Como Implementar Seguridad de la Información con un Presupuesto Apretado

    0

    billete

    Nuestros recursos económicos son limitados, indistintamente del tamaño de la empresa donde nos toque trabajar, algunas con mayor presupuesto que otras para destinar a seguridad de la información, pero en todos los casos, se requiere de una gestión óptima de los recursos en equilibrio con los riesgos para cumplir el objetivo de negocio.

    En los cursos de entrenamiento que imparto a Oficial de Seguridad de la Información, casi siempre surgen estas preguntas e inquietudes:

    – ¿Cómo implementó todas esas normativas y buenas prácticas de seguridad si mi empresa no tiene dinero para ello?.

    – ¿Si mi empresa es pequeña que opciones tengo para cumplir las normas de seguridad?.

    – ¿Cómo justifico ante el directorio la adquisición de soluciones, si no tengo una base de datos de pérdidas por incidentes de seguridad?.

    Por lo que me gustaría compartir estas 7 recomendaciones producto de 8 años como Oficial de Seguridad para empresas de diferentes rubros:

    • Mapear los Controles. Cuando mi empresa se encuentra regulada en temas de seguridad de la información, el cumplimiento de normas de seguridad pasa a un tono mandatorio, sin embargo, existen estrategias al momento de implementar controles, como por ejemplo la tipificación y clasificación de controles (mapa de controles), que me permitan una implementación sin que agote todos mis esfuerzos y recursos en un mismo tipo o clase de control y que además se justifiquen ante la dirección. Los informáticos comúnmente nos inclinamos fuertemente por los controles de tipo técnico (lógicos). Los controles preventivos y disuasivos (proactivos) por lo general son más económicos que los controles detectivos, correctivos y de recuperación (reactivos). Ej. Incluir requerimientos de seguridad desde el inicio del ciclo de vida de desarrollo de software.
    • Aplicar Controles Compensatorios, una vez aplicada la recomendación anterior (mapear controles), puedo cubrir mis falencias que requieren una inversión económica, aplicando controles compensatorios, para una empresa con escasos recursos esto se traduce en controles manuales, como por ejemplo la supervisión humana, que me permitan cumplir el espíritu de la norma, o en términos más técnicos, alcanzar el objetivo de control. Se debe tener cuidado en este punto, debemos  entender el espíritu del requisito normativo, ya que en ocasiones se piensa que un control está compensado por el hecho de que cubre otros objetivos de control de la norma regulatoria, pero debemos tener claro que si no aborda el objetivo de control específicamente requerido, estamos recayendo en incumplimiento.
    • Formalizar Planes de Remediación.- La falta de recursos económicos para incumplir un objetivo de control no será un justificativo válido ante posibles auditorías, si bien la empresa puede no contar con los recursos económicos en ese momento, se entiende que un futuro aproximado los irá teniendo, a menos que se un negocio destinado al fracaso, tampoco es válido presentar como descarga ante el auditor simplemente una minuta de rechazo de parte de la Gerencia por la solicitud de recursos, esta minuta debe ir acompañada de un plan de remediación con fechas estimadas de regularización (razonables en el tiempo), revisadas por el comité estratégico de seguridad como parte de la debida diligencia y aprobadas por la Gerencia General como un compromiso oficial.
    • Análisis de Riesgos antes de Implementar Políticas.- Por más norma regulatoria, en ocasiones suelen ser generales debido a que atienden a todo un sector de empresas de diferente tamaño y servicios (productos), instruyendo controles para procesos que tal vez de momento ni existen en mi empresa, por lo que un análisis de riesgo ágil (en este caso de tipo Gap Analysis) me puede ayudar a identificarlos para justificar su no aplicación.

    En las empresas que no son reguladas en temas de seguridad de la información, comúnmente se comete el error de implementar políticas de seguridad de la información genéricas (plantillas de otras empresas), con la mejor intención de alinearse a estándares internacionales de seguridad  recopilan todo un compendio normativo que lastimosamente termina en lo que popularmente conocemos como  “soga al cuello”. Un análisis de riesgo nos ayuda a identificar primeramente procesos sensibles y discriminarlos de aquellos que de momento no lo son, y que por tanto no justifican ser sometidos a un tratamiento de riesgo.

    Los riesgos justifican controles, y las políticas vienen a ser controles de tipo administrativo que se elaboran a partir de un perfil de amenazas.

    • Apoyarse en Casos de Negocio para el Análisis Costo-Beneficio.- Comúnmente de piensa que un análisis costo-beneficio es algo tan simple como una comparativa entre el costo de la solución Vs. cuánto puedo perder (impacto) de materializarse una amenaza X. Sin embargo este tipo de comparativas no dicen nada, por el contrario, la dirección podría tomarlo como una dramatización o un deslinde de responsabilidades anticipado. Para conocer realmente el beneficio de una solución, se requiere manejar casos de negocio, estos no son documentos estáticos para justificar una compra, sino que son registros dinámicos que monitorean el desempeño de una solución durante todo su ciclo de vida.

    Este tipo de indicadores que me proveen los casos de negocio son los que necesito para mi ecuación de retorno de inversión (ROI o ROSI).

    • Campañas Agresivas de Sensibilización.- Esto no consiste simplemente en elaborar un cronograma de cursos de seguridad de la información al personal, sino en elaborar un programa creativo que busque sensibilizar a todo tipo de empleados, empezando por la alta dirección, personal de tecnología, usuarios y no usuarios de computadoras.

    La mayoría de los casos que nos toca investigar a los consultores de seguridad, involucra a personal de TI, directa o indirectamente, por lo que suena irónico e ilógico querer sensibilizar a los usuarios, cuando los empleados con mayores privilegios en los sistemas no aplican controles de seguridad para ellos mismos.

    Atosigar al personal con pequeños tips de seguridad de la información, es mejor que pasar desapercibido, si bien los empleados no logren retener todos los consejos de seguridad, esto hará que ellos entiendan que son lo más importante en la cadena de seguridad de la información y no así la tecnología. Los empleados deben percibir que se invierte en ellos y su preparación más que en equipos tecnológicos o software de seguridad informática, mientras esto no ocurra en las empresas, mentimos al decir que ellos son lo más importante en la cadena de seguridad, pese a que todos sabemos que son el eslabón más débil.

     

    • Base de Datos de Proveedores y procesos de adquisición.- La mayoría de las empresas en Bolivia no cuenta con una base de datos de proveedores, mucho menos relacionados a seguridad de la información, lo cual le dificulta a la empresa seleccionar un proveedor y un servicio/producto que esté acorde a sus necesidades. Muchas veces el procedimiento es tan débil que permite un “cuadrito” sesgado de oferentes, Ej.: 1) Oferente Patito 2) Oferente Coyote 3) El oferente que yo en realidad quiero, en evidente desigualdad de condiciones (cancha libre). Asimismo, no contar con proceso formal de adquisición recae con mayor facilidad en que se contraten servicios a costes sobredimensionados: 1) Marca Patito 100K 2) Marca Coyote 200K 3) Marca que yo quiero 95K, pero bajo diferentes pliegos de especificaciones técnicas generalmente emitidos directamente por la parte interesada.

    Los procesos de contratación a cargo de un área de compras no son infalibles a sesgos, pero aseguran niveles razonables de competición entre oferentes y mayor independencia en los criterios de selección.

    Por otro parte, los cuadrantes de Gartner me ayudan a identificar que productos se encuentran liderando el mercado y cuales se perfilan como potenciales líderes, es muy probable que existan productos o servicios interesantes hechos a medida por proveedores locales que no precisamente cotizan en bolsa pero que me pueden ayudar a cumplir el objetivo de control. Una base de datos de proveedores no solo me ayuda a encontrar proveedores, sino también a implementar procesos de evaluación de proveedores y calificación de sus servicios/productos, fomentando que estos también mejoren para beneficio de ambas partes.

    Seguramente se pueden adicionar más recomendaciones, particularmente estas son las que considero más efectivas en cuanto a resultados.

    Ing. Israel Rosales Marcó

    CISSP, CISA, CISM, CRISC, ITIL