Comercio electrónico

Criptología y seguridad

Cuestiones legales

Intimidad y privacidad

Virus

Por Álvaro Cabrera Martín

La evolución de las nuevas tecnologías, en especial el tremendo auge de las tecnologías Internet/Intranet, ha provocado la aparición de nuevas necesidades y la posibilidad de adquirir ventajas competitivas. Además hay que aclarar que lo que inicialmente partió como una opción de negocio se está transformando en una elección obligada si se desea mantener la posición en el mercado frente a los competidores; así, hasta los más reacios han debido claudicar ante la evidencia aplastante.

Los beneficios atribuibles a las nuevas tecnologías son muchos, pero también los riesgos: La pérdida de imagen (a menudo más crítica que la propia perdida de datos), la perdida de información, la suplantación de usuarios, el espionaje de información sensible o incluso el cumplimiento de la normativa vigente.

A pesar de lo cambiante del entorno, los requisitos de seguridad siguen siendo los mismos: Autenticación, confidencialidad, control de acceso, integridad y no repudio; aunque los objetivos y la implementación de los mismos evoluciona a velocidad vertiginosa.

LA PROBLEMÁTICA DE SEGURIDAD

A lo largo de los últimos años los problemas de seguridad que se vienen observando en las empresas y organismos han sido una constante recurrente; se pueden diferenciar en tres grandes grupos:

Los problemas estructurales

• Habitualmente la estructura de la organización no se hace pensando en la seguridad por lo que no hay una definición formal de las funciones ni responsabilidades relativas a seguridad.
• No suelen existir canales de comunicación adecuados para tratar incidentes de seguridad, predominando los canales de tipo informal y el boca a boca.
• Exceptuando determinados ambientes como la banca o la defensa, no suelen existir recursos específicos dedicados a seguridad, y cuando existen suelen dedicarse a la seguridad física (puertas, alarmas, dispositivos antincendios, etc.) por ser más fácilmente justificable su adquisición.

Problemas en el planteamiento

• Los planteamientos de seguridad suelen adolecer de falta de coherencia ya que no suelen ser ni suelen están adaptados a las necesidades de la empresa.
• Habitualmente las directrices no son homogéneas en toda la organización.
• Como consecuencia de la falta de definición de funciones, nadie quiere responsabilizarse de los riesgos asumidos en la organización y nadie quiere adoptar medidas que puedan dificultar el proceso de negocio.
• No se definen normas ni procedimientos salvo cuando su ausencia puede afectar al propio negocio (por ejemplo la existencia de copias de seguridad) o tras un incidente grave de seguridad.
• Al no existir beneficios inmediatos, resulta difícil justificar gastos y recursos.

El problema tecnológico

• A pesar de la opinión generalizada, la tecnología no es la panacea: Las herramientas son un soporte, pero si no hay una base con ideas sólidas no solucionan los problemas.
• Además, las herramientas existentes, de por sí, no cubren todas las necesidades.
• La sensación de falsa seguridad provocada por la excesiva confianza en las soluciones tecnológicas induce a bajar la guardia.

Resumiendo, la situación real suele ser que en las empresas y organismos el negocio y la imagen se anteponen a la seguridad. La organización crece e implementa soluciones de seguridad de acuerdo a necesidades puntuales, no hay definida una estrategia, ni normas ni procedimientos, es decir, lo habitual es que no se contemple expresamente la seguridad.

El problema principal que se desprende de todo lo anterior es que normalmente no se conoce el riesgo que se está asumiendo.

PLANIFICANDO LA SEGURIDAD

Una vez identificados los problemas generales llega la pregunta que supone el principal escollo para desarrollar un plan que corrija la situación: ¿cómo se debe abordar la seguridad en la organización?

El Plan de Seguridad debe ser un proyecto que desarrolle los objetivos de seguridad a largo plazo de la organización, siguiendo el ciclo de vida completo desde la definición hasta la implementación y revisión.

La forma adecuada para plantear la planificación de la seguridad en una organización debe partir siempre de la definición de una política de seguridad que defina el QUÉ se quiere hacer en materia de seguridad en la organización para a partir de ella decidir mediante un adecuado plan de implementación el CÓMO se alcanzarán en la practica los objetivos fijados.

La Política de Seguridad englobará pues los objetivos, conductas, normas y métodos de actuación y distribución de responsabilidades y actuará como documento de requisitos para la implementación de los mecanismos de seguridad. La política debe contemplar al menos la definición de funciones de seguridad, la realización de un análisis de riesgos, la definición de normativa y procedimientos, la definición de planes de contingencia ante desastres y la definición del plan de auditoría.

A partir de la Política de Seguridad se podrá definir el Plan de Implementación, que es muy dependiente de las decisiones tomadas en ella, en el que se contemplará: el estudio de soluciones, la selección de herramientas, la asignación de recursos y el estudio de viabilidad.

Hay dos cuestiones fundamentales que deberán tenerse en cuenta para implantar con éxito una política de seguridad: Es necesario que la política sea aprobada para que este respaldada por la autoridad necesaria que asegure su cumplimiento y la asignación de recursos; y es necesario que se realicen revisiones periódicas que la mantengan siempre actualizada y acorde con la situación real del entorno.

La Política de Seguridad y el Plan de Implementación (y la implantación propiamente dicha) están íntimamente relacionados:

• La Política de Seguridad define el Plan de Implementación ya que la implementación debe ser un fiel reflejo de los procedimientos y normas establecidos en la política.
• El Plan de Seguridad debe estar revisado para adaptarse a las nuevas necesidades del entorno, los servicios que vayan apareciendo y a las aportaciones que usuarios, administradores, etc. vayan proponiendo en función de su experiencia. La revisión es esencial para evitar la obsolescencia de la política debido al propio crecimiento y evolución de la organización. Los plazos de revisión deben estar fijados y permitir además revisiones extraordinarias en función de determinados eventos (por ejemplo, incidentes).
• El Plan de Implementación debe ser auditado para asegurar la adecuación con las normas.
• El Plan de Implementación debe realimentar a la Política de Seguridad. La experiencia, los problemas de implantación, las limitaciones y los avances tecnológicos, etc. permitirán que la política pueda adecuarse a la realidad, evitando la inoperancia por ser demasiado utópica y la mejora cuando el progreso lo permita.

Un enfoque como el propuesto asegurará la adecuación del nivel de seguridad implantado con las necesidades de la organización y el correcto seguimiento y control de los riesgos.

Publicado en el Boletín del Criptonomicón #71.

Álvaro Cabrera Martín es ingeniero superior de telecomunicación y trabaja en GMV Sistemas, SGI Soluciones Globales Internet, desde 1995, en proyectos relacionados con la seguridad en Banca, Administración y Comercio Electrónico.

Puedes consultarlos por temas, o también por orden de aparición en el boletín.

Si consideras que este artículo puede interesarle a alguien que conozcas, puedes enviárselo por correo electrónico. No tienes más que indicar la dirección del destinatario, el asunto y tu nombre.

Copyright © 1997-2000 Gonzalo Álvarez Marañón, CSIC. Todos los derechos reservados.

Criptonomicón es un servicio ofrecido libremente desde el Instituto de Física Aplicada del CSIC. Para información sobre privacidad, por favor consulte la declaración de política sobre privacidad. Para sugerencias, comentarios o quejas, acuda al libro de visitas. Para contribuir al Criptonomicón, lea la página de contribuciones.