Categoría: Seguridad de la Información
Recientemente
publiqué en Twitter que analizaría una
noticia que encontré en CSO. Esta noticia titula "El enfoque tradicional de la seguridad TI ya no es aplicable, según Ernst & Young". Me llamó la atención cuando lo analicé desde el punto de vista de cómo plantea ISO 27001 la seguridad de la información mediante un enfoque basado en proceso. Cada cosa que leía me planteaba más dudas sobre las afirmaciones que allí se hacen. Esta noticia está basada en una entrevista hecha a Gerry Chng. Aquí dejo mi opinión al respecto sin el ánimo que se entienda como una crítica sino simplemente como un punto de vista. No dudeis en darme el vuestro propio.
Chng cree limitarse a cuestiones como securizar la infraestructura, evitar la entrada de hackers o centrarse en el mantenimiento de la conformidad con las normas son algunas de las medidas de seguridad que han ido quedando obsoletas, teniendo en cuenta la emergencia de nuevas tecnologías.
Entiendo que se refiere a la conformidad legal, no a la conformidad normativa en términos de seguridad según ISO 27001 porque allí precisamente se detallan todos los ámbitos de seguridad que se deben tener en cuenta (organizativo, físico, ambiental y lógico).
La necesidad de centrarse en la información misma se hace, según este experto, evidente a la luz de los diversos incidentes que se produjeron el año pasado cuando se robaron datos de forma masiva de diversas grandes organizaciones, como consecuencia de su negligencia en cuanto a la seguridad.
Una conducta negligente en cuanto seguridad implica que los riesgos no se estaban gestionando y/o las leyes aplicables no se estaban cumpliendo. Una vez el riesgo se encuentra gestionado se ha tomado una decisión acerca de si se Mitiga, Transfiere, Evita o Acepta y lo único que se podría echar en cara es que en algún momento durante el Análisis de Riesgos y/o aplicación del Plan de tratamiento de riesgos, hubo alguna desviación ya que la seguridad al 100% no es alcanzable. Habría que conocer los diferentes casos y las explicaciones que se han dado para cada uno de ellos, sinceramente me gustaría saber a cuales se refiere exactamente (igual se lo pregunto y os lo cuento).
Chng señala el cloud computing como ejemplo de tecnología llamada a cambiar el enfoque que las empresas hacen de la seguridad de su información, principalmente porque en este modelo los datos no residen en las instalaciones corporativas. “Cloud computing presenta una fuerte dependencia de Internet y, por tanto, hace más crítico que no se produzcan caídas en la conectividad para mantener la continuidad del negocio”, explica.
Ah!, ahora se a lo que se refería cuando decía: "teniendo en cuenta la emergencia de nuevas tecnologías". Y tiene mucha razón, pero ahí está otra vez 27001, el análisis de riesgos y la gestión de relaciones con terceros. Será la organización la que tendrá que decidir si realmente quiere que sus activos estén en una ubicación que no es de su propiedad y en ese caso, estimar las garantías necesarias que debe cumplir el depositario de la información. Todo esto tendrá que trasladarse a la relación contractual. Derecho a Auditoría, Conformidad con ISO 27001 con alcance a todos los procesos de almacenamiento, indemnizaciones por incumplimiento, SLAs, etc serán algunas de las medidas a contemplar.
En cuanto a la conformidad, debe enfocarse con cuidado, según Chng, y no convertirla en el principal criterio para considerar que la información está adecuadamente protegida. “La conformidad con las reglas internas y legales no se traduce necesariamente en una buena seguridad. Puede resultar de gran ayuda pero resulta cara, y no es sostenible”, asegura, defendiendo que la mejor estrategia al respecto consiste en comprender lo que se pretende con las normas exigidas y enfocar la conformidad como una práctica de seguridad producto a producto.
Estoy de acuerdo en que la conformidad con la legislación aplicable no es requisito suficiente para una buena seguridad. El mejor ejemplo lo tenemos con la LOPD y su Reglamento de Desarrollo. Su cumplimiento no garantiza la seguridad pero no es una elección, sea como sea de cara y de difícil de sostener. Coincido en que no se debe caer en que el cumplimiento legal es, a día de hoy, una garantía de seguridad en un alcance organizativo, pero a su vez no entiendo cómo hay quien se plantea cumplir la ISO 27001 sin ni siquiera haberse planteado cumplir la LOPD.
Teniendo en cuenta todas estas consideraciones, en opinión de Chng, una buena estrategia de seguridad de la información debería incorporar cuatro elementos: gestión proactiva y continua de la seguridad en lugar de reactiva y puntual; iniciativas de seguridad efectivas en costes para satisfacer los requerimientos regulatorios; definir las fronteras de los retos operacionales; y atender a los riesgos derivados de las tecnologías emergentes.
Y esto es (salvo connotaciones de índole económico) lo que promulga ISO 27001, que por si cabe alguna duda es ya desde hace algún tiempo el enfoque actual de seguridad.
Tras más de una lectura se puede llegar a la conclusión de que la intención de Gerry Chng es probablemente incentivar la protección basada en la información y de forma indirecta las normativas de cumplimiento voluntario que la gestionan, pero creo que la traducción, en ocasiones, si no "interpretas" juega malas pasadas, en este caso, por culpa del término "normativa".
Todo comentario es bienvenido, como siempre.
Salu2!