Los riesgos asociados a la Seguridad de Información

Por Micaela Marsal G.
Senior Consultant en EY Paraguay
Especialista en Seguridad de la Información

 

Gestión de incidentes de seguridad de la información basado en iso 27035:2011

La información es uno de los activos más preciados y de mayor importancia para las organizaciones. Las mismas se encuentran expuestas a amenazas de gran escala así como a ciberataques, cualquiera sea su estructura, ubicación o ámbito de negocio. En el contexto aquí tratado, se entiende por información todo aquel conjunto de datos organizados en poder de una organización u empresa, que sean de valor para la misma, independientemente de la forma en que se almacene, se transmita y de su origen. Cuando no existe una gestión ni mantenimiento adecuado de los sistemas de seguridad de la información, las organizaciones corren el riesgo de sufrir graves pérdidas económicas e impactos no deseados en la reputación e imagen organizacional. Es sumamente necesario asegurarse de que una organización haya instaurado los controles adecuados para mitigar los riesgos que suponen tales las amenazas, por lo que la implantación de un Sistema de Gestión de Seguridad de la Información, ha pasado de ser opcional a estrictamente necesario.  Un Sistema de Gestión de Seguridad de la Información, hace hincapié en la gestión basada en los riesgos existentes de los activos de información y en la gestión de incidentes de seguridad de la información. Ambos alimentan al sistema y proveen de mecanismos necesarios para la aplicación de los controles de seguridad que ayudaran a evitar la materialización de las amenazas a las que está expuesta la organización. Normalmente se tiende a equiparar seguridad de la información con seguridad informática; este último sólo toma en consideración la seguridad en el medio informático, sin embargo la información puede encontrarse en diferentes formas. De acuerdo a lo definido por la norma ISO 27001:2013, uno de los objetivos claves de la seguridad de la información consiste en la preservación de la confidencialidad, integridad y disponibilidad de la misma, así como de los sistemas implicados en su tratamiento. En tal sentido:

• Confidencialidad: se refiere a que la información que se encuentra a disposición no se revela a individuos, entidades o procesos no autorizados.

• Integridad: establece el mantenimiento de la exactitud y completitud de la información y sus métodos de procesamiento.

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando lo requieran. En este contexto, uno de los componentes claves del Sistema de Gestión de la Seguridad de la Información, es el proceso de gestión de incidentes de seguridad de la información.

El término incidente, en el ámbito de las Tecnologías de Información y Comunicaciones, se refiere a la interrupción no planificada de un servicio de tecnología de la información o una reducción de la calidad de del mencionado servicio. (Ej. La falla de un disco físico correspondiente a un conjunto de discos espejados). La Gestión de Incidentes implica también la restauración a una operación normal del servicio afectado lo más rápido posible, minimizando el impacto en el negocio y asegurando la conservación de los niveles acordados de calidad y disponibilidad. Existen marcos, normas y metodologías que definen mejores prácticas y guían en la implementación de un modelo de gestión de incidentes. Por ejemplo: la norma ISO 27001 para la Gestión de Seguridad de la Información, el marco referencial ISO 27035 de Gestión de Incidentes de Seguridad de la Información, el marco de referencial COBIT 5 y el conjunto de libros de gestión de servicios ITIL, hacen hincapié especialmente en el análisis de riesgos, en la notificación de eventos, el diseño de políticas y procedimientos, así como en la designación de responsabilidades para una gestión eficiente de los incidentes de seguridad de la información.

El objetivo que persigue la comunicación de los eventos, es el de garantizar que las causas, los tratamientos y la solución de los mismos, sirvan para la implementación de acciones preventivas y correctivas. Para lograr esto, se deben implementar canales apropiados que garanticen la agilidad en la comunicación, y permitir que los usuarios reporten las debilidades identificadas o que entiendan que las mismas pueden ser explotadas y así utilizarse para poner en riesgo la seguridad de los datos de la empresa. Así bien, la Norma ISO 27001:2013: define los requerimientos para establecer, implementar, mantener y mejorar de manera continua un sistema de gestión de la seguridad de la información (SGSI), dentro del contexto de una organización. Esta Norma, incluye además, los requisitos para la evaluación y tratamiento de los riesgos de la seguridad de la información que se adaptan a las necesidades de cada organización. El Anexo A de la Norma, contiene 114 controles, agrupados en 14 dominios, dentro de los cuales se encuentra en el Dominio A.16 Gestión de Incidentes de Seguridad de la Información.

Asimismo, el Marco de Referencia y mejores prácticas, COBIT (Control Objectives for Information and related Technology) consiste en una guía dirigida al control y supervisión de las Tecnologías de la Información y Comunicaciones (TIC) presentada por ISACA (Information Systems Audit and Control Association), también incluye la gestión de incidentes en el proceso DSS02 “Gestionar las Peticiones y los Incidentes de servicios”, mencionando las mejores prácticas para la gestión de incidentes. Cabe mencionar, que el actual Manual de Gestión y Control de Tecnologías de la Información para Entidades Financieras (MGCTI), puesto en vigencia en noviembre de 2017 por la Superintendencia de Bancos del Banco Central del Paraguay, está basado en COBIT 5, e incluye la gestión de incidentes en el proceso ES.02. Gestionar Incidentes y Solicitudes de Servicios. El modelo de gestión de incidentes sugerido, describe lineamientos de la Norma ISO 27035:2011, cuyo marco referencial rescata que la gestión de incidentes de seguridad se encuentra organizada en 5 fases:

  • Planear y Preparar: En esta fase se planifica y se definen las políticas de gestión de incidentes de seguridad, alineadas a las políticas de seguridad de la información de la organización y al análisis de riesgos, además de concientizar a la Alta Dirección. Se debe definir un equipo de respuesta ante incidentes de seguridad de la información (ERI).
  • Detección y Reporte: Incluye la detección y el registro o reporte del incidente, donde se realiza la recolección asociada al incidente.
  • Evaluación y Decisión: Es la evaluación de la información recolectada y un análisis para validar si el evento reportado es un incidente de seguridad.
  • Respuesta: Respuesta al incidente de seguridad, con el análisis forense si fue necesario realizarlo, dependiendo de la decisión tomada en la fase de Evaluación y Decisión, y la respectiva entrega del reporte a las personas involucradas.
  • Lecciones Aprendidas: Se identifican las lecciones aprendidas del incidente de seguridad y se aplican mejoras al proceso. La Gestión de Incidentes de Seguridad de la Información, es una orientación sobre “cómo hacer” para detectar, notificar y evaluar incidentes de seguridad de la información y las vulnerabilidades.

La implementación del modelo de gestión de incidentes de seguridad de la información ofrece ventajas para las organizaciones, como por ejemplo:

  • Mejorar la seguridad de la información.
  • Reducir los impactos adversos ante los interesados claves.
  • Reforzar el enfoque de prevención, establecimiento de prioridades y la evidencia de incidentes de seguridad de la información.
  • Contribuir a las justificaciones presupuestarias y de recursos.
  • Mejora continua en la evaluación de riesgos de seguridad de información y los resultados de la gestión.
  • Proporcionar una mayor conciencia en seguridad de la información dentro de la organización.
  • Cumplir con los requerimientos regulatorios. Ej.: MGCTI
informaciónseguridad