La gestión de la seguridad de una organización puede ser - y en muchos
casos es - algo infinitamente complejo, no tanto desde un punto de vista
puramente técnico sino más bien desde un punto de vista organizativo; no
tenemos más
que pensar en una gran universidad o empresa con un número elevado de
departamentos o áreas: si alguien que pertenece a uno de ellos abandona la
organización, eliminar su acceso a un cierto sistema no implica ningún
problema técnico (el administrador sólo ha de borrar o bloquear al usuario,
algo inmediato), pero sí graves problemas organizativos: para empezar,
>cómo se entera un administrador de sistemas que un cierto usuario, que no
trabaja directamente junto a él, abandona la empresa? >quién decide si al
usuario se le elimina directamente o se le permite el acceso a su correo
durante un mes? >puede el personal del área de seguridad decidir bloquear el
acceso a alguien de cierto `rango' en la organización, como un directivo o
un director de departamento, nada más que este abandone la misma? >y si
resulta que es amigo del director general o el rector, y luego este se enfada?
Como vemos, desde un punto de vista técnico no existe ningún escollo
insalvable, pero sí que existen desde un punto de vista de la gestión de
la seguridad...
Hoy en día, una entidad que trabaje con cualquier tipo de entorno
informático, desde pequeñas empresas con negocios no relacionados
directamente con las nuevas tecnologías hasta grandes telcos de
ámbito internacional, está - o debería estar - preocupada por su
seguridad. Y no es para menos: el número de amenazas a los entornos
informáticos y de comunicaciones crece casi exponencialmente año tras año,
alcanzando cotas inimaginables hace apenas una década. Y con que el futuro de
la interconexión de sistemas sea tan solo la mitad de prometedor de lo que
nos tratan de hacer creer, es previsible que la preocupación por la seguridad
vaya en aumento conforme nuestras vidas estén más y más `conectadas' a
Internet.
Hasta hace poco esta preocupación de la que estamos hablando se centraba
sobre todo en los aspectos más técnicos de la seguridad: alguien
convencía a algún responsable técnico que con la implantación de un
cortafuegos corporativo se acabarían todos los problemas de la
organización, y por supuesto se elegía el más caro aunque después
nadie supiera implantar en él una política correcta; poco después, y
en vista de que el firewall no era la panacea, otro comercial avispado
convencía a la dirección que lo que realmente estaba de moda son los
sistemas de detección de intrusos, y por supuesto se `dejaba caer' un producto
de este tipo en la red (se `dejaba caer', no se `implantaba'). En la actualidad,
como las siglas están tan de moda, lo que se lleva son las PKIs, que aunque
nadie sepa muy bien como calzarlas en el entorno de operaciones, quedan de
maravilla sobre las slides23.1 de las
presentaciones comerciales de turno.
Por fortuna, las cosas han empezado a cambiar (y digo `por fortuna' a pesar
de ser una persona más técnica que organizativa); hoy en día la
seguridad va más allá de lo que pueda ser un cortafuegos, un sistema de
autenticación biométrico o una red de sensores de detección de intrusos:
ya se contemplan aspectos que hasta hace poco se reservaban a entornos
altamente cerrados, como bancos u organizaciones militares. Y es que nos hemos
empezado a dar cuenta de que tan importante o más como un buen firewall
es un plan de continuidad del negocio en caso de catástrofe - especial y
desgraciadamente desde el pasado 11 de septiembre -, y que sin una
política de seguridad correctamente implantada en nuestra organización
no sirven de nada los controles de acceso (físicos y lógicos) a la
misma. Se habla ahora de la gestión de la seguridad como algo
crítico para cualquier organización, igual de importante dentro de la
misma que los sistemas de calidad o las líneas de producto que
desarrolla.
Algo que sin duda ha contribuido a todo esto es la aparición - más o
menos reciente - de normativas y estándares de seguridad, de ámbito tanto
nacional como internacional, y sobre todo su aplicación efectiva; no tenemos
más que mirar la Ley Orgánica de Protección de Datos de Carácter
Personal en España: desde que la Agencia de Protección de Datos impone
sanciones millonarias a quienes incumplen sus exigencias, todo el mundo se
preocupa de la correcta gestión de su seguridad. También han sido
importantes la transformación del British Standard 7799 en una norma ISO
(17799) a la que referirse a la hora de hablar de la definición de
políticas dentro de una organización, y la definición del informe
UNE 71501 IN como requisito para proteger y gestionar la seguridad de los
sistemas de información dentro de las organizaciones.
Hasta tal punto se ha popularizado el mundo de la seguridad que surgen
empresas `especializadas' hasta de debajo de las piedras, y por supuesto todas
cuentan con los mejores expertos, consultores e ingenieros de seguridad
(títulos que, al menos que yo sepa, no otorga ninguna universidad
española); la paranoia se lleva al límite cuando se ofrecen
certificaciones comerciales de seguridad del tipo `Certificado X en
Seguridad' o `Ingeniero de Seguridad X'. Por supuesto, aunque en el
mercado de la seguridad hay excelentes profesionales, la lógica nos debe
llevar a desconfiar de este tipo de publicidad, pero sin llegar al extremo de
descuidar nuestra seguridad por no confiar en nadie: como veremos, la seguridad
gestionada es en muchas ocasiones una excelente solución.
En definitiva, en este capítulo vamos a intentar hablar de aspectos
relacionados con la gestión de la seguridad corporativa - entendiendo por
`corporativa' la aplicable a una determinada organización, bien sea una
empresa bien sea una universidad -. Comentaremos desde aspectos relacionados
con la definición de políticas o los análisis de riesgos hasta el
papel del área de Seguridad de una organización, incluyendo aproximaciones
a la seguridad gestionada. Como siempre, existe numerosa bibliografía sobre
el tema que es imprescindible consultar si queremos definir y gestionar
de forma adecuada la seguridad de nuestra organización; especialmente
recomendables son [Sta00], [H$^+$02] y [GB97].
© 2002 Antonio Villalón Huerta