Controles de Riesgo de Seguridad de Información
INCIBE (2015) define los controles como “medidas de protección para reducir el riesgo”. Los controles también se definen como salvaguardas que contribuyen en la reducción del impacto que produce una amenaza o en todo caso, la frecuencia con que esta aparece. Estos se clasifican en controles preventivos, controles detectivos, controles de protección y controles correctivos.
- Controles Preventivos: actúan sobre la causa del riesgo con la finalidad de disminuir su probabilidad de ocurrencia. Constituyen la primera línea de defensa.
- Controles Detectivos: Son la segunda línea de defensa y se utilizan para verificar la eficacia de los controles preventivos. Alertan sobre la presencia de los riesgos permitiendo tomar acciones inmediatas.
- Controles de protección: se utilizan para minimizar los efectos de los riesgos, requieren refuerzo en capacitación y son más costosos que los controles preventivos.
- Controles correctivos: se utilizan cuando los controles anteriores no funcionan y permiten mejorar su eficiencia. Son más costosos porque actúan después que el daño está hecho. Este tipo de control suele ser administrativo y requiere de políticas o procedimientos para su ejecución. (Portal del MECIP, 2019)
Antes de implementar un control se deben identificar los controles existentes para determinar si será necesario o no implementar uno nuevo. A medida que se van identificando, es conveniente que se pruebe su correcto funcionamiento y en base al resultado tomar una decisión más objetiva (MINTIC, 2019). De requerirse un nuevo control, se deben tomar en cuenta los siguientes puntos: efectividad del control a implementar, adecuación a las leyes y normas vigentes, impacto operacional de las modificaciones, confiabilidad del control seleccionado (Universidad Nacional de Luján, 2019). Adicional a lo anterior, también es importante identificar, clasificar y valorar la información o activo a proteger, considerar el impacto que tendrá sobre la información que se maneja, la naturaleza de los controles a implementar y el coste de los mismos (INCIBE, 2019c).
Existen un sinnúmero de controles definidos y/o propuestos por varias normativas internacionales; algunos se aplican para áreas en específicos y otros son de manera general. La aplicabilidad de los mismos dependerá del activo a proteger y las amenazas a las que está expuesto, entre otras cosas. Dentro de los controles que a modo general puede utilizar cualquier empresa, independientemente de su naturaleza, están:
- Control de acceso a la información;
- Copias de seguridad (backup);
- Cifrado de información;
- Desechado y reutilización de soportes y equipos;
- Almacenamiento en la nube;
- Contratos de confidencialidad. (INCIBE, 2019c)
Gestión de Riesgos de Seguridad de la Información
Toda actividad que se preocupa por mantener los riesgos por debajo del umbral que se ha fijado (apetito de riesgo) es parte de la Gestión de Riesgos. La Gestión de Riesgos está compuesta por dos actividades básicas que son: el análisis de riesgo y el tratamiento de los riesgos. (INCIBE, 2015)
El análisis de riesgo consta de varios pasos o fases, las cuales pueden variar dependiendo de la metodología utilizada. Estas fases son:
- Fase 1- Definir el alcance: ¿dónde se van analizar los riesgos?, ¿qué se va a analizar?
- Fase 2- Identificar los activos: identificar los activos más importantes y la relación que guardan con el área o proceso objeto de estudio.
- Fase 3- Identificar amenazas: dado al gran número de amenazas que existen, se debe mantener un enfoque práctico y aplicado.
- Fase 4- Identificar vulnerabilidades y controles: En esta fase se estudian las características de los activos para así identificar sus vulnerabilidades.
- Fase 5- Evaluar el riesgo: al llegar a esta fase ya se cuenta con un inventario de activos, las amenazas a las cuales están expuestos, sus vulnerabilidades y los controles que se tienen; por lo que se puede calcular el riesgo.
- Fase 6- Tratar el riesgo: Una vez que se tenga el riesgo, existen 4 estrategias que se le pueden aplicar; estas son: transferirlo a un tercero, eliminarlo, asumirlo o colocar los controles necesarios para mitigarlo. (INCIBE, 2017b)
Metodologías para la Gestión de Riesgos. Para la gestión de riesgos de seguridad de la información existen diversas guías de buenas prácticas y/o metodologías que pueden ser adoptadas por las empresas tomando en cuenta la naturaleza del negocio. Dentro de las metodologías más destacadas internacionalmente están:
- ISO 31000: es una norma internacional que fue creada por la International Organization for Standardization y se caracteriza por la identificación, análisis, evaluación, tratamiento, comunicación y seguimiento de cualquier tipo de riesgo que afecte a la empresa.
- ISO 27005: norma internacional que fue elaborada por la International Organization for Standardization. Ofrece recomendaciones y directrices para la gestión de riesgos de seguridad de la información, siguiendo los requisitos de ISO 27001.
- MAGERIT: esta metodología fue elaborada por el Consejo Superior de Administración Electrónica en España, se caracteriza por evaluar cuánto pone en juego una compañía en un proceso y cómo protegerlo.
- OCTAVE: es una metodología de reconocimiento internacional y fue desarrollada por Software Engineering Institute. Se caracteriza por ofrecer un conjunto de criterios a través de los cuales se pueden crear otros.
- NST 800-30: Metodología de reconocimiento internacional y creada por National Institute of Standards and Technology. Busca asegurar los sistemas de información.
- CRAMM: es reconocida internacionalmente, elaborada por Central Computer and Telecommunications Agency (CCTA). Se caracteriza por la identificación y valoración de activos, amenazas y vulnerabilidades, así como también la selección de contramedidas. (García, 2016)
Una buena y adecuada gestión de riesgos reduce costes en la empresa, incrementa el nivel de satisfacción de los clientes y empleados, conduce al logro de los objetivos organizacionales, contribuye a evitar situaciones que generan pérdidas inesperadas, etc. (García, 2017b)
Norma ISO/IEC 27005
La serie de normas ISO/IEC 27000 (Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Visión general y vocabulario) está alineada a los riesgos de seguridad de la información y el tratamiento que se les debe dar a los mismos. ISO/IEC 27005 (Tecnología de la información – Técnicas de seguridad – Gestión del riesgo de la seguridad de la información) es parte de esa serie, “Cita ISO/IEC 27000 como un estándar normativo (esencial) y menciona ISO/IEC 27001, ISO/IEC 27002 e ISO 31000 en el contenido” (Noticebored, 2019a). Esta norma publicada en junio del 2008, brinda una serie de pautas y recomendaciones para la gestión de riesgos de seguridad de la información. Para su comprensión y aplicación es importante conocer y entender el contenido de las normas ISO/IEC 27001 e ISO/IEC 27002 (Arevalo, 2014).
Acorde a lo indicado por ISOTools Excellence (2018a), este estándar “…es compatible con los conceptos generales especificados en la norma ISO 27001 y está diseñado para ayudar a la implementación y satisfacción de la seguridad de la información en función de un enfoque de gestión de riesgos.” Esta norma sirve como complemento a la ISO/IEC 27001.
A pesar de no especificar ningún método de gestión de riesgos, proporciona un proceso continuo compuesto de las siguientes actividades secuenciales:
- Establecer el contexto de la gestión de riesgo.
- Evaluar de manera cuantitativa o cualitativa los riesgos asociados a información relevante.
- Tratar los riesgos, es decir, el tratamiento que se les dará dependiendo de si se van a aceptar, evitar o compartir.
- Comunicar los riesgos, en otras palabras, mantener informada a la parte interesada durante todo el proceso.
- Monitorear y supervisar los riesgos; esto implica darle seguimiento a los controles establecidos e identificar los cambios significativos que han surgido para darles una respuesta adecuada.
ISO/IEC 27001. (Tecnología de la información – Técnicas de seguridad – Sistemas de gestión de seguridad de la información – Requisitos.) Es uno de los estándares más populares de ISO y está relacionado a los Sistemas de Gestión de Seguridad de la Información (SGSI). Su objetivo es garantizar la confidencialidad, integridad y disponibilidad de la información dentro de la empresa. Esta norma es certificable y la versión más reciente es del año 2013. Al igual que otras normas ISO, puede ser aplicada a cualquier tipo de organización, (27001 Academy, 2019). Según ISOTools Excellence (2018b), “Dicha norma describe cuales son las buenas prácticas a la hora de implementar un Sistema de Gestión de Seguridad de la Información”.
Algunas de las ventajas que adquieren las empresas al implementar ISO/IEC 27001 son:
- Cumplimiento de requisitos legales;
- Se obtiene mayor competitividad en el mercado;
- Al reducir los incidentes de seguridad, se reducen los costos;
- Mejora la organización empresarial.
ISO/IEC 27002. (Tecnología de la información – Técnicas de seguridad – Código de prácticas para controles de seguridad de la información) Es otra norma ISO perteneciente a la serie ISO/IEC 27000 y al igual que la ISO/IEC 27005 complementa a la ISO/IEC 27001. Según ISOTools Excellence (2016), esta norma “tiene como objetivo principal establecer, implantar, mantener y mejorar de forma continua la seguridad de la información de la organización”. De igual forma indica que es una guía para la implantación de controles con la finalidad de proteger la información.
La norma está compuesta por 14 capítulos y 114 controles los cuales no tienen porque cumplirse en su totalidad, pero sí deben ser tomados en cuenta como referencia al momento de implementar otros controles. Cada capítulo es respaldado al menos con un objetivo. Dichos capítulos se listan a continuación:
- Políticas de seguridad de la información.
- Organización de la seguridad de la información.
- Seguridad de Recursos Humanos.
- Gestión de activos.
- Control de Accesos.
- Criptografía.
- Seguridad física y del entorno.
- Seguridad de las operaciones.
- Seguridad de las comunicaciones.
- Adquisiciones, desarrollo y mantenimiento de los sistemas de información.
- Relación con los proveedores.
- Gestión de incidentes de seguridad de la información.
- Aspectos de seguridad de la información para la gestión de continuidad del negocio.
- Cumplimiento.
Toda organización que adopte la norma ISO/IEC 27002 debe evaluar sus propios riesgos, aclarar sus objetivos de control y aplicar los controles adecuados utilizando la norma como guía. (ISOTools Excellence, 2016; Noticebored, 2019b)
Concienciaciones
Cuando de seguridad de la información se trata, el factor humano juega un papel bien importante ya que los empleados son quienes tienden a manipular la información y quienes cometen errores con mayor frecuencia. Secure Information Technologies (2019) indica que “La falta de conciencia en los requerimientos de seguridad y las necesidades de control por parte de los administradores de sistemas, operadores, programadores y usuarios puede representar el riesgo más importante para nuestra organización.”
El personal no concienciado en seguridad de la información, al igual que en los riesgos a los que está expuesta la información, tiende a ser vulnerable de cometer faltas que en lo adelante puede afectar significativamente a la organización; ejemplo de estas faltas es el compartir su contraseña o dejarla escrita en un lugar visible o de fácil acceso; de igual forma este personal puede llegar a ser víctima de un ataque de ingeniería social como phishing donde el atacante sustrae información confidencial utilizando como medio principal el correo electrónico, etc. Secure Information Technologies (2019). Según Ona Systems (2019), otras maneras en cómo la seguridad de la información puede verse en peligro es a través de:
- Código Malicioso.
- Usurpación de Identidad.
- Inadecuada eliminación de información.
- La no correcta clasificación de la información.
- Violación de la propiedad intelectual.
- Control de Acceso.
Estas son razones por las cuales se debe pensar que la seguridad de la información no solo debe basarse en la adquisición de nuevas tecnologías, sino que también “… es preciso crear programas de concienciación de seguridad para que la estrategia esté completa.” Ona Systems (2019)
En ese mismo orden de ideas, INCIBE (2019a) expresa que existen riesgos que surgen por desconocimiento o desinformación y que pueden colocar a la empresa en una condición crítica. Al mismo tiempo indica que para ello se pueden formar a los usuarios implementando concienciaciones relacionadas a la ciberseguridad. Reforzando lo anterior, de acuerdo a los resultados del “…informe sobre las amenazas para la seguridad en Internet 2017 de Symantec, uno de cada 131 correos electrónicos contiene malware. Si los empleados no tienen la formación adecuada, hay muchas probabilidades de que alguno de ellos provoque una amenaza.” (Symantec, 2019). Al mencionar formar a los empleados en temas relacionados a la protección de la información, no sólo se debe pensar y/o involucrar el personal de tecnología de la información (TI), sino a todo el personal de la empresa, desde el más alto nivel hasta el más bajo; tomando en cuenta que no todos necesitan el mismo tipo y grado de formación.
Según INCIBE (2019b), hoy día para que las empresas puedan mantener un nivel apropiado de seguridad deben tomar en cuenta lo siguiente:
- Realizar acciones de formación en seguridad para los empleados.
- Establecer políticas, normativas y procedimientos de seguridad.
- Supervisar que se cumplan las buenas prácticas en seguridad.
- Realizar acciones de sensibilización y concienciación en seguridad para los empleados.
Este último punto (4), es sumamente importante ya que si los empleados no se sienten identificados con la empresa y no saben la importancia del rol que desempeñan al manipular la información a la cual tienen acceso, no importan los controles que se tomen o apliquen para proteger este activo tan esencial; al final terminará en fracaso. “La concienciación incrementa el nivel de seguridad de la organización… Concienciar en seguridad de la información es rentable para la empresa”. (INCIBE, 2019b)