La gestión del riesgo

n circunstancias normales, los responsables de seguridad actúan
proactivamente para prevenir los efectos perniciosos de los ataques, y cuando no hay más remedio, porque la prevención ha fallado, se actúa a posteriori. Pero, ¿se plantean los responsables antes de cualquier otra cosa de medir el riesgo que conllevan estas amenazas?

Difícil balanza la que representa colocar en un platillo la cantidad de riesgo que estamos dispuestos a asumir, y el otro platillo la cantidad de recursos financieros de los que disponemos para mitigar los riesgos en materia de seguridad de la información.

La gestión del riesgo se ha convertido en un escollo para la dirección estratégica de las organizaciones que confían en metodologías reconocidas para alimentar sus sistemas de gestión. Especialmente duro se hace gestionar el riesgo en aquellas empresas cuyos procesos críticos reposan en tecnologías de la información, sobre todo, cuando la seguridad de esos procesos es igualmente crítica: banca, telecomunicaciones, proveedores de acceso, y muchas otras organizaciones donde un fallo crítico puede suponer, en el mejor de los casos, una ruptura de la continuidad del negocio.

En estos casos la gestión del riesgo deja de ser algo opcional para
convertirse en algo obligatorio. Maneras de gestionar adecuadamente el riesgo hay muchas. Desde luego, siempre se aconseja emplear metodologías reconocidas ya que éstas emanan
de una experiencia y un contraste que las hace válidas a priori.

Ejemplos de estas metodologías está la metodología MAGERIT (Metodología de Análisis y Gestión de Riesgos de los Sistemas de Información de las Administraciones Públicas), impulsada originalmente por el Ministerio de Administraciones Públicas, y cuya revisión y actualización se vaticina como muy próxima. MAGERIT proporciona un buen número de herramientas para que obtener un mapa de todos los riesgos que deseamos controlar y representar, lo que facilita enormemente la toma de decisiones.

Esta metodología considera acertadamente que la gestión del riesgo es el "alma mater" de toda actuación organizada en materia de seguridad y, por tanto, de la gestión global de la misma.

A nivel internacional los estándares comúnmente aceptados como válidos son los que proclama la norma internacional ISO/IEC 17799:2000 "Information technology. Code of practice for information security management". Recientemente, el 17 de mayo de 2005, ha visto la luz una ampliación denominada "Security techniques" dentro del marco que brinda ISO 17799:2000.

Esta norma internacional deriva del marco reglamentario BS 7799,
elaborado y definido por el British Standards Institution, en el que se definieron diez puntos de control para gestionar adecuadamente los sistemas de la información. Estos puntos de control han sido contemplados igualmente en el marco ISO 17799 y sus trasposiciones a normas nacionales:

1) Política de Seguridad, donde se establecen las directrices
gerenciales en materia de seguridad.

2) Organización de recursos y activos de la información, para sentar las correctas bases de la gestión de la seguridad dentro de la empresa.

3) Clasificación y control de activos de la información, donde se
pretende inventariar los activos a proteger así el establecimiento de las correctas medidas de protección.

4) Seguridad ligada al personal, con el fin de tratar aspectos relativos a la seguridad vinculada a los recursos humanos: confidencialidad, accesos no permitidos, fugas de información, etc.

5) Seguridad física y del entorno, donde se establecen las pautas
correspondientes a la seguridad de las instalaciones físicas.

6) Gestión de las comunicaciones y las operaciones, con la idea de asegurar el procesado de la información.

7) Control de acceso, en el que se establecen privilegios y
autorizaciones para acceder a los recursos.

8) Desarrollo y mantenimiento de sistemas, que serán los recipientes principales de la gestión de la seguridad.

9) Gestión de la continuidad de los negocios, donde se establecen planes de recuperación y minimización del impacto ante discontinuidades en los
procesos críticos de la empresa.

10) Conformidad legal, donde se observa el cumplimiento con la
legislación vigente según la localización territorial de la empresa.

Para el caso concreto de España, existe una trasposición de la norma codificada como UNE-ISO/IEC 17799:2002 "Tecnología de la Información. Código de buenas prácticas para la Gestión de la Seguridad de la Información". Otro documento interesante a considerar es el conjunto de especificaciones publicadas en la norma española UNE 71502:2004, "Especificaciones para los Sistemas de Gestión de la Seguridad de la Información (SGSI)", que proporciona un marco certificable para la norma global de seguridad.

En resumen, es fácil comprobar cómo la seguridad de la información es mucho más que la seguridad informática más tradicional, y es fácilmente observable como, a la hora de hablar de seguridad de la información, todo gira en torno a un eje temático: La gestión del riesgo.


Más Información:

Metodología MAGERIT
http://www.csi.map.es/csi/pg5m20.htm

Chinchon: Software de Gestión de Riesgos según MAGERIT 1.0
http://www.criptored.upm.es/software/sw_m214_01.htm

Códigos de Buenas Prácticas de Seguridad. UNE-ISO/IEC 17799
http://www.criptored.upm.es/guiateoria/gt_m209d.htm

British Standards Institution 7799 Information Security
http://www.bsi-global.com/Global/bs7799.xalter

Checklist de SANS sobre ISO 17799
http://www.sans.org/score/checklists/ISO_17799_checklist.pdf

Ejemplo de Implementación y Mejora del Método de Gestión Riesgos en un Proyecto Software
http://www.ewh.ieee.org/reg/9/etrans/Marzo2005/paper119.pdf