuyo principal objetivo es el aprovechamiento de recursos y se basa en la reducción o simplificación de procesos. Para conseguir esto, las premisas fundamentales que se deben cumplir son las siguientes: Minimizar la producción al mínimo indispensable y apostar por la reutilización de los elementos que debido a sus características o propiedades no pueden volver al medioambiente. Programa Profesional en Ciberseguridad 5 Módulo 3. Temas Maximizar el uso de materiales biodegradables en la fabricación de los bienes de consumo o en los casos en que esto no sea posible, utilizar materiales que sean respetuosos con el medio ambiente, de esta manera se pretende conseguir un desacople sencillo de dichos materiales para poder reincorporarlos nuevamente al ciclo de producción. Como resulta evidente, sustituir el modelo tradicional no es una tarea sencilla y supone un reto que requiere un compromiso serio por parte de los principales actores de la industria, sin embargo, sus beneficios a mediano y largo plazo son innegables, no solo desde el punto de vista ambiental y el aprovechamiento inteligente de los recursos, también desde la perspectiva económica gracias a la reducción de costes generada. Los diez principios de la economía circular. Actualmente la economía circular goza de una buena aceptación y en gran parte esto se debe a sus principios, los cuales se listan a continuación. Todos los residuos se convierten en recursos. Todo el material biodegradable vuelve a la naturaleza y el no biodegradable se reutiliza. Reintroducir en el circuito económico aquellos productos que ya no corresponden a las necesidades iniciales de los consumidores. Reutilizar los residuos o partes de ellos que todavía pueden funcionar para elaborar nuevos productos, esto sin perder las funcionalidades y calidad que espera el usuario final. Reparar y encontrar una forma para reintroducir los productos rotos o defectuosos. Reciclar los materiales que se encuentran en los residuos. Automatizar todo lo posible la reutilización de aquellos residuos que no se pueden reciclar. Programa Profesional en Ciberseguridad 6 Módulo 3. Temas Eliminar la venta de productos para implantar un sistema de alquiler de bienes. De esta forma, cuando un producto cumple su función principal y ya no es útil para el usuario final, dichos productos vuelven a incorporarse al proceso de productivo. Se busca desacoplar cada pieza y reutilizar aquellas que aún pueden funcionar correctamente. Eliminar los combustibles fósiles para producir el producto, reutilizar y reciclar. Considerar los impactos medioambientales a lo largo del ciclo de vida de un producto y los integra desde su concepción. Establecer un método de organización industrial caracterizado por una gestión optimizada de los stocks y de los flujos de materiales, energía y servicios. La economía circular y la industria 4.0 Una vez entendidos los conceptos básicos de la economía circular, es el momento de analizar cómo se integran sus principios y filosofía con las nuevas tecnologías, las cuales han dado lugar a lo que hoy en día se conoce como industria 4.0. El auge del Big Data, junto con la potencia de los sistemas de cómputo modernos han permitido automatizar y mejorar la eficiencia de los procesos productivos, sin embargo, esto también trae consigo riesgos de seguridad que se deben gestionar adecuadamente. Para entender el impacto de las amenazas que afronta la industria 4.0, es necesario poner en manifiesto las tecnologías que se están implementando actualmente: El Internet de las cosas y el análisis de los datos utilizando técnicas basadas en Big Data: los productos que se conectan a Internet permiten a los fabricantes controlar y analizar su rendimiento a distancia, así como obtener información detallada de uso. Evidentemente, este enfoque facilita la implantación de modelos de negocios circulares. Por otro lado, gracias al uso de tecnologías basadas en Big Data, es mucho más fácil extraer información de utilidad partiendo de volúmenes de datos considerablemente grandes. La información que aportan estas tecnologías es fundamental para refinar los procesos productivos y mejorar la calidad de los productos finales. Programa Profesional en Ciberseguridad 7 Módulo 3. Temas Robótica: los avances en la robótica han permitido a los fabricantes crear máquinas que automatizan procesos críticos y su extensión y beneficios aportados son cada vez mayores. Precisamente, una de las características más importantes de la industria 4.0 es el incremento del rendimiento y la reducción de costes. Impresión 3D: una de las tecnologías más recientes que ha revolucionado los procesos de producción es la impresión 3D. Gracias al uso de estas máquinas es posible llevar a cabo procesos de producción bajo demanda de piezas concretas o productos completos, con un beneficio evidente de cara a la rentabilidad y al ahorro de recursos. Las industrias se enfrentan, por tanto, a un proceso de cambio que permitirá avanzar en competitividad e innovación, proporcionando un servicio más personalizado a los clientes y como consecuencia, una reducción de costes en la elaboración de productos. Este modelo, podría ser el motor para reducir los principales consumos energéticos del planeta. Figura 1. Industria tradicional vs. Industria 4.0. Fuente: López Ramón y Cajal y Escudero Ceballos, 2016. Programa Profesional en Ciberseguridad 8 Módulo 3. Temas Definiciones de la industria 4.0. Partiendo de los principios y el contexto de la economía circular, la industria 4.0 se define como la digitalización de los procesos o la cuarta revolución industrial. Recibe diferentes nombres, pero sin duda este es el más extendido, especialmente en territorio europeo. Dicho término es de origen alemán y todos ellos hacen referencia al gran movimiento de desarrollo que se está dando en el entorno industrial. No obstante, es importante tener en cuenta las palabras de Hans-Juerguen Grundig, IT Manager en General Motors España sobre este término: Sus palabras definen muy bien la complejidad de este concepto, puesto que se trata de una idea muy amplia en dónde entran en juego distintos aspectos y campos de aplicación. No obstante, la base del término consiste en la digitalización de los procesos industriales a partir del desarrollo tecnológico de la informática y la optimización de los recursos. Todo ello enfocado a la creación de una nueva metodología comercial. La Industria 4.0, por tanto, no sólo se trata de una modificación tecnológica de los procesos, sino también, de un nuevo modelo de negocio cuya base es la conectividad, gracias a la cual se consigue un seguimiento en tiempo real de los procesos tanto a nivel técnico cómo comercial y administrativo. Es un nuevo camino hacia la digitalización de los procesos y que llevará a un ecosistema digital interconectado, mediante las nuevas herramientas que ya se encuentran en uso en muchos sectores. Este ecosistema digital se ha empezado a ver con más claridad en sectores ligados al consumidor final, también conocidos como B2C (Business to Client) o simplemente comercio online. En la industria tradicional es común contar con sistemas de control para procesos y ejecución de algunas tareas, sin embargo, en el nuevo modelo lo que se pretende conseguir es que ese sistema de control sea capaz de analizar el estado de los procesos y aportar información sobre cómo mejorarlos, incluyendo las directrices necesarias para operar con una mayor eficiencia y productividad. Uno de Programa Profesional en Ciberseguridad 9 Módulo 3. Temas los objetivos de estos sistemas, también consiste en que sean capaces de cambiar dinámicamente su configuración para adaptarse al entorno, lo cual requiere capacidades de análisis en tiempo real y toma de decisiones. Las industrias deberán seguir esta tendencia si quieren ser competitivas a mediano y largo plazo, esto significa que será necesario un periodo de adaptación y definir las nuevas medidas a implementar para la migración o sustitución de procesos. 1.2. Principios de la industria 4.0 Objetivos de la industria 4.0 En la lección anterior se han mencionado las definiciones actuales de la industria 4.0, pero es necesario concretar algunos aspectos que se deben resaltar y comprender el impacto positivo que conlleva la nueva revolución industrial. En el escenario en el que se encuentra actualmente la industria, con una mano de obra más exigente debido a su formación, un precio cada vez más elevado de la energía y la adopción de compromisos sociales más severos, las organizaciones se encuentran ante una nueva oportunidad de ser más competitivos por medio de la evolución en el modelo y estructura de negocio que se tiene, aprovechando los beneficios que ofrece la Industria 4.0. Por otro lado, desde el punto de vista energético, el mundo de la industria es el responsable aproximadamente el 30 % del consumo mundial, por lo que resulta evidente la importancia de las estrategias para reducir dicho porcentaje. Por ello uno de los puntos más importantes de la cuarta revolución industrial es el concepto de eficiencia, muy concretamente en la eficiencia de los recursos energéticos utilizados en los procesos industriales. Cualquier cambio en el modelo de producción o en el modelo de negocio de una empresa, tiene que buscar una mayor productividad y eficiencia en sus procesos. En el caso de la Industria 4.0 se consigue a través de la conexión del mundo físico y virtual. Esta conversión a la industria digital promete Programa Profesional en Ciberseguridad 10 Módulo 3. Temas llegar a un nuevo modelo de negocio, donde los beneficios o ventajas que ofrece pueden son en esencia, los siguientes: Mayor productividad y eficiencia en los procesos. Mayor flexibilidad en la fabricación, teniendo la posibilidad de obtener productos personalizados en masa. Gestión más eficaz de los recursos gracias a la automatización y análisis de datos. Principios básicos de la Industria 4.0 un amplio abanico de contextos y áreas de negocio, sin embargo, es posible afirmar que los principios básicos de la industria 4.0 desde una perspectiva tecnológica son los siguientes: Interconexión. A través del IoT (Internet of Things) y el IoP (Internet of People) se trabaja en la comunicación permanente entre maquinas, sensores, y personas. Aportando información valiosa en tiempo real que servirá como insumo para la mejora de procesos. Transparencia de información. La información generada por las tecnologías de la Industria 4.0 aportan a los gestores la opción de tomar decisiones basadas en datos en tiempo real. La interconectividad permite recolectar inmensas cantidades de datos en todos los puntos de los procesos productivos, aportando así todo lo necesario para la innovación y mejora continua. Decisiones descentralizadas. Dotando a los sistemas y personas con la capacidad de tomar decisiones en tiempo real y desarrollar tareas de la manera más automatizada posible. Asistencia técnica. El soporte humano pasa a ser asistido por sistemas que agregan y permiten visualizar la información para tomar decisiones informadas y resolver problemas de manera urgente y sin previo aviso. Pero, además, estos sistemas tienen la capacidad de realizar tareas desagradables, agotadoras o peligrosas para las personas en procesos que resultan críticos. Esto último es Programa Profesional en Ciberseguridad 11 Módulo 3. Temas especialmente importante en espacios industriales en donde la fabricación de algunos productos puede suponer un riesgo para la integridad física o psíquica de los trabajadores. Actualmente la Industria 4.0 es un mercado que mueve millones de euros en el mundo, hay competidores que están apostando por este modelo y según varios estudios, la tendencia es que cada vez más empresas y organizaciones de todo tipo adopten este modelo. Se estima que en 2019 se instalaron sistemas con capacidades inteligentes y toma de decisiones automática por un valor de más de 71 700 millones de euros en todo el mundo y se estima que en 2024, este valor será de 156 600 millones de euros, lo que supone una tasa de crecimiento anual de este mercado del 16 %. Estas cifras han sido el resultado de un estudio publicado por MarketsAndMarkets (ver las referencias bibliográficas en este documento) y coinciden con otros estudios publicados por empresas y organizaciones independientes. En el resumen sobre el mercado de la Industria 4.0 ofrecido por ATRIAInnovation (ver las referencias bibliográficas en este documento), se puede ver que en España también se están llevando a cabo políticas que pretenden impulsar este tipo de tecnologías en los procesos productivos, sin embargo, los esfuerzos no parecen ser suficientes dadas las enormes diferencias de inversión y adaptación de la industria 4.0 en otros países. Programa Profesional en Ciberseguridad 12 Módulo 3. Temas Figura 2. Índice de digitalización. Fuente: Atria, 2020. Relación Industria 4.0 y Ciberseguridad La seguridad de grandes empresas y pymes se ha convertido en uno de los principales objetivos estratégicos afectando no solo a su reputación, sino a la productividad, debido a las consecuencias que puede llegar a causar en cuando a grandes cantidades de pérdidas económicas. La situación es aún más complicada ante conflictos bélicos y situaciones políticas desfavorables, ya que en dichos contextos las amenazas por ataques informáticos son mucho más probables y el nivel de alerta de los organismos públicos es alto. Tal como se ha mencionado anteriormente, las tendencias tecnológicas como es el Internet of Things (IoT), Big Data, Cloud, entre muchas otras otras, han promovido una necesidad de adaptar la Industria en todos los contextos, dando lugar a nuevos términos como el IIOT (Industrial Internet of Things), M2M (Machine to Machine) o WSN (Wireless Sensor Networks), entre otros. La Industria 4.0 integra nuevos dispositivos tecnológicos con los sistemas de control en las fábricas, es un modelo que se basa en la hiperconectividad con las redes industriales existentes o nuevas. No obstante, estos cambios acelerados que están sufriendo las industrias en los Programa Profesional en Ciberseguridad 13 Módulo 3. Temas últimos años también ha dado lugar a riesgos potenciales, especialmente relacionados con el funcionamiento seguro de dispositivos conectados a Internet. Entre los afectados, el sector industrial está en el principal punto de mira. La ciberseguridad en la industria se ha vuelto esencial. España es el quinto país del mundo con más sistemas que controlan todo tipo de instalaciones y procesos industriales conectados a Internet: 3059 por hora, según el Centro de Ciberseguridad Industrial (CCI). La ciberseguridad es el proceso mediante el cual se aplican medidas de seguridad a las tecnologías de la información, englobando un gran número de técnicas y métodos destinados a la protección sistemas y el resto de los dispositivos presentes en la red. Evidentemente, la ciberseguridad es crucial para proteger toda esta estructura telemática y los elementos que proporcionan las bases de la Industria 4.0. Este objetivo se consigue mediante el uso de dispositivos que protegen las redes de gestión y las industriales con cortafuegos y software altamente fiable para la protección de acceso a servidores. La implementación exitosa de las medidas de seguridad consiste, en primer lugar, en aplicar medidas de prevención que eviten los ataques que se pueden producir tanto al interior de la red como desde entornos no confiables como Internet. Concretamente, estas medidas de seguridad deben implementarse en planes de seguridad concretos y documentos que aporten una imagen sobre la definición de amenazas y gestión de riesgos. En un informe desarrollado por la empresa Deloitte sobre Industria 4.0 y ciberseguridad, se puede ver la evolución de las amenazas físicas y no físicas a lo largo de la evolución de la industria, la siguiente imagen enseña dicha evolución y permite conocer el estado del arte actual en materia de ciberseguridad en la Industria 4.0. Programa Profesional en Ciberseguridad 14 Módulo 3. Temas Figura 3. Definición de riesgos y amenazas en el ciclo de vida de la producción. Fuente: Waslo, Lewis, Hajj y Carton, 2017. Probablemente, la función más importante del personal dedicado a la ciberseguridad en la empresa consiste en prevenir ataques, tanto internos como externos. Para ello, se encargan de incorporar funcionalidades que aseguren la accesibilidad y la confidencialidad, utilizando métodos de autenticación y cifrado. Riesgos en la Industria 4.0 La industria 4.0 se caracteriza por contar con múltiples dispositivos conectados en entornos de red distintos y este precisamente, es uno de los problemas a los que se enfrenta este modelo emergente ya que ante más dispositivos conectados, mayor es la exposición y la superficie de ataque. Programa Profesional en Ciberseguridad 15 Módulo 3. Temas La seguridad de los dispositivos que producen algunos fabricantes aún está muy alejada de contar con buenas medidas de seguridad y en ocasiones, permite configuraciones inseguras por defecto. La situación se agrava cuando el cliente que de ataques ha aumentado considerablemente y según varios estudios, los ciberdelincuentes consideran que cualquier brecha de seguridad que suponga un acceso no autorizado ya es algo de valor para ellos. La creciente conectividad en la Industria 4.0 y el valor de los datos dentro de las redes se convierte en un objetivo muy apetecible para los ciberdelincuentes, algo que queda reflejado con gran detalle Probablemente uno de los motivos por los que la industria 4.0 es especialmente interesante para los atacantes es el factor de la innovación y propiedad intelectual, que tal como se ha mencionado anteriormente, es uno de los factores clave en la implementación de este modelo en las organizaciones. Si un ciberdelincuente consigue explotar correctamente alguna vulnerabilidad en sistemas inteligentes, probablemente una de las primeras cosas que querrá extraer es la inteligencia sobre procesos, productos y tecnologías que se están usando. Esta inteligencia puede incluir desde planos de diseños confidenciales, técnicas, algoritmos, código de programas, hasta procesos de ensamblaje detallados. Programa Profesional en Ciberseguridad 16 Módulo 3. Temas Figura 4. Progresión de las vulnerabilidades reportadas. Fuente: Michael Okolie M., 2021. Sistemas de control industrial Partiendo del apartado anterior y entendiendo que la seguridad es una pieza fundamental en el modelo de la Industria 4.0, la ciberseguridad en este tipo de entornos busca lo siguiente: Securizar las instalaciones y su operabilidad, proteger los procesos de producción de las fábricas y de los sistemas CPS (Cyber-Physical Systems). Proteger la integridad de la comunicación y evitar el robo de información en los dispositivos con los que dispone la empresa. Asegurar los datos confidenciales relativos a la producción de la empresa. Para conseguir dichos objetivos, en la industria 4.0 es habitual utilizar sistemas ICS (Industrial Control System) y en esta categoría, los más extendidos son los sistemas SCADA (Supervisory Control And Data Acquisition). Dichos sistemas han supuesto un gran avance dentro de la automatización industrial, permitiendo a los ingenieros de cualquier empresa llevar un control completo de todos los dispositivos en tiempo real y, además, crear alarmas y advertencias para corregir fallos. Programa Profesional en Ciberseguridad 17 Módulo 3. Temas Este tipo de dispositivos no son nuevos, llevan dando apoyo a procesos de producción criticos desde hace muchos años, sin embargo, en sus orígenes no se planteaba su exposición en entornos tan poco fiables como Internet, este nuevo contexto de conectividad por lo tanto plantea nuevos riesgos en materia de ciberseguridad. Según Check Point y el Centro de Ciberseguridad Industrial en su informe títulado extraído las siguientes conclusiones, las cuales no son alentadoras. Dos de cada diez operadores de infraestructuras críticas no han evaluado su nivel de riesgo contra una ciberamenaza. En los sectores de Aguas y de Transporte, los porcentajes alcanzan un 40 % y un 44 %, respectivamente. Estas cifras son alarmantes, ya que se trata precisamente de sectores estratégicos para un país y el fallo de estos sistemas afectaría a servicios básicos para la población. Los ataques a infraestructuras críticas han ido en aumento, aprovechando las vulnerabilidades y la falta de protección de los sistemas, por este motivo adoptar una posición de seguridad en profundidad es la mejor manera de proteger los activos de los sectores productivos más importantes. Dicho lo anterior, los sistemas de seguridad de las empresas industriales tienen que seguir dos vertientes paralelas pero interconectadas: la física y la virtual. Ambas están estrechamente relacionadas, ya que cualquier problema que atente contra la seguridad física de las personas puede convertirse en un problema cibernético y también al revés. La Ciberseguridad en la Industria tiene un alcance mucho mayor que la Seguridad SCADA o la Seguridad de los Sistemas de Control Industrial, siguiendo la triada PPT (Procesos, Personas y Tecnologías) para la protección de las organizaciones e infraestructuras industriales. Programa Profesional en Ciberseguridad 18 Módulo 3. Temas 1.3. Análisis de riesgos y gestión de archivos Introducción Este tema introduce el concepto de la seguridad en la información como un proceso para eliminar los riesgos asociados a la confidencialidad, integridad y disponibilidad de uno de los recursos empresariales más valiosos: la información. Para comenzar el tema, debes leer el caso de estudio y consultar las fuentes mencionadas en ellos para comprender la perspectiva de la seguridad de la información desde el punto de vista de la empresa. Es particularmente interesante buscar información de estimaciones de coste de incidentes o brechas de seguridad que han sido notorias en los medios. - tiene que fundamentarse en un análisis coste-beneficio. El problema es que la cuantificación del coste en este caso depende del análisis de riesgos. El tema debe comenzarse comprendiendo y sabiendo enunciar: Figura 5. Análisis de riesgos de en términos de activos y procedimientos. Fuente: elaboración propia. Además de lo anterior, es importante conocer la protección de las amenazas físicas. En estos materiales solo se repasan sucintamente, pero esa formación debe completarse con recursos externos. También como aspecto general de gran Programa Profesional en Ciberseguridad 19 Módulo 3. Temas importancia un sistema pobremente configurado. La seguridad de la información implica la confidencialidad, integridad y disponibilidad Hablar de seguridad de información es mucho más que tratar sobre cómo configurar firewalls, aplicar parches para corregir nuevas vulnerabilidades en el sistema operativo o guardar de forma cuidadosa los backups. La seguridad de la información implica determinar qué hay que proteger y por qué, de qué se debe proteger y cómo protegerlo. frecuencia como sinónimos, aunque no describen exactamente lo mismo. En general, la seguridad de la información (information security) hace referencia a la confidencialidad, integridad y disponibilidad de la información, independientemente del medio en que se almacenen los datos. La información se almacena en diferentes soportes, pueden ser electrónicos, impresos o de otro tipo. Por otro lado, la seguridad de la información implica la implementación de estrategias que cubran los procesos de la organización en los los sistemas informáticos. Un sistema informático seguro puede incluir técnicas sofisticadas de criptografía, detección de intrusos y seguimiento de la actividad interna. No obstante, la simple negligencia de un empleado relativa a la política de claves de seguridad puede permitir el acceso a un intruso. Es importante entender que un sistema de seguridad Programa Profesional en Ciberseguridad 20 Módulo 3. Temas incluye también a personas y procedimientos, más allá de los sistemas informáticos en sí. En palabras de Bruce Schneier (2000): Si piensas que la tecnología puede solucionar tus problemas de seguridad, eso quiere decir que no comprendes los problemas y que no comprendes la Perspectivas fundamentales de la seguridad de la información Son tres: legal, técnica y organizativa. El punto de vista legal concierne a las regulaciones internacionales, nacionales y regionales que protegen básicamente la privacidad y los derechos de propiedad intelectual. La perspectiva técnica es la del desarrollo, análisis, configuración y despliegue de elementos técnicos (hardware, software, redes) que tiene determinadas características relacionadas con la seguridad. Finalmente, la visión organizativa considera esencialmente la seguridad como un elemento fundamental para el negocio, dado que permite asegurar que los procesos de negocio se realizan sin disrupciones en cuanto a la confidencialidad, disponibilidad e integridad de la información. La perspectiva organizativa de la seguridad se basa en el análisis de riesgos, dado que el coste de las brechas o ataques contra la seguridad es un elemento a evitar de difícil estimación. Esto incluye también los riesgos legales, dado que en la mayoría de las empresas se guarda información personal al menos de los clientes. Podemos decir que la perspectiva organizativa y la legal indican qué hay que proteger (lo establecido en la ley y los recursos importantes para la organización) y por qué y de qué (porque se protegen derechos de las personas frente a violaciones de la Programa Profesional en Ciberseguridad 21 Módulo 3. Temas privacidad o porque comprometer ciertos recursos de información afecta al negocio por acciones de robo de información o espionaje industrial). La perspectiva técnica se encarga del cómo hay que proteger desde el punto de vista técnico (por ejemplo, si hay que utilizar ciertas actualizaciones de un sistema operativo, si hay que desplegar honeypots o instalar un IDS) dependiendo de la tipología cambiante de las amenazas (por ejemplo, la difusión generalizada de los smartphones requiere medidas adicionales para este tipo de plataformas). La seguridad de la información en una organización básicamente implica la protección de los activos necesarios para que la organización cumpla con su misión frente al daño o la destrucción. Por esa naturaleza, es una actividad crítica en la empresa. Dado que no puede conseguirse un nivel perfecto de seguridad, la decisión del grado de seguridad (y el coste que se incurre en obtenerla) es una decisión básica de gestión. Por otro lado, es importante resaltar que la seguridad es un proceso continuo de mejora y no un estado de un sistema por lo que las políticas y controles establecidos para la protección de la información deberán revisarse, probarse y adecuarse, de ser necesario, ante los nuevos riesgos que se identifiquen. En este sentido, se puede decir que no existe un sistema de información perfectamente seguro, dado que las amenazas evolucionan, y también la propia organización y sus recursos de información. No obstante, dependiendo de los procesos relacionados con la seguridad, será más o menos fácil que se produzca una violación o brecha de seguridad, y también ésta tendrá más o menos impacto y será más o menos costosa de paliar. La seguridad de la información se suele conceptualizar en torno a tres principios principales ya mencionados: confidencialidad, integridad y disponibilidad. A continuación, se describe cada uno de ellos. Programa Profesional en Ciberseguridad 22 Módulo 3. Temas Figura 6. Dimensiones en la seguridad de la información. Fuente: elaboración propia. Estos tres atributos pueden utilizarse como criterio para los controles de seguridad dentro de las organizaciones. Sus atributos «inversos», de carácter negativo o no deseable, son la revelación, la alteración y la destrucción. La confidencialidad. La privacidad es quizá el aspecto que se menciona con más frecuencia en cuanto a la confidencialidad. La privacidad de la información personal es un derecho protegido por regulaciones internacionales y nacionales, pero no es más que una de las caras de la confidencialidad. En una empresa, la lista de los mejores proveedores en un área no es información personal, pero obviamente su acceso debe estar limitado a ciertos empleados. Pensemos como otro ejemplo en el código fuente de una aplicación informática desarrollada en una empresa para su venta, ese código no debería revelarse y debería estar estrictamente protegido. En otros casos, la confidencialidad está asociada a otras restricciones externas. Por ejemplo, los planes de defensa por su naturaleza deben clasificarse como confidenciales. Confidencialidad es la propiedad de prevenir la revelación y divulgación intencionada o no intencionada de información a personas o sistemas no autorizados. Las amenazas a la confidencialidad son múltiples y los medios para conseguir accesos muy diversos. Más adelante hablaremos de la ingeniería social, que aprovecha el factor humano para hacerse Programa Profesional en Ciberseguridad 23 Módulo 3. Temas con información confidencial, pero también muchos troyanos tienen como objeto extraer información confidencial de manera automática, por ejemplo. La integridad. Quizá el ejemplo más típico de ataque contra la integridad sea la alteración de un balance de una cuenta bancaria. Los ataques contra la integridad suelen implicar también pérdidas de confidencialidad, pero no necesariamente. En ocasiones, el intruso o persona no autorizada no modifica la información directamente, sino que modifica alguno de los programas que la actualizan. De este modo, incluso sin conocer el saldo de una cuenta bancaria, se puede reducir su cuantía mediante la alteración deliberada del software, bien del programa en sí o del proceso en ejecución del programa. La Integridad es la propiedad que busca mantener los datos libres de modificaciones no autorizadas. Algunos autores consideran que la integridad debe también cubrir las modificaciones no autorizadas por el personal autorizado, es decir, el control interno de las autorizaciones. La integridad de la información se gestiona de acuerdo a tres principios básicos: Dar acceso de acuerdo al criterio del menor privilegio (criterio need-to-know). Es muy simple. Solo se debe dar acceso a los usuarios a aquellos recursos de información que les sean absolutamente imprescindibles para realizar su trabajo. Yendo un paso más allá, este principio lleva a establecer controles específicos para evitar que los usuarios puedan modificar información de maneras que comprometan su integridad. Un ejemplo de este tipo de controles es un registro de transacciones de las acciones del usuario, de modo que puedan inspeccionarse posteriormente. Separación de obligaciones (duties). Implica que para una determinada tarea, no haya nunca un solo usuario responsable de realizarla. De esta manera, al menos habrá dos personas implicadas y será más difícil que se utilice una manipulación de datos para beneficio personal. Rotación de obligaciones. Va en la misma dirección y propone que las tareas asignadas a los empleados cambien de responsable de vez en cuando. El problema con la rotación es que en empresas con pocos empleados en un determinado tipo de puesto, puede ser difícil el intercambiar sus tareas. Programa Profesional en Ciberseguridad 24 Módulo 3. Temas La disponibilidad. Un sistema está disponible cuando sus usuarios legítimos pueden utilizarlo para realizar funciones legítimas. Es decir, para realizar el trabajo necesario para el negocio. Disponibilidad es la característica, cualidad o condición de la información de encontrarse a disposición de quienes deben acceder a ella como usuarios autorizados, ya sean personas, procesos o aplicaciones. En el contexto de la seguridad de la información, habitualmente se habla de la disponibilidad en dos situaciones: Ataques de denegación de servicio (Denial of Service, DoS). Los ataques DoS se han hecho populares en la web a través de los medios de comunicación. Un ataque DoS sobre un sistema es básicamente un ataque por el cual los recursos de cómputo del sistema se redirigen por medios externos a tareas que impiden su uso por los usuarios legítimos. Estos ataques frecuentemente se realizan mediante la infección previa de otros equipos en la red sin el conocimiento de sus propietarios, de modo que se coordinan para solicitar el servicio de un determinado sitio web (como ocurre con las botnets). Pérdidas de datos o capacidades de procesamiento de datos debidas a catástrofes naturales (terremotos, inundaciones, etc.) o a acciones humanas (bombas, sabotajes, etc.). Las pérdidas de datos por catástrofes naturales pueden parecer a muchas empresas posibilidades remotas, por lo que en ocasiones tienden a subestimarse. Este tipo de catástrofes o eventos sobrevenidos son el objeto de los planes de contingencia. Un ejemplo son los sitios alternativos de proceso, que permiten continuar la operación del negocio transfiriendo a otra infraestructura física alternativa. En el terreno técnico, los avances en la computación tolerante a fallos son mecanismos que usualmente combinan hardware y software para asegurar la disponibilidad. Otros conceptos importantes Además de la tríada que acabamos de describir, hay otros conceptos básicos importantes que se deben tener en cuenta en la gestión de la seguridad y que conviene recordar en este momento. La siguiente tabla los resume: Programa Profesional en Ciberseguridad 25 Módulo 3. Temas Tabla 1. Conceptos importantes en la seguridad de la información. Fuente: elaboración propia. La seguridad es un asunto económico En muchas empresas no se toma suficientemente en cuenta la seguridad de la información hasta que experimentan un ataque o una brecha de seguridad. Y una vez que el evento indeseado sucede, es cuando comienza la consideración económica. Dado que la seguridad cuesta dinero, el problema fundamental es buscar un equilibrio entre el coste de la seguridad y el impacto económico de los riesgos probables. Es importante entender la vertiente económica de la seguridad, dado que aparentemente los avances técnicos en seguridad (como lo fue la criptografía en su día) no mejoran la seguridad de las empresas si éstas no la ponen en práctica. los empleados no cumplen con la política de elección y custodia de sus claves. En general, la seguridad implica costes incluso más allá del coste de los sistemas, software o tiempo de expertos en la configuración y diseño de los mismos. También tiene un coste en la forma de la resistencia de los empleados o su frustración, que en Programa Profesional en Ciberseguridad 26 Módulo 3. Temas ocasiones ven las medidas de seguridad como impedimentos para realizar su trabajo más ágilmente. En el caso del desarrollo de aplicaciones, un software bien protegido es más caro y requiere más tiempo de desarrollo que uno que no lo esté. Por otro lado, solo las intrusiones con un efecto importante tienen un impacto económico considerable, y rara vez han llegado históricamente a llevar al cierre de operaciones de la empresa. la seguridad. Por eso, muchas tecnologías de seguridad comienzan a utilizarse cuando se dan los dos siguientes elementos: Son fáciles de implantar Los auditores de seguridad comienzan a demandarlas Este es el caso por ejemplo de los firewalls. El coste de implantarlos se ha reducido considerablemente porque cada vez son más fáciles de implantar y hay más gente preparada para hacerlo, y por otro lado, el coste de no tenerlos, en el caso de una auditoría, es grande (la empresa no pasará la auditoría). El aspecto económico de la seguridad es tan importante, que es un campo de estudio (2008) elaboran informes técnicos con los avances en esta área que merece la pena conocer. Un marco económico para la seguridad de la información Adrian Mizzi ha elaborado un marco conceptual para responder a la pregunta que se hacen tantas empresas sobre si están invirtiendo mucho o poco en seguridad de la información. Básicamente, este marco permite estimar el retorno de la inversión en seguridad de la información (ROSI), si bien la estimación de las variables es compleja por lo elusiva de la medición de las amenazas y las vulnerabilidades. La idea es que Programa Profesional en Ciberseguridad 27 Módulo 3. Temas hay unos costes, tanto desde el punto de vista del ataque como del de la defensa, y posterior mitigación del daño. Los atacantes se enfrentan a medidas de defensa explícitas y a la identificación de vulnerabilidades. En general para que un atacante incurra en este «coste de ruptura» o CTB los beneficios de su acción tienen que ser superiores. El problema en este lado es doble: Por un lado, los beneficios de los ataques son difíciles de estimar a priori, pero en general, si se pretende vender información confidencial, por ejemplo, para el fraude de tarjetas de crédito, en general el coste de explorar las vulnerabilidades es bajo en relación al beneficio posible. Solo cuando los mecanismos de protección sean más complejos de burlar un atacante no lo seguirá intentando. Por otro lado, los motivos de los atacantes son subjetivos, e incluyen motivaciones no económicas, que les pueden llevar a incurrir en CTBs mayores que los beneficios económicos esperados (que en ocasiones es ninguno simplemente). La r un ataque en condiciones realistas. Del lado de la organización, los dos costes básicos son: Coste de construcción de las medidas defensivas, incluyendo la configuración de firewalls, sistemas redundantes, IDS, etc. Coste de reparación de vulnerabilidades. En una configuración simple, esto puede consistir en mantener el software actualizado con los últimos parches, pero en ocasiones esto no es suficiente, y hace falta un esfuerzo proactivo en buscar vulnerabilidades potenciales según aparecen. Además de los anteriores, hay costes, postincidente que incluye el cálculo de las pérdidas derivadas (véanse las referencias del Ponemon Institute en el caso de estudio del tema), y también el coste de la reconstrucción de los sistemas. Esta reconstrucción, dependiendo del efecto del incidente puede ser tan simple como una Programa Profesional en Ciberseguridad 28 Módulo 3. Temas reinstalación o reparación de un software, pero en ocasiones puede ser tan costosa como el requerir servicios profesionales para recuperar datos dañados. En otras ocasiones, y de manera discutible, la reparación se complementa con un La seguridad es un proceso La seguridad no es un producto, algo que se pueda conseguir y una vez terminado, se tiene. Por el contrario, la seguridad son actividades continuas realizadas dentro de un plan sistemático que debe evaluarse continuamente. Es decir, la seguridad de la información es un proceso. Los elementos fundamentales de ese proceso son los activos de información, por eso la base de todo el proceso es su identificación, para después aplicar una serie de herramientas de gestión. La gestión de la seguridad implica la identificación de activos de información y el desarrollo, documentación e implementación de políticas, normas, procedimientos y directrices que garanticen su disponibilidad, integridad y confidencialidad. Las herramientas de gestión (como la clasificación de datos, la formación y concienciación sobre seguridad, la evaluación de riesgos y el análisis de riesgos) se utilizan para identificar las amenazas, clasificar los activos y su vulnerabilidad para establecer controles de seguridad eficaces. Es importante distinguir las diferentes herramientas de gestión. En muchas ocasiones ntas que se utilizan en diferentes niveles de la gestión. Por ello, es importante aclarar términos. La siguiente figura muestra una jerarquía de herramientas y sus relaciones. Programa Profesional en Ciberseguridad 29 Módulo 3. Temas Figura 7. Términos generales en la especificación de políticas de seguridad. Fuente: elaboración propia. La gestión de riesgos Un riesgo es esencialmente la posibilidad de ocurrencia de un evento no deseado, de consecuencias negativas, en nuestro contexto, sobre la seguridad de los recursos de información. Los riesgos deben ser estudiados y analizados, para poder tomar decisiones sobre los mismos. Las decisiones pueden ser básicamente tres: Asumir el riesgo tal cual. Implementar algún tipo de acción para mitigar el riesgo. Externalizar o transferir el coste del riesgo. Normalmente mediante la contratación de algún tipo de seguro que actuaría como compensación económica en caso de ocurrencia del mismo. Otra opción es la de subcontratar ciertos servicios a terceros, que se hacen responsables del riesgo. Una cuarta opción sería, lógicamente, la de evitar el riesgo dejando de utilizar ciertos recursos o cesando en las actividades asociadas al riesgo, pero lógicamente, esto tiene el coste de oportunidad de no obtener beneficios de la actividad. La primera opción obviamente solo es viable si la organización es capaz de absorber el coste de la materialización del riesgo. En el caso de seguir la segunda opción, Programa Profesional en Ciberseguridad 30 Módulo 3. Temas típicamente la organización debe realizar un análisis coste-beneficio, particularmente calcular el riesgo residual. Dicho esto, la gestión de riesgos se define como el conjunto de procesos para identificar, analizar y evaluar los riesgos para tomar las decisiones sobre su asunción, mitigación o transferencia. Las preguntas sobre el análisis y gestión del riesgo pueden resumirse en las siguientes: ¿Qué podría suceder (cuáles son los eventos indeseados o amenazas)? Si se da el evento, ¿cuán malo puede ser (impacto de la amenaza)? ¿Con qué frecuencia puede ocurrir (frecuencia de amenaza, por ejemplo, anualmente)? ¿Cuán seguros estamos de las respuestas a las tres primeras preguntas (reconocimiento de nuestra incertidumbre)? Una vez los riesgos han sido analizados y evaluados, la gestión debe responder a las siguientes preguntas fundamentales: ¿Qué se puede hacer (mitigación de riesgos)? ¿Cuánto va a costar (por intervalos de tiempo, por ejemplo, anuales)? ¿Es rentable (análisis coste/beneficio)? En lo que sigue profundizamos en los elementos y actividades fundamentales de la gestión de riesgos en la seguridad de la información. Definiciones previas La terminología en la gestión de los riesgos, para evitar ambigüedades, debe basarse en estándares como ISO 17799. Algunas definiciones previas importantes son las siguientes: Amenaza (threat): un peligro potencial a un recurso. Programa Profesional en Ciberseguridad 31 Módulo 3. Temas Fuente/agente de la amenaza (threat-source/agent): algo o alguien que tiene capacidad potencial para materializar la amenaza. Vulnerabilidad: una debilidad o fallo en un recurso. Exposición: una oportunidad para que una amenaza cause un daño. En cuanto a los controles, suelen diferenciarse los siguientes: Mecanismos de mitigación lógicos (por ejemplo, un firewall) o no-técnicos (administrativos y físicos). Las medidas administrativas incluyen por ejemplo políticas y procedimientos. Las físicas por ejemplo alarmas, cerraduras o detectores de fuego. Salvaguardas (safeguard): controles preventivos y proactivos. Contramedidas: controles correctivos (reactivos). Procesos en la gestión de riesgos de la información Existen diferentes modelos y estándares sobre los procesos en la gestión de riesgos. Por ejemplo, el estándar NIST SP-830 agrupa los procesos en tres fases: Evaluación del riesgo (risk assessment). A su vez, se considera dentro de esta fase otras, incluyendo análisis de riesgos: Cuantitativa (estimando el valor monetario de la ocurrencia de las amenazas). Cualitativa (basada en escenarios). Implementación de controles. Evaluación continua de los controles. Independientemente del modelo de procesos o buenas prácticas que se utilice, todos ellos comparten una estimación de la probabilidad de ocurrencia del riesgo y una sugerencia de contramedidas que puedan utilizarse y que se implementarán mediante controles. Programa Profesional en Ciberseguridad 32 Módulo 3. Temas Análisis de riesgos cuantitativo El análisis de riesgos cuantitativo trata de asignar valores cuantitativos (por ejemplo, unidades monetarias) a los diferentes elementos. Para ello, hay que comenzar haciendo una valoración económica de los recursos. A partir de esa valoración, se establecen una serie de medidas, la siguiente tabla resume las principales. Tabla 2. Formulación de medidas en función del valor de los activos. Fuente: elaboración propia. El problema fundamental del análisis es la dificultad de medir el valor de los recursos. Este valor puede estimarse de diferentes formas, no excluyentes: El coste inicial y continuo (para una organización) de la compra, concesión de licencias, el desarrollo y el mantenimiento. El valor del recurso para el mantenimiento del modelo de negocio o la ventaja competitiva, o el valor que aporta al negocio en su funcionamiento. El valor de mercado del recurso, si se puede evaluar. Por ejemplo, el valor por el que se podría vender un secreto industrial. La valoración una vez establecida permite el análisis coste-beneficio, dado que las medidas de mitigación (o el coste de externalización) estimado puede compararse con estas valoraciones, sobre la base de estimaciones anualizadas. Programa Profesional en Ciberseguridad 33 Módulo 3. Temas 1.4. Planes para la implementación de medidas de seguridad Programas de gestión de la seguridad El objetivo de la gestión de la seguridad es garantizar la confidencialidad, integridad y disponibilidad de los recursos de información de la organización. Un programa de gestión de la seguridad es un conjunto de actividades planificadas dentro de una organización para garantizar las disponibilidad, confidencialidad e integridad de los recursos de información. Los programas deben ser comunicados de forma entendible a todos los empleados. Un programa no es una acción concreta, sino un área de gestión orientada a la mejora continua. La importancia de la seguridad de la información ha dado lugar a la profesionalización, materializada en el rol del Responsable de Seguridad de Información (RSI), CISO (Chief Information Security Officer) o denominación equivalente. La gestión de la seguridad se materializa en políticas, estándares, líneas base y procedimientos. Figura 8. Definición de planes de seguridad. Fuente: elaboración propia. Programa Profesional en Ciberseguridad 34 Módulo 3. Temas La clasificación de la información No toda la información en la organización es igualmente valiosa. Por ejemplo, los secretos industriales como la fórmula de fabricación de un producto, afectan a la propia ventaja competitiva y razón de ser de muchas empresas. Su revelación a terceros simplemente puede terminar con la organización. Algo parecido ocurre con la información sobre la estrategia de nuevos productos de una empresa, esa información es el objeto más preciado del espionaje industrial. Dado que la protección de la información cuesta dinero, clasificarla permite dedicar más dinero a los recursos más valiosos. En el entorno militar y el sector público, la clasificación de la información tiene una larga historia. No obstante, es útil para cualquier organización, bien como mecanismo de análisis, o para evaluar qué información está afectada por determinadas protecciones legales. La clasificación de la información permite identificar el valor de los recursos de información, incluyendo la información más sensible o vital para la empresa. Clasificar la información además demuestra un compromiso con la seguridad y puede ser imprescindible debido a regulaciones existentes. Niveles de clasificación La clasificación suele hacerse en función de una serie de niveles. La siguiente tabla resume una tipología habitual en los documentos en el entorno del gobierno. Programa Profesional en Ciberseguridad 35 Módulo 3. Temas Tabla 3. Niveles de clasificación. Fuente: elaboración propia. En el entorno de las empresas se utilizan otro tipo de clasificaciones. La siguiente tabla proporciona un ejemplo. Tabla 4. Ejemplo sobre los tipos de clasificaciones. Fuente: elaboración propia. La anterior clasificación tiene que ver con el impacto en la empresa globalmente, pero hay otra categoría, la de la información personal, cuya difusión está protegida por la ley dado que afecta a los derechos de los individuos. Por ejemplo, el sueldo de un empleado o la información médica sobre el mismo. Además de los criterios de impacto en su difusión que acabamos de ver, la edad de la información suele ser también un criterio, los documentos de Defensa normalmente se desclasifican tras Programa Profesional en Ciberseguridad 36 Módulo 3. Temas un cierto tiempo, y una fórmula de un producto antiguo probablemente ya no tenga el mismo valor si se ha imitado con el tiempo por los competidores. Roles y procedimientos en la clasificación La clasificación de la información requiere unos roles bien definidos y una serie de pasos o actividades sistemáticas. Los roles principales son los siguientes: Propietario (owner) del activo. El propietario es el encargado de la protección de los recursos de información. Establece la criticidad de la información de acuerdo a las políticas de clasificación aprobadas y delega las tareas rutinarias al responsable. Responsable (custodian). Normalmente es personal técnico, en quien el propietario delega la custodia efectiva de la información. Esto incluye la gestión de las copias de seguridad y cualquier otra tarea técnica necesaria. Usuario. principios fundamentales para este rol son los siguientes: La información y los recursos deben utilizarse para la organización, nunca para usos personales. Son responsables de la gestión de la información que utilizan durante su password su terminal si abandonan temporalmente su puesto. Deben comprender y aplicar las políticas y procedimientos de seguridad de la organización. Identificar los roles mencionados. Especificar los criterios de clasificación. Clasificar los datos por su propietario. Especificar y documentar cualquier excepción a la política de clasificación. Especificar los controles que se aplican a cada nivel de clasificación. Especificar los procedimientos de terminación para la desclasificación de la información o para la transferencia de custodia de la información a otra entidad. Programa Profesional en Ciberseguridad 37 Módulo 3. Temas Crear un programa de concienciación empresarial sobre la clasificación y sus controles asociados. Articulación de la seguridad por medio de controles Toda la gestión de la seguridad de la información gira en torno de la identificación de amenazas potenciales, es decir, de riesgos. Se trata de establecer mecanismos para reducir su probabilidad de ocurrencia (en el sentido de posibilidad) o bien para disminuir su impacto en caso de que finalmente la amenaza se materialice. Tiene como objetivo reducir los efectos de una amenaza o vulnerabilidad de la seguridad. El establecimiento de un control de seguridad es consecuencia de un estudio previo del impacto de determinadas vulnerabilidades o amenazas. El proceso estructurado que produce estimaciones de las pérdidas por esas vulnerabilidades es el análisis de riesgos (Risk Assessment). Los conceptos de riesgo son la vara de medir para determinar si un control está bien implementado o no. Por ejemplo, consideremos el siguiente control mencionado en la norma ISO 27001:2013: Objetivo de control: responsabilidades del usuario Control o medida de ejemplo: [A.9.3.1] Uso de clave control: Se debe requerir que los usuarios sigan buenas prácticas de seguridad en la selección y uso de claves. El riesgo en este caso redundaría en la pérdida de confidencialidad (y también de integridad y/o disponibilidad, ya que la obtención de claves de usuarios puede permitir a un intruso entrar en los sistemas y modificarlos). La organización debe implementar este control en la forma de políticas (filosofía general sobre las claves) y en procedimientos concretos (por ejemplo, cambios de contraseña cada seis meses y uso de un comprobador de fortaleza de las contraseñas). Esas medidas concretas, en este caso, permiten reducir la probabilidad de que un intruso sea capaz de «adivinar» una clave, y en el caso de que lo consiga, que su efecto (impacto) sea temporal. No obstante, no permitirán eliminar el riesgo Programa Profesional en Ciberseguridad 38 Módulo 3. Temas completamente, dado que un ataque de «ingeniería social» puede engañar a un usuario para dar la clave a un software malicioso (este sería el caso del phishing). Seguridad física y lógica El dominio de la seguridad abarca todo aquello en el entorno de los sistemas de información que puede tener un impacto en la disponibilidad, integridad y confidencialidad de la información. Un desastre natural es un ejemplo de una amenaza física. Las medidas son también de una variedad muy diversa, como los circuitos cerrados de televigilancia. A pesar de que este dominio de la seguridad de la información puede parecer el más alejado de la profesión en sí, es importante entenderlo, ya que el firewall mejor configurado no podrá aguantar si alguien es capaz de acceder físicamente a la máquina que lo ejecuta. Como ejemplo de la importancia de la seguridad, es interesante conocer algún ejemplo de instalación con medidas bien diseñadas de seguridad física. Un ejemplo es el búnker de la empresa Bahnhof, que cuenta con Wikileaks como uno de sus clientes más famosos. Aunque el construir un centro de datos en un búnker parece a muchos analistas más una operación de marketing que una necesidad física, sus características son interesantes para ilustrar el diseño conjunto físico-lógico de sistemas seguros. Entre los aspectos que sus creadores tuvieron en cuenta fueron la estabilidad geológica y el aislamiento frente a ataques físicos externos. No obstante, dado que uno de los mayores riesgos físicos es el acceso no autorizado, en ese aspecto la ubicación del centro no aporta ningún beneficio adicional. Donn B. Parker, en su libro «La lucha contra los delitos informáticos» (Wiley, 1998), ha recopilado una lista muy completa que él llama las siete principales fuentes de pérdidas físicas, el siguiente es un resumen con ejemplos: Programa Profesional en Ciberseguridad 39 Módulo 3. Temas Temperatura: variaciones extremas de la temperatura, por ejemplo, en un incendio. Gases: gases de guerra como el gas Sarin, pero también gases industriales o partículas en suspensión. Líquidos: agua de una inundación, líquidos utilizados en la limpieza. Organismos: virus, bacterias o insectos, por ejemplo. Pero también las personas. Proyectiles: desde meteoritos a balas o explosiones. Movimientos: caídas o terremotos. Anomalías en la electricidad: magnetismo, radiaciones, etc. Los controles de seguridad física son tan diversos como las amenazas. Las áreas fundamentales que deben considerarse pueden resumirse en las que se presentan a continuación. Programa Profesional en Ciberseguridad 40 Módulo 3. Temas Tabla 5. Áreas fundamentales de los controles de seguridad física. Fuente: elaboración propia. Programa Profesional en Ciberseguridad 41 Módulo 3. Temas 1.5. Políticas de securización Gobierno de la seguridad de la información con la finalidad de brindar una dirección estratégica, garantizar que se logren los objetivos, determinar que los riesgos se administren en forma apropiada y verificar que los recursos de la empresa se utilicen con responsabilidad (ISACA). De forma más pormenorizada y focalizándolo en la seguridad de la información, el gobierno de la seguridad trata de: Dar una dirección estratégica y apoyar la consecución de objetivos: Se debe alinear la seguridad de la información con la estrategia de negocio para apoyar los objetivos de la organización. Asimismo, se optimizarán las inversiones en la seguridad en apoyo a los objetivos del negocio. Gestionar adecuadamente los riesgos: Identificar y valorar los riesgos que se ciernen sobre la organización. Se deben implantar medidas adecuadas para mitigar los riesgos y reducir el impacto potencial que tendrían en los recursos de información a un nivel aceptable. Verificar que los recursos se utilicen con responsabilidad: Se buscará utilizar el conocimiento y la infraestructura disponible de la mejor forma posible. Se deberá controlar y monitorizar la eficacia y la eficiencia de los controles ya implantados. Programa Profesional en Ciberseguridad 42 Módulo 3. Temas Visión, misión y objetivos en el gobierno de la seguridad Al igual que el gobierno corporativo define una visión, una misión y unos objetivos que dotan a la organización de sus fundamentos estratégicos, el gobierno de la seguridad de la información debe definir una estrategia para cooperar en las metas definidas. Figura 9. Estrategia en el Gobierno de la seguridad. Fuente: elaboración propia. Misión de la seguridad: descripción de por qué la seguridad de la información es relevante en la organización. Describe una realidad prácticamente invariable en el tiempo y que puede lograrse de diversas formas, sirviendo de contexto para la toma de decisiones en la entidad. Visión de la seguridad: describe lo que la entidad desea que llegue a ser la seguridad de la información, revisándose de forma periódica y sirviendo de guía para la definición de la estrategia de seguridad. Estrategia de seguridad: la estrategia de seguridad se revisa periódicamente debido a los permanentes cambios en el entorno y describe cómo alcanzar las metas definidas. Concretamente contiene: De qué forma la seguridad da valor a la entidad, ligando sus iniciativas a las de negocio. Cómo reducir los riesgos, teniendo en cuenta el cumplimiento normativo y la reducción de costes. Cómo se protege la organización contra impactos de negocio, cómo esta responde a la evolución de las amenazas y de qué forma se pretende mejorar las medidas ya existentes: formación, tecnología, concienciación, etc. Programa Profesional en Ciberseguridad 43 Módulo 3. Temas Plan Director de Seguridad El Plan Director de Seguridad es una herramienta fundamental a la hora de implantar la estrategia de seguridad en una organización en un periodo de tiempo que abarca normalmente de 2 a 5 años como máximo. Es un elemento básico que permite a una organización: Definir y establecer las directrices de seguridad de la información que debe adoptar la organización en consonancia con los objetivos corporativos. Definir, planificar y formalizar las actividades en seguridad de la Información. De forma simplificada, un Plan Director de Seguridad tratar de determinar: El estado actual de la seguridad de la información en la organización y de la gestión de los riesgos. El resultado deseado que se pretende alcanzar dentro de un periodo de tiempo fijado en función de los objetivos de seguridad que deben ser coherentes, medibles y alcanzables. El plan de proyectos que describa como se van a alcanzar dichos objetivos. Figura 10. Fases de un Plan Director de Seguridad. Fuente: elaboración propia. Programa Profesional en Ciberseguridad 44 Módulo 3. Temas El modelo de seguridad deberá tener en cuenta: Los objetivos y la estrategia corporativa: Resultado deseado que se pretende alcanzar dentro de un periodo de tiempo fijado La gestión de los riesgos: Conocer los riesgos y cómo gestionarlos. Las necesidades del negocio: Primero fijar los objetivos de seguridad y luego las medidas o controles de seguridad que se desarrollan como parte del modelo. Los estándares y buenas prácticas del sector. Las circunstancias tecnológicas y operativas. Para lograr cumplir los objetivos marcados, el plan de proyectos debe tener en cuenta el conocimiento interno de la empresa, los recursos, el presupuesto y la tecnología disponible. Diseño de políticas de seguridad Las políticas tienen muchas utilidades, por ejemplo, pueden ser literalmente un salvavidas durante un desastre, o podrían ser un requisito de una función reguladora. La política también puede proporcionar protección contra la responsabilidad debida a un trabajador o definir acciones para el control de los secretos comerciales. Los diferentes tipos de políticas El término «política» es uno de esos términos que pueden significar varias cosas en seguridad de la información. Por ejemplo, existen políticas de seguridad en servidores, que se refieren al control de acceso y la información de enrutamiento. Los estándares, procedimientos y directrices también se conocen como políticas en el sentido más amplio de la seguridad. Aquí hacemos referencias a las políticas como controles administrativos de carácter temático, a veces denominadas políticas funcionales. Por ello adoptamos la siguiente Programa Profesional en Ciberseguridad 45 Módulo 3. Temas definición de política. Estas políticas detallan las políticas generales de la organización. La política de seguridad de la información es un plan de alto nivel que describe los objetivos de los procedimientos. Por lo tanto, las políticas no son directrices o estándares, ni tampoco obviamente procedimientos. Las políticas describen la seguridad en términos generales y no específicos. Pueden considerarse las «plantillas» o «requisitos generales» que determinan cómo se diseñarán e implementarán los diferentes elementos de la seguridad. La diferencia entre política e implementación es importante. Por ejemplo, si una política estableciese que el login único debe hacerse con un producto concreto de una empresa, cuando el mercado evolucione, puede que otros productos sean mejores. No parece razonable que el objetivo (que es lo que define la política) esté ligado a un producto o tecnología concreta, al menos en la mayoría de los casos. Ahora bien, la política sí que puede indicar la obligatoriedad de que, independientemente de la elección de producto final, se documenten las razones de por qué se ha seleccionado. El diseño de políticas es importante porque estas definen los objetivos de la seguridad. Además, la participación de la dirección en la definición de las políticas proporciona un mensaje claro sobre la implicación y compromiso de la organización en sus niveles directivos. Las políticas, salvo excepciones convenientemente documentadas y aprobadas, se aplican a la organización entera, por lo que facilitan tener unos estándares de seguridad coherentes, y esto es algo que los clientes pueden apreciar y hace la gestión más sencilla. Por último, las políticas son útiles para gestionar los litigios. Si se amonesta a un empleado por una acción relacionada con la seguridad, y no había política escrita, es complicado justificar esa amonestación. Programa Profesional en Ciberseguridad 46 Módulo 3. Temas Desde una perspectiva más pragmática, la ausencia de políticas escritas correctamente simplemente impide la evaluación externa y la auditoría. A continuación, se analiza un ejemplo de política tomado de la comunidad SANS, sus diferencias con otras herramientas de gestión y sus implicaciones (SANS, s.f.). El documento está disponible en esta dirección web (SANS, 2022): https://assets.contentstack.io/v3/assets/blt36c2e63521272fdc/blt55091bed60041d 8e/636d96f9cbd6b84ecb485eb3/Web_Application_Security_Policy.pdf En la política anterior podemos apreciar una estructura general que suele darse de manera explícita o implícita: Propósito: incluye la definición del porqué de esta política, es decir, qué se quiere controlar o qué riesgos mitigar en concreto. En este caso se hace referencia a la búsqueda de vulnerabilidades, uno de los riesgos que habitualmente se identifican como importantes en las aplicaciones web por su propia naturaleza. Ámbito: se especifica a qué procesos dentro de la empresa se aplica la política (en este caso, a cualquier desarrollo o mantenimiento de aplicaciones web), quién lleva a cabo los procedimientos que implementarán la política, y qué grado de diseminación tendrá. Descripción de la política en sí. En este caso se detalla cuándo se debe realizar, su duración, las herramientas a utilizar, cómo se deben expresar sus resultados, etc. Podemos considerar ésta como una política bastante detallada. Responsabilidades. Quién es responsable de que se cumpla la política, en este caso es una combinación del staff de seguridad y el personal implicado en el desarrollo de la aplicación web o su mantenimiento. En algunas ocasiones, los responsables pueden ser todo el personal de la empresa, por ejemplo, si la política hace referencia a la gestión del correo electrónico de la empresa, que implica a todos los empleados. Programa Profesional en Ciberseguridad 47 Módulo 3. Temas Además de lo anterior, la política incluye una sección de definiciones para hacer precisa la política en sí, así como referencias. Finalmente, dado que las políticas provienen de la implementación de la gestión que es un ciclo de mejora continua, deben tener algún mecanismo de seguimiento de versiones o revisiones. Estos son los elementos fundamentales que se encuentran de un modo u otro en las políticas. Además de lo anterior, podemos apreciar, en este caso, cómo se reutilizan estándares, concretamente, definiciones de OWASP. En este caso, esta política llega a detallar herramientas de evaluación concretas. Este es un caso especial, dado que en muchas organizaciones esto se especifica en los procedimientos o estándares, dejando la política en sí en un nivel más general. No obstante, es importante resaltar que esta política deberá tener después guías de implementación más detalladas en un procedimiento o varios. Tipos de políticas de seguridad Existen diferentes tipos de políticas, las cuales se indican a continuación. Política general de seguridad. Esta es una política general de alto nivel y de carácter estratégico de la que se derivan las demás. Típicamente contiene lo siguiente: Una declaración de la importancia de los recursos de información en la empresa. Una declaración de compromiso de la dirección clara con la seguridad de la información. Un compromiso de delegación a las políticas derivadas de ella. Políticas funcionales. Estas políticas son también de alto nivel, por lo que indican qué debe hacerse pero no detallan el cómo (esto vendrá detallado concretamente en los procedimientos). Típicamente, estas políticas afectan a un área funcional o un determinado tipo de aplicación, como puede ser la «política de uso del correo electrónico». Programa Profesional en Ciberseguridad 48 Módulo 3. Temas Estándares, directrices y procedimientos Los estándares, directrices y procedimientos son medios para implementar las políticas. Los estándares especifican el uso de ciertas tecnologías o métodos de un modo uniforme. Son obligatorios y en ocasiones implican determinados compromisos con ciertos sistemas operativos o fabricantes de software. Las directrices son similares a los estándares pero son solo recomendaciones, no son de obligado cumplimiento. Son un mecanismo más flexible que los estándares y pueden utilizarse para determinar estándares. Los procedimientos (a veces denominados «prácticas») son descripciones detalladas de los pasos para llevar a cabo una determinada tarea para que los usuarios los puedan llevar a cabo sin dudas. También mencionamos las líneas base (baselines) que son descripciones sobre cómo configurar determinados elementos de seguridad para que sean aplicados de manera uniforme en toda la organización. Para comprender las diferencias, la siguiente tabla recoge un ejemplo concreto: Programa Profesional en Ciberseguridad 49 Módulo 3. Temas Tabla 6. Diferencias de los medios para implementar las políticas. Fuente: elaboración propia. En el ejemplo anterior, la política es aún de un nivel general. Es frecuente tener políticas más específicas para cada tipo de aplicación a utilizar en la organización. Por último, es importante recalcar que aunque la nomenclatura varía de una entidad a otra, la jerarquía siempre se debe tener tres niveles bien diferenciados. En primer lugar, una ¡nivel estratégico que defina las líneas generales, a continuación, el nivel táctico que profundice y complete las políticas y finalmente el nivel operativo que establezca como implementar y cumplir los niveles superiores. Programa Profesional en Ciberseguridad 50 Módulo 3. Temas 1.6. Estándares de seguridad empleados en planes de securización Estándar ISO 27001 El estándar UNE-ISO/IEC 27001:2013 «Sistemas de Gestión de la Seguridad de la Información (SGSI). Requisitos» es el primero de la serie de estándares ISO 27000. Es la norma principal de la familia, ya que establece los requisitos para la gestión del SGSI y su auditoría. Antecedentes del estándar ISO 27001: ISO/IEC BS7799 El Estándar Británico ISO-IEC BS7799-IT es un código aceptado internacionalmente en la práctica de la seguridad de la información. El estándar aplica un método de cuatro fases para implementar una solución de sistemas de administración de seguridad de la información. La norma ISO 27001 puede considerarse como la última revisión de la norma BS 7799:2002 Parte 2, de la que ya había en el mundo previamente alrededor de 2.000 certificados. La familia ISO 27000 La siguiente figura resume las normas de seguridad de la familia 27000. Por ejemplo, la norma ISO 27002 detalla los requisitos de la norma 27001, proporcionando una guía de buenas prácticas que describe los objetivos de control y controles en cuanto a seguridad de la información con 14 dominios, 35 objetivos de control y 114 controles. No obstante, ISO 27002 no se considera una norma de certificación como 27001, sino una especificación de apoyo o buenas prácticas. Programa Profesional en Ciberseguridad 51 Módulo 3. Temas Tabla 7. Normas de la familia ISO 27000. Fuente: elaboración propia. Por ejemplo, en la ISO 27002 se incluye el siguiente control: «Medios físicos en tránsito: Los medios que contienen información debieran ser protegidos contra accesos no-autorizados, mal uso o corrupción durante el transporte más allá de los límites físicos de una organización.». Lógicamente, este control solo deberá diseñarse en caso de que se dé el citado tránsito. Introducción a la norma 27001 La norma ISO 27001 describe los requisitos de un Sistema de Gestión de la Seguridad de la Información (SGSI). Proporciona un marco común para la elaboración de las normas de seguridad de cualquier tipo de organización, estableciendo un método de gestión eficaz de la seguridad. Esta norma es la base del proceso de auditoría y certificación de los sistemas de seguridad de información de las organizaciones. El establecimiento del SGSI se realiza seleccionando una serie de controles elegidos en función de su importancia en la gestión del sistema de seguridad. Programa Profesional en Ciberseguridad 52 Módulo 3. Temas La siguiente tabla resume la estructura de la norma y sus principales contenidos. Tabla 8. Estructura de la norma y sus principales contenidos. Fuente: elaboración propia. En los procesos de un sistema de gestión de seguridad de la información se utiliza con frecuencia el modelo PDCA (Planear-Hacer-Comprobar-Actuar). Programa Profesional en Ciberseguridad 53 Módulo 3. Temas Figura 11. Procesos core de un SGSI. Fuente: elaboración propia. El proceso de planificación comienza con el diseño inicial del SGSI, incluyendo la evaluación de riesgos inicial y cómo se tratarán. Una vez se han diseñado los diferentes mecanismos de gestión (políticas, procedimientos, etc.) se ponen en marcha implantando y «ejecutando» el SGSI. En la fase de seguimiento y revisión será cuando se evalúe la marcha del mismo. Dependiendo del nivel de madurez del SGSI en esta fase de verificación se incluirán auditorías (internas o externas). Finalmente, a la luz de la evaluación realizada, se propondrán las mejoras al SGSI que pasarán a una nueva fase de diseño. Requisitos generales La adopción de un sistema de gestión de seguridad de la información es una decisión estratégica y se diseña e implanta de forma diferente en cada organización. Una organización debe definir el alcance y los límites del sistema de gestión de seguridad de la información de acuerdo con las características de la organización, su ubicación, activos y tecnología. Se deben establecer los objetivos de la política del sistema de gestión de seguridad de la información, identificando los posibles riesgos o amenazas que se podrían producir. Programa Profesional en Ciberseguridad 54 Módulo 3. Temas Ejemplo En una organización pequeña, puede que el alcance de SGSI sea toda la organización. No obstante, en organizaciones grandes no tiene por qué ser así. Por ejemplo, puede que el alcance en una empresa de venta por Internet abarque la parte de comercio electrónico, pero no el aprovisionamiento (si este se realiza de manera tradicional, sin conexión a Internet). En cualquier caso, al determinar el alcance es preciso indicar las localizaciones físicas afectadas (oficinas, departamentos), las funciones que quedan incluidas, y también los elementos tecnológicos cubiertos. Estos últimos se pueden definir por ejemplo mediante un diagrama de red. Requisitos de documentación La documentación del sistema de gestión de seguridad de la información deberá incluir la política, alcance y objetivos del SGSI, así como los diferentes procedimientos y controles de seguridad del sistema. La documentación será más o menos amplia dependiendo de la organización y de las diferentes actividades que desarrolle. Por tanto, el alcance y complejidad de los requerimientos de seguridad variarán en función de estas circunstancias. La dirección debe aprobar un documento de política de seguridad de la información, que deberá publicar y comunicar a todos los empleados y entidades externas relevantes. Se deben aprobar los documentos previamente a su distribución, revisando y actualizando los documentos según las necesidades requeridas, y siempre que se garantice que los documentos están periódicamente actualizados. Programa Profesional en Ciberseguridad 55 Módulo 3. Temas Figura 12. Jerarquía de la documentación. Fuente: elaboración propia. Compromiso de la dirección La Norma ISO 27001 especifica la obligación de suministrar evidencias del compromiso planteado, tanto en el desarrollo como en la implantación y mejora del sistema, en los siguientes aspectos: En el proceso de comunicación interna al personal de la organización de la gestión de la seguridad de la información en la empresa. En el establecimiento de la política y los objetivos del sistema de gestión de seguridad de la información de la empresa. En la revisión periódica del desempeño del sistema de gestión. En el aseguramiento de la disponibilidad de los recursos necesarios para la plena efectividad del sistema. Programa Profesional en Ciberseguridad 56 Módulo 3. Temas Responsabilidades Las responsabilidades y sus correspondientes autoridades deben estar perfectamente definidas en cualquier organización o empresa. La Norma ISO requiere que la alta dirección asegure que se cumplan estos requisitos y que las responsabilidades sean comunicadas dentro de la organización, valorando el tamaño, complejidad y cultura de la organización. Se puede nombrar un representante de la dirección que tendrá la responsabilidad de: Asegurar que los procesos del sistema de gestión de seguridad de la información se implanten y funcionen. Informar a la alta dirección sobre el desempeño del sistema y de cualquier oportunidad de mejora. Revisión por la dirección La dirección debe desarrollar una actividad de revisión que implique la verificación de la eficacia y efectividad del sistema de gestión de seguridad de la información para asegurar su plena validez. El proceso de revisión por la dirección no debería ser un planteamiento realizado solamente para satisfacer los requisitos de la norma o de los auditores, sino que debería ser una parte integral de los procesos de gestión de la organización. Programa Profesional en Ciberseguridad 57 Módulo 3. Temas Estándar ISO 22331 Antecedentes El estándar ISO 22301 tiene su origen fundamentalmente en la norma británica BS 25999. Está enfocada a responder y proteger a las entidades ante contingencias que pudieran poner en riesgo el normal funcionamiento de los procesos críticos de la entidad. Su alcance comprende situaciones críticas provocadas por agentes meteorológicos, huelgas, cortes prolongados de suministros, enfermedades con gran alcance, atentados terroristas, etc. Introducción Los objetivos fundamentales de la norma son: Identificar y gestionar las amenazas para los procesos críticos que sustentan los objetivos de negocio. Incrementar la resiliencia de forma proactiva de la entidad de cara a poder sobreponerse a una eventual crisis o contingencia. Recuperar los procesos críticos cuanto antes en caso de desastre minimizando los tiempos de parada. Aumentar la confianza ante clientes y proveedores demostrando la adhesión a las mejores prácticas en continuidad de negocio. La nueva norma 22301 pone especial énfasis en la definición de objetivos y su control mediante indicadores y en la responsabilidad y necesidad de la involucración por parte de la dirección para una implantación satisfactoria de la norma en la entidad. Programa Profesional en Ciberseguridad 58 Módulo 3. Temas Estructura Sigue una estructura similar a la ya vista en la ISO 27001 pero lógicamente enfocado a implantar un Sistema de Gestión de la Continuidad del Negocio (SGCN) en lugar de un SGSI. Tabla 9. Estructura de la norma ISO 22301. Fuente: elaboración propia. Requisitos La ISO 22301 especifica los requisitos para la planificación, implantación, operación, supervisión, mantenimiento y mejora continua de un sistema de gestión para proteger a la entidad ante disrupciones y a su vez para reducir la probabilidad de que éstos se produzcan y recuperarse de los mismos en caso de impacto. Programa Profesional en Ciberseguridad 59 Módulo 3. Temas Es importante tener claro que los requisitos de la norma son genéricos y están enfocados a garantizar que los riesgos que pudieran afectar a la continuidad de una organización se gestionan y tratan de forma adecuada. Por último, los requisitos han sido especificados de tal forma que puedan ser aplicados a cualquier organización independientemente del tipo de empresa o sector, su tamaño o fin de la entidad. Plan de continuidad del negocio El plan de continuidad de negocio define las medidas con las que cuenta la entidad para responder en caso de contingencia grave o desastre. El objetivo es mantener los procesos críticos disponibles o al menos reducir la parada de los mismos a un tiempo aceptable para las operaciones de la empresa, tratando de restaurar la normalidad en los mismos en un tiempo adecuado que no suponga un impacto (en términos económicos, reputacionales, etc.) para la empresa que pudiera causar consecuencias críticas para la misma. Figura 13. Plan de continuidad del negocio. Fuente: elaboración propia. Programa Profesional en Ciberseguridad 60 Módulo 3. Temas En primer lugar, se determina el alcance del PCN. A continuación, se analiza el contexto de la organización y su funcionamiento. En esta fase se realizará el Análisis de Impacto de Negocio (BIA por sus siglas en inglés) para identificar los procesos críticos de negocio y se llevará a cabo un análisis de riesgos que permita conocer las principales amenazas de la organización y en qué estado se encuentra actualmente para responder a las mismas. Una vez conocido el estado de la entidad y sus procesos críticos, la organización deberá tomar una decisión acerca de la estrategia de continuidad que quiere tomar para dar respuesta a eventuales contingencias. Para ello categorizara los activos, determinara cómo responder ante su indisponibilidad y de qué forma los procesos críticos podrían seguir funcionando en ese caso. Cuando las decisiones estratégicas han sido tomadas, se traducen estas líneas de actuación a planes más operativos como el Plan de Crisis (cómo reaccionar a nivel organizativo y qué acciones llevar a cabo) y el Plan de Restauración (conocido como Plan de Recuperación ante Desastres, enfocado a la restauración de la infraestructura), todo ellos soportado por los correspondientes procedimientos y guías técnicas que reflejen a bajo nivel los pasos a dar para cumplir lo definido previamente a nivel estratégico. Como parte del proceso de mejora continua, el PCN deberá contar a su vez con un plan de mantenimiento y con planes de prueba que verifiquen la eficacia y eficiencia del mismo. Finalmente, se ha demostrado como indispensable en un PCN, la necesidad de formación y entrenamiento del personal involucrado para un correcto funcionamiento del plan en caso de Desastre y para permitir su mejora continua. Según el Disaster Recovery Institute el 90 por ciento de las empresas que tienen pérdidas significativas de datos quiebran en un plazo de tres años. Programa Profesional en Ciberseguridad 61 Módulo 3. Temas Modelos de madurez para la seguridad de la información Un modelo de madurez sirve para situar y evaluar el grado de desarrollo de una gestión sistemática, predecible y optimizable. Estos modelos se han popularizado en el contexto del desarrollo de software, pero poco a poco han sido adaptados a otros dominios, incluyendo el de la seguridad de la información. En lo que sigue introducimos uno de esos modelos, el CMMI, quizá el más conocido y extendido en la actualidad. Es importante tener en cuenta que las ideas del CMMI se han aplicado recientemente a los servicios (Forrester, Buteau and Shrum, 2009). Posteriormente describimos un modelo de madurez específico de la seguridad de la información. El modelo de madurez CMMI El modelo CMMI, acrónimo del inglés Capability Madurity Model Integration, es una evolución de un modelo anterior denominado CMM inicialmente desarrollado por el Instituto de Ingeniería del Software (SEI) de la Universidad Carnegie Mellon. El SEI llevó a cabo el encargo de desarrollar un modelo de calidad que sirviera como base para establecer un sistema de capacitación de las compañías que suministraban software al gobierno de los Estados Unidos. Dicho modelo fue definido como: «Un enfoque para la mejora de procesos que proporciona a una organización los elementos esenciales para llevar a cabo sus procesos de manera efectiva. Pued

Tema 1 - Módulo 3: Diseño de Planes de Seguridad - PDF

Document Details

Tags

Related

Summary

Full Transcript