Gestión de la Seguridad de Información y herramientas Opensource

La Seguridad de la Información ha sido, sin duda, uno de los temas recurrentes de preocupación de las organizaciones en los últimos años; y en nuestro país en particular en las instituciones del estado por la adopción del estándar de seguridad ISO 27001 e ISO 27002 como normás técnicas peruanas. El presente artículo alinea, desde la experiencia del autor, las necesidades y requerimientos de gestión del estándar y las posibilidades que nos ofrece en este sentido las herramientas del mundo Opensource

Cuando me planteé escribir este artículo, me pareció un reto poder describir todo lo que quería en tan poco espacio. Pensé, entonces, buscar la manera de que ésta sea una primera entrega de temas que poco a poco tendríamos que preparar (Si. Lo leen bien, en plural, eso quiere decir “con la participación de ustedes”). El objetivo es que podamos cubrir toda la implantación de un Sistema de Gestión de la Seguridad de Información (SGSI) pero de una manera sencilla, aterrizada –dirán muchos– utilizando para esto las herramientas Opensource.

Antes de empezar, quiero absolver las preguntas que, estoy seguro, muchos se harán. ¿Por qué es necesario adoptar una norma de seguridad en mi empresa? ¿Si no lo hago, no tengo seguridad o estoy haciendo algo mal? La respuesta es sencilla: puedes implementar la gestión de la seguridad como te parezca, sin embargo, para saber si lo haces bien y que es efectiva contra los riesgos identificados, necesitas que un experto externo te lo confirme a través de una auditoría. Ahora, ¿cómo saber si la opinión del experto es válida?, tal vez al siguiente año otro experto pueda darte una opinión muy diferente. Para evitar esas contradicciones, mi opinión es que siempre las empresas y organizaciones en general, deben adoptar los estándares internacionales sobre los cuales puedan medirse. Los estándares son fruto de trabajo y experiencia de muchas personas en diferente tipo de organizaciones. En ese sentido, el ISO de Seguridad tiene ya bastante tiempo en la industria y ha tenido revisiones y mejoras en los últimos años.

La serie de estándares ISO 27000 de seguridad de información son los más aceptados a nivel internacional. Proporcionan un marco de gestión de la seguridad de información utilizable en cualquier tipo de organización. De esta serie utilizaremos, por sencillez, la ISO 27001 y la ISO 27002.

La ISO/IEC 27001:2005, es la norma principal. Especifica el marco referencial (los requisitos) para establecer, implementar y documentar un SGSI. Es certificable.

La ISO/IEC 27002:2007 (antes ISO 17799), es la guía de buenas prácticas descritas en la forma de objetivos de control y controles recomendados para  protección de la información. Está agrupado en 11 dominios y consta de 133 controles. La lista de objetivos de control y controles de la ISO 27002 forma a su vez el anexo A del estándar ISO 27001.

Para ponerlo en sentido figurado culinario: la ISO 27001 tiene la receta y la ISO 27002 tiene los ingredientes.

En el siguiente gráfico podemos ver la composición de la ISO 27001: cláusulas generales y el anexo A (11 dominios) con la implicación de cada dominio respecto de la organización.

La gestión de la seguridad de la información en una organización según ISO 27001 sigue el ciclo de Deming (utilizado también en la ISO de calidad) descrito en la siguiente figura:

Es importante conocer esto, porque a partir de aquí podremos definir cada una de las fases del proyecto.

Empezaremos por “Establecer” el SGSI” y terminaremos en el “Mantenimiento y Mejora”. De aquí el ciclo se repite para  establecer un modelo de mejora contínua.

De la figura 2, también debemos destacar la entrada al Sistema de Gestión, que no es otra cosa que los Requisitos y Objetivos para el SGSI. Estos los debe definir la organización antes de empezar la implementación del SGSI.

Hasta ahora no hemos introducido un concepto importante: El Riesgo. Toda gestión de la seguridad, incluyendo la implementación de controles debe estar orientada a gestionar el riesgo. Si no hay riesgo, no hay justificación para implementar controles en la organizacion, sería un gasto innecesario. Más adelante, definiremos una metodología para gestionar riesgos y ejemplos prácticos alrededor de esto, pero por ahora debemos tener en cuenta porque es lo más importante del SGSI.

Palabras claves  ( a partir de aquí para tenerlo siempre presente):

• Gestión: el SGSI es un sistema de gestión que debe implementarse como otro tipo de gestiones (presupuesto, costes, ventas) en toda la organización. No es un conjunto de documentos o implementaciones técnicas, no es algo que se haga por única vez, sino que debe ser un proceso contínuo.
  
• Riesgo: lo importante, lo que debemos gestionar con un SGSI porque tiene un impacto en la organización.
• Control: la contramedida que nos ayuda a reducir el riesgo y que también debe ser gestionado en madurez y eficiencia.

Hasta este momento, no hemos todavía introducido las herramientas de Opensource. Como un adelando diremos que lo utilizaremos de la siguiente manera:

• Para soportar la Gestión del SGSI (gestión documental, seguimiento y control)
• Como controles de seguridad (protección, evaluación y monitoreo)

Implementando un Sistema de Gestión de Seguridad de Información

Para empezar nos vamos a organizar. Recordar que lo que se implementa es la norma ISO 27001, entonces vamos a ver de que está compuesta:

• Cláusulas Generales (las importantes: 4, 5,6,7,8)
• Anexo A (11 dominios con objetivos de control y 133 controles)

La cláusula principal cuando empezamos un SGSI es la número 4, sobre esa hacemos un resumen necesario, encuadrando lo que considero,  más importante.

Estructura Documentaria

Por una cuestión de orden en nuestro trabajo, vamos a empezar definiendo una estructura para la gestión de los documentos, o sea desde lo último de la cláusula 4.  A partir de allí empezaremos a cumplir con lo que el estándar nos requiere siguiendo un formato de documentos predefinido y ordenado.

Es importante que se defina los tipos de documentos que tendrá el SGSI, y luego su formato. A modo de ejemplo, definiremos primero los tipos de documentos, su posible codificación y una propuesta de formato documentario. Para la edición de los documentos podemos empezar usando un procesador de textos como el Writer de la suite OpenOffice.

Donde:

• SEC: sección del estándar
• TIP: tipo de documento
• NN: correlativo
• Ver: versión
• X.Y: número de versión.

El primer documento que debemos preparar es del tipo Estándar, y justamente para establecer una forma única de documentar (4.3.2.EST01_Estándar_Documentos_ver1.0) donde se definirá todos los parámetros que deben tener los documentos del SGSI.

El estándar debe definir:

• Formato del documento
  • Carátula que incluya el encabezado y pie de página, la fecha de creación, vigencia, propietario y autorizaciones del documento.
  • Tipos de letras, espaciado y márgenes.
• Clasificación del documento, por ejemplo: Confidencial, Uso Interno, Uso Público.
• Flujo de creción, revisión, aprobación y publicación del documento.
• Control de los documentos impresos y flujo de entrega de información fuera del SGSI.
• Actualización de la lista maestra de documentos.
• Vigencia de los documentos.

Resumen

Es esta primera entrega del tutorial de implementación del SGSI, se ha abordado los siguientes temas:

• Importancia de implementar una gestión de la seguridad usando un estándar
• Descripción de los estándares ISO 27001 e ISO 27002.
• Las palabras claves que utilizaremos de aquí en adelante (Gestión, Riesgo y Control)
• La descripción de la cláusula 4 del estándar.
• Definiendo un estándar de estructura documentaria.