Modelo de administración de seguridad de la información (MASI) para una red interna de telecomunicación basado en los estándares ISO/IEC 17799 y 27001

Texto completo

(1)Campus Ciudad de México. Escuela de Graduados en Ingeniería y Arquitectura. Tesis Modelo de Administración de Seguridad de la Información (MASI) para una red interna de telecomunicación basado en los estándares ISO/IEC 17799 y 27001 para la obtención del grado de. Maestro en Administración de las Telecomunicaciones Autor: lng. Enrique Oliva Ruiz. Director:. Dr. José Martín Malina Espinosa. Sinodales:. Dr. Guillermo Alfonso Parra Rodríguez Dr. José Ramón Álvarez Bada. Marzo 2007. J.., TECNOLÓGICO • DE MONTERREY•.

(2) Conteniuo. Contenido Dedicatoria .................................................................................... .. Agradecimientos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ..... 11. Introducción general ................................................... . .................... .. Estado del arte en seguridad de la información . . . .. . . . . . . . . . . . . . . . . .. 4. 1.1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 4. 1.2 Fundamentos de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 5. 1.3 Estado actual de la seguridad de información . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 9. 1.4 Seguridad de la información en México . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 21. 1.5 Seguridad en redes internas de telecomunicación . . . . . . . . . ... . . . . . . . . . . . . . . . . . . . . . . . . .. 30. 1.6 Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 36. Capítulo 11: Selección de un estándar de referencia para el MASI . . ... ........ .... 38. 11. 1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 38. 11.2 Manual de protección básica de TI (IT-BPM) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 39. 11.3 Instrucción 33 de seguridad en electrónica y comunicaciones (ACSJ) . . . ....... .... 42. 11.4 Estándar ISÓ/JEC 17799 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 45. 11.5 Estándar JSO/IEC 27001 . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 50. 11.6 Estándar de referencia propuesto.................................................................... 54. 11.7 Conclusión .. . . . . . .. . . . . . . . . . . . . . .. . .. . . . . . . .. . . . . . .. . . . . . . .. . . . . . . . . .. .. . .............. ..... 59. Capítulo 111: Identificación de requerimientos de seguridad del MASI . . . . . ...... 61. 111. 1 Introducción . . . . . . . . . . . . . . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ...... 61. JJI.2 Definición de alcance y limitaciones del MAS) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 62. 111.3 Revisión de documentación . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 66. JJl.4 Análisis de brechas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 71. 111.5 Metodología de análisis de riesgos y criterio de aceptación . . . . . . . . . . . . . . . . . . . . .... 76. Capítulo 1:.

(3) Contenido. III.6 Identificación y valoración de recursos . . . . . . . . . . . . . . .. . . . .. . . . . . . . . . . . . . . . . . . . . . . . . ... 80. 111.7 Identificación y valoración de amenazas . . . . . . . . . . . .. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 82. III.8 Identificación y valoración de vulnerabilidades . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 83. 111.9 Valoración de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . ... 84. III. IO Conclusión . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 86. Capítulo IV: Diseño del MASI y planificación de su implantación . . . . . . . . . . . . . . .. 88. IV. I Introducción . .. . . .. . . . . . . . . . . . . . . . . . .. . . . . ... . .. .. . . .. . . . .. . . .. . . . . .. . .. . .. . . . . . . . . . . ...... 88. IV.2 Identificación Je objetivos y controles de seguridad . . . . . . . . . . . . . . . . . . ........... .... 89. IV.3 Evaluación de opciones de tratamiento de riesgos . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 90. IV.4 Declaración de aplicabilidad (SoA) ... ....... ..... ...... ...... ... ...... ...... ..... ..... 114. JV.5 Políticas de seguridad de la información......................... . .................... 115. IV.6 Procedimientos de seguridad de la información . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 119. IV.7 Formulación del plan de tratamiento de riesgos . . . . . . . . . . . . ... . . . . .. . . . . . . . . . . . . .. .. 121. IV.8 Herramientas para validación del MAS] .. . . . . . . . . . . . . . . . . . . . . .. . . ............. ... . . .. 122. IV.9 Conclusión...... . ......................................................................... 124. Conclusión general . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 126. Trabajos futuros . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. .. 129. Lista de tablas . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 130. Lista de figuras . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 132. Anexo A (Términos y acrónimos empleados) . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .. 134. Bibliografía . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . .... 135.

(4) Introducción general. Introducción general La seguridad de la información se ha convertido en una de las principales preocupaciones para las empresas y organizaciones modernas, ya que en la actualidad la mayoría de sus actividades dependen fuertemente de las tecnologías de información. En respuesta, se han desarrollado una gran cantidad de herramientas y mecanismos, que cubren casi todos los aspectos de seguridad de la información. Sin embargo, la efectividad de dichas soluciones de seguridad ha sido continua y seriamente cuestionada, en virtud del alto volumen de incidentes relacionados con la seguridad y sus pérdidas financieras consecuentes, los cuales continúan incrementándose en magnitud y severidad. En primera instancia, cualquiera pensaría que la seguridad de la información se refiere principalmente a tecnología. Acorde con Andrew Stewart [STE-05], la tecnología ciertamente juega un rol significativo en la seguridad de la información, no obstante las organizaciones deben ser cautelosas, respecto a sus expectativas sobre el valor que pueden aportar las tecnologías de seguridad. Las herramientas y mecanismos de seguridad tienen una efectividad limitada, debido a que la seguridad de la información es un campo multidisciplinario que abarca áreas como economía, sociología, tecnología, negocios y leyes, en el cual juegan un papel preponderante la gente y la organización. Sin embargo, la mayoría de las organizaciones desconoce que la seguridad de la información es una cuestión de negocios y no un simple asunto técnico. Esto es, combina sistemas, operaciones y controles internos para asegurar la disponibilidad, integridad y confidencialidad de los datos y procedimientos operativos en la organización. La gobernabilidad relativa a seguridad de la información es un tema complicado, ya que no existe una solución única que aplique a todas las organizaciones. Bajo esta perspectiva, la importancia de administrar la seguridad de la información en el contexto de la organización se vuelve evidente. La administración de seguridad de la información, tiene como propósito minimizar los riesgos que enfrentan los sistemas de información en su operación. Ésta implica varias actividades que requieren de un conocimiento especializado, tales como su planeación, diseño, implantación, monitoreo, revisión y mejora. Existen diferentes teorías sobre administración de seguridad de la infom1ación, tales como la de políticas de información, administración de riesgos, controles y auditorías, sistemas de administración y contingencias [HON-03]. No obstante, aquella que ha ganado mayor popularidad a nivel mundial y que ha sido motivo de la publicación de diversos estándares, es la teoría de sistemas de administración. Ésta señala, que una organización debe establecer y mantener un sistema de administración de seguridad de la información documentado, para proteger los recursos de información. Si bien se enfoca en establecer un nivel básico de seguridad en la organización, en caso de justificarse puede generar medidas más rigurosas de seguridad. Una vez establecida la relevancia de abordar la seguridad de la información bajo un enfoque integral y por medio de una metodología adecuada de administración, resta destacar la posición que ocupan las redes de telecomunicación en dicho escenario. Conforme al estudio llevado a cabo por Arthur Chang [CHA-06], sobre la preparación de las organizaciones para afrontar las. 1.

(5) 1ntroducción general. amenazas relativas a sus sistemas de información, las distintas industrias consideradas (manufactura, alta tecnología, financiero y de servicios), estimaron que la red de telecomunicación afronta las amenazas más graves. Lo anterior, debido en gran medida a la convergencia de redes IP, donde un ataque exitoso a dicha infraestructura, pone en riesgo a toda la organización. A pesar de lo anterior, las medidas de seguridad en uso resultan ser las más deficientes, Jo que pone de manifiesto la existencia de un área de oportunidad en las organizaciones, consistente en mejorar la seguridad en las redes de telecomunicación. Con todos los antecedentes anteriores en mente, queda manifiesta la motivación para la elaboración de este trabajo, el cual tiene por objeto diseñar un modelo de administración de la seguridad de información y planificar su implantación, para una red de telecomunicación interna de una empresa pública mexicana. Lo anterior, considerando sus características y necesidades, así como sus indicadores más recientes y tendencias a corto plazo, presentados en encuestas relativas a seguridad de la información. Dada la variedad de teorías sobre administración de seguridad de la información, para la selección de un modelo de referencia se tomarán en consideración los estándares más reconocidos a nivel mundial, en el campo teórico de sistemas de administración. Por otro lado, el diseño del modelo abarcará desde la seguridad de la información a nivel organizacional, hasta los aspectos tecnológicos relativos a las redes de telecomunicación. Así mismo, se considera la definición y planeación necesaria, previa a la implantación del modelo en la organización bajo estudio. Para la conformación de la tesis se elaborarán cinco capítulos, cada uno con su propia introducción y conclusión, cuyo contenido se menciona en los siguientes párrafos. Por principio de cuentas, en el capítulo I se revisa el estado del arte en seguridad de la información, partiendo de sus aspectos más generales, hacia los más particulares. Esto es, inicialmente se exponen los fundamentos relativos a seguridad de la información, incluyendo su definición y conceptos básicos tales como requerimientos y controles de seguridad. En seguida se analiza su estado actual, incluyendo el impacto económico de los diversos incidentes, la dependencia organizacional en los sistemas de información, el papel de las tecnologías emergentes y del marco regulatorio, así como el enfoque de inversión. Posteriormente, se lleva a cabo una revisión de la seguridad en México, incluyendo el cumplimiento de regulaciones, el fenómeno de crecimiento de interdependencia organizacional, la adopción de tecnologías emergentes y la medida en que se está llevando a cabo una alineación con los objetivos de negocio. Finalmente, se lleva a cabo un estudio referente a seguridad en redes internas de telecomunicación, que considera el comportamiento de los incidentes internos, así como la presentación del modelo de seguridad en capas y de las redes de telecomunicación inteligentes. El capítulo II tiene como propósito, revisar el marco teórico referente a los estándares de seguridad básicos de mayor reconocimiento a nivel mundial y seleccionar el más adecuado para su adopción por parte de la organización bajo estudio. Para este fin, primeramente se analizan los tres estándares de administración de seguridad de la información más utilizados en el mundo. Luego se identifican las características esenciales de la organización bajo estudio, mismas que servirán de base para determinar qué modelo de seguridad es más acorde a sus características y necesidades. Posteriormente se comparan los distintos estándares de seguridad, a fin de conocer su desempeño en diferentes áreas de interés. Finalmente, con base en los resultados de las actividades previas, se selecciona el est,1ndar más adecuado, para su adopción y tratamiento en los capítulos posteriores.. 2.

(6) Introducción general. Una vez seleccionado el estándar a emplear, en el capítulo III se desarrollan los primeros pasos del modelo, concernientes a la identificación de los requerimientos de seguridad de la información en la organización bajo estudio. Esta etapa es esencial para contar con un buen modelo de administración de seguridad de la información, por lo cual se debe prestar especial atención en su desarrollo. Para esto, por principio de cuenta se determina el alcance del modelo, incluyendo las actividades requeridas por el estándar que serán cubiertas y los sistemas de información que serán tratados. Como siguiente paso se lleva a cabo una amplia revisión documental de la empresa pública en cuestión, esencial para identificar en qué grado se tienen instauradas medidas de seguridad, así como comprender sus requerimientos actuales. Adicionalmente, da pie al análisis de brechas cuyo cometido es identificar el grado de cumplimiento contra el estándar elegido. Tras concluir la actividad anterior se realiza un análisis de riesgos, que estipula la selección de una metodología de análisis de riesgos, así como la identificación y valoración de recursos, amenazas, vulnerabilidades y riesgos asociados a la red interna de telecomunicación de la organización que nos ocupa. Del análisis exhaustivo de los resultados obtenidos previamente, se da inicio al diseño del sistema de tratamiento de riesgos que se lleva a cabo a lo largo el capítulo IV, núcleo y corazón de este trabajo. Éste considera la selección de objetivos y controles de seguridad, previa evaluación económica-financiera de su factibilidad de implantación. Así mismo, incluye la elaboración de la declaración de aplicabilidad (SoA), donde se justifican tanto a nivel técnico como económico, la selección de cada uno de los objetivos y controles. Del mismo modo, se plantean las políticas de seguridad de la información, requeridas de forma obligatoria por cualquier estándar de seguridad de la información. Enseguida se formula el plan de tratamiento de riesgos, el cual considera las fases e.le c.lefinición y planeación estipuladas en la administración de proyectos. Finalmente, se proponen algunas henamientas para validar la efectividad del modelo tras su implantación. Con lo anterior, quedarán cubiertos todos los requisitos establecidos por el estándar para la implantación de un modelo de administración de seguridad de la información, para una red de telecomunicación interna de una empresa pública mexicana. Finalmente, es importante resaltar que este trabajo de Tesis representa una propuesta para mejorar la seguridad de la información en la organización bajo estudio, elaborada en base a la experiencia laboral y los conocimientos adquiridos a lo largo de los estudios de maestría, por parte del autor. Si bien el trabajo se basa en gran medida, en el compendio de mejores prácticas incluido en los estándares ISO/IEC 17799 y 2700 l, para su cumplimiento será necesario identificar, evaluar, incorporar y aplicar las metodologías, técnicas y herramientas más adecuadas. Lo anterior, en virtud de que dichas normas sólo se indican lo que se debe hacer, pero no señalan cómo llevarlo a cabo. Se espera además que este documento, contribuya a implantar en el corto plazo, un popular modelo de gobernabilidad de las tecnologías de información, en una de las áreas sustantivas de una importante empresa pública mexicana, coadyuvando así a mejorar su competitividad y el cumplimiento de sus objetivos de negocio.. 3.

(7) Capítulo I - Estado del arte en seguridad de la información. Capítulo I Estado del arte en seguridad de la información 1.1 Introducción Es difícil pensar que en nuestros días alguien niegue que la información tiene un valor; de acuerdo con Alvin Toffler [TOF-81 ], ésta es la materia prima más básica para la civilización de nuestra época de revolución científica y tecnológica. Más aún, el conocimiento como su expresión superior, ha ido ganando importancia conforme la gente que toma decisiones se convence de que a éste se le puede asociar a un valor real, ya sea material o económico. Esto es, distinto de lo que ocurría en otras épocas, en que predominaban otros bienes y servicios, que tenían mayor valor económico. En esta primera década del siglo XXI, es de tal importancia poseer, administrar y transmitir conocimiento, que toda la humanidad se ve y se seguirá viendo influida y posiblemente dominada por quienes poseen, administran y transmiten este recurso. En virtud de lo anterior, a esta época se le ha impuesto el calificativo de "era del conocimiento", sustentada a su vez en la llamada "tercera revolución industrial", caracterizada por innovaciones sustantivas y profundas en áreas tecnológicas como las telecomunicaciones. En el entendido de que en la actualidad, el conocimiento es uno de los recursos más valiosos de las organizaciones, queda claro que debe ser protegido adecuadamente. Esto decir, las organizaciones deben contar con esquemas adecuados de seguridad de la información. Existen diversas definiciones de seguridad de la información, pero haciendo una combinación de [VER-02) y [HON-03), se puede definir inicialmente como una combinación de sistemas, operaciones y controles internos, que aseguran la integridad, confidencialidad y disponibilidad de la información y procedimientos de operación de una organización. A lo largo de este capítulo, se expone el marco teórico relativo a la seguridad de la información, con énfasis en el más alto nivel de desarrollo alcanzado a la fecha. Para dicho fin, se revisan conceptos básicos tales como amenazas, requerimientos y controles de seguridad, entre otros. Enseguida, se ofrece un tratado sobre los temas de seguridad que más preocupan ;i las organizaciones en la actualidad a nivel mundial, incluyendo su impacto económico. Posteriormente, se presenta cuál es el estado de la seguridad de la información en México, acorde con los estudios más recientes. Por último, se lleva a cabo un análisis enfocado en la seguridad relativa a redes de telecomunicación, tema que ha cobrado gran auge en últimas fechas. Cabe señalar que la información recabada en este capítulo, permitirá establecer indicadores de seguridad derivados de la comparación (benchmarking) con otras organizaciones, mismos que serán empleados para el diseño del modelo de administración de seguridad de la información estipulado en este trabajo.. 4.

(8) Capítulo I - Estado del arte en scguridau de la información. 1.2 Fundamentos de seguridad de la información La información puede existir en diversas formas. Puede encontrarse impresa o escrita en papel, almacenada electrónicamente, en proceso de envío por correo o a través de medios electrónicos, mostrada en películas o videos, o hablada en una conversación. Cualquiera que sea la forma que ésta tome, o los medios por los cuales es compartida o almacenada, siempre debe protegerse apropiadamente. La seguridad de la información se caracteriza, por la preservación de la: l. confidencialidad: asegurar que la información sea accesible sólo a aquellos autorizados para tener acceso; 2. integridad: salvaguardar la exactitud y totalidad de la información y métodos de procesamiento; 3. disponibilidad: asegurar que los usuarios autorizados, tengan acceso a la información y los recursos asociados, cuando se requerido. Esto es, protege la información de un amplio rango de amenazas, para asegurar la continuidad del negocio, minimizar los daños y maximizar el retorno <le inversión y las oportunidades de negocio. Algunas amenazas de las cuales se debe proteger la información de una organización, se exponen a continuación: • • •. • • • • •. • • • •. ataques internos: principalmente originados por empicados inconformes que ponen en riesgo la seguridad de la organización; ataque de negación de servicio (DoS): son intentos de consumir recursos de una red, al grado de que ya no pueda dar servicios a usuarios legítimos; caballo de Troya: es un programa típicamente no auto-replicable, que un perpetrador instala de forma encubierta o incitando a un usuario desprevenido a correr un programa aparentemente benigno; desastres naturales: Tales como inundaciones, incendios, huracanes, terremotos, entre otros; errores de programación: fallas de software que provocan que un dispositivo falle o bien que permiten a usuarios no autorizados ejecutar códigos en la computadora; gusano: es un tipo de virus, que se copin así mismo <le computadora en computadora, a través de recursos compartidos de red y aplicaciones de correo; hackers: usuarios no autorizados que intentan o logran ncceder un sistema de información; ingeniería social: perpetradores que se hacen pasar por contratistas, empleados o figuras de autoridad legítimas y que engañan a los usuarios para que les proporcionen información confidencial (ej. phishing); intercepción de datos: cuando la información se encuentra en tránsito a través de los sistemas de transmisión, puede ser interceptada y quedar expuesta a un mal uso; pharming: es el ataque de un hacker, con el objeto de redireccionar el tráfico de una página Web auténtica, a otra de mismo aspecto pero no auténtica. spoofing: uso no autorizado de datos legítimos de identificación y autentificación, con la finalidad de suplantar un sujeto distinto al atacante; virus: es un código que se auto-replica de archivo en archivo.. 5.

(9) Capítulo I - Estado del arte en seguridad de la información. Muchos sistemas de información, no han sido diseñados para ser seguros. La seguridad que puede ser alcanzada a través de medios sólo técnicos es limitada y debe ser soportada por procedimientos y una administración adecuada. La seguridad de la información se alcanza mediante la implantación de un conjunto de controles indicados, que pueden ser políticas, prácticas, procedimientos, estructuras organizacionales, capacitación y concientización del personal, así como funciones de hardware y software. Estos controles, necesitan ser establecidos para asegurar que se cumplan los objetivos de seguridad específicos de la organización. Identificar los controles que deben ser implantados, requiere de una planeación cuidadosa y de poner atención a los detalles. Así mismo, la administración de la seguridad de información, requiere como mínimo de la participación de todos los empleados de una organización. En algunos casos, también requiere de la participación de proveedores, clientes y accionistas; incluso se pude requerir de la asesoría de organizaciones externas. Algunos modelos de gobernabilidad de tecnologías de la información (TI) como el ISO/IEC 17799 [IS0/1-05], señalan que algunos de los factores críticos para una implantación exitosa de seguridad de la información en una organización, son: • • • • • • • •. políticas, objetivos y actividades de seguridad que reflejen los objetivos del negocio; un arranque de la implantación de seguridad, que sea consistente con la cultura organizacional; compromiso y soporte visible por parte de los directivos; un buen entendimiento de los requerimientos de seguridad, así como de la valoración y administración de riesgos; difusión efectiva de la seguridad a todos los directivos y empleados; distribución de escritos sobre políticas y estándares de seguridad de la información, a todos los empleados y contratistas; proveer una capacitación y entrenamiento apropiado; un sistema de medición comprensivo y balanceado, que sea empicado para evaluar el desempeño de la administración de seguridad de la información, así como para recibir retroalimentación para la mejora.. l.2.1 Establecimiento de requerimientos de seguridad Para el establecimiento de los controles de seguridad, es esencial que una organizacmn identifique primeramente sus requerimientos de seguridad. Existen tres fuentes principales: La primera fuente se deriva de la valoración de riesgos en la organización. A través de la valoración de riesgos, se identifican las amenazas a los recursos, se valora la vulnerabilidad y probabilidad de ocurrencia y se estima el impacto potencial. La segunda fuente son los requerimientos legales, estatutarios, regulatorios y contractuales que deben satisfacer la organización, sus socios, contratistas y proveedores.. 6.

(10) Capítulo I - Estado del arte en seguridad de la infonnación. La tercera fuente es un conjunto particular de principios, objetivos y requerimientos para el procesamiento de información, que ha desarrollado una organización para el soporte de sus operaciones. Cabe señalar, que los controles de seguridad de la información, son considerablemente más económicos y efectivos, si se incorporan en la especificación de requerimientos y en la etapa de diseño. La recomendación ITU-T E.408 [ITU-06], requenm1entos de seguridad para redes de telecomunicación, propone que los objetivos de seguridad más comunes para las redes de telecomunicación, son:. l. Sólo los usuarios autorizados deben estar en posibilidad de tener acceso y usar las redes de telecomunicación; 2. Los usuarios autorizados deben estar en posibilidad de tener acceso y operar sólo los recursos a los que tienen derecho; 3. Las redes de telecomunicación deben proveer privacidad, al nivel definido por las políticas de seguridad; 4. Todos los usuarios deben ser responsables de sus propias acciones en las redes de telecomunicación; 5. Para garantizar la disponibilidad, las redes de telecomunicación deben ser protegidas contra accesos y operaciones no solicitadas; 6. Los usuarios autorizados, deben estar en posibilidad de recuperar información relativa a seguridad de las redes de telecomunicación; 7. Si se detectan violaciones a la seguridad, deben ser manejadas de forma controlada y acorde con un plan predefinido para minimizar el daño potencial; 8. Después de que se detecta una brecha de seguridad, debe ser posible recuperar los niveles normales de seguridad; 9. La arquitectura de seguridad de las redes de telecomunicación, debe proveer una cierta flexibilidad, con la finalidad de soportar distintas políticas de seguridad.. 1.2.2 Análisis de riesgos de seguridad Tal y comos se indica en la sección anterior, los requerimientos de seguridad se identifican principalmente mediante un am'ilisis metódico de riesgos de seguridad. La adopción de controles necesita estar balanceada, contra el daño al negocio que puede resultar de las fallas de seguridad. Las técnicas de análisis de riesgos se pueden aplicar a toda la organización, o sólo a partes de esta, así como a sistemas de información individuales, servicios o componentes de un sistema específico. El análisis de riesgos, es una consideración sistemática de: 1. el daño al negocio que puede resultar de las fallas de seguridad, tomando en cuenta las consecuencias potenciales de una pérdida de confidencialidad, integridad o disponibilidad de la información y otros recursos;. 7.

(11) Capítulo I - Estado del arte en seguridad de la información. 2. la probabilidad realista de que ocurra una falla, a la luz de amenazas y vulnerabilidades que prevalecen, y de los controles implantados actualmente. Los resultados de esta valoración, ayudarán a guiar y determinar las acciones de administración apropiadas y las prioridades para administrar los riesgos de seguridad de la información, así como implantar controles seleccionados para proteger a la organización contra riesgos. Cabe la posibilidad que el proceso de análisis de riesgos y de selección de controles, requieran ser ejecutados varias veces para cubrir distintas partes de la organización o sistemas de información individuales. Es importante llevar a cabo revisiones con distintos niveles de profundidad, dependiendo de los resultados de valoraciones previas y los distintos niveles de riesgo que los directivos están dispuestos a aceptar. Frecuentemente el análisis de riesgos, se lleva a cabo de forma inicial a un nivel alto, como un medio para priorizar recursos en áreas de alto riesgo, y luego a un nivel más detallado, para atender riesgos específicos. En la actualidad, existe una gran variedad de métodos de análisis de riesgos entre lo cuales elegir, lo cuales se clasifican en cuantitativos y cualitativos. Los primeros producen una estimación descriptiva de los riesgos, mientras que los segundos producen una estimación numérica de estos. Los métodos de análisis de riesgos, han evolucionado a través de tres generaciones [LJC-96]. La primera generación se basa en listas de verificación. La segunda en la determinación de los requerimientos de seguridad de la información, como un proceso fundamental. La tercera en la identificación de los requerimientos lógicos y físicos de seguridad de la información. No existe un método de análisis de riesgos ideal; esto es, cada organización debe elegir aquel que más de adapte a sus requerimientos y características.. 1.2.3 Selección de controles de seguridad Una vez que los requerimientos de seguridad han sido identificados, se deben seleccionar e implantar los controles para asegurar que los riesgos sean reducidos a un nivel aceptable. Los controles pueden ser seleccionados de estándares de administración de seguridad de la información, como el ACSI 33 [DSD-06], IT-Grundschutz [BSI-04] ó ISO 17799 [IS0/1-05], o bien pueden ser diseñados para cumplir necesidades específicas. Es importante observar, que no todos los controles aplican a cada sistema de información, además de que algunos no son apropiados en algunas organizaciones. Los controles deben ser seleccionados en base al costo de implantación y en relación a los riesgos que se desean reducir, así como la pérdida potencial si ocurre una brecha de seguridad. También se deben tomar en cuenta factores no monetarios, tales como la pérdida de la reputación. Existen una serie de controles que pueden ser considerados como principios guía, que proveen un huen punto de arranque para la implantación de seguridad de la información. Estos se basan en requerimientos legales esenciales o bien son considerados como mejores prácticas comunes para la seguridad de la información.. 8.

(12) Capítulo I - Estado del arte en seguridad de la información. Los controles que se consideran esenciales para una organización desde el punto de vista legal, son: • • •. protección de datos y privacidad de información personal; salvaguarda de registros organizacionales; derechos de propiedad intelectual.. Los controles que son considerados como mejores prácticas comunes para la seguridad de información, se relacionan a continuación: • • • • •. documento de políticas de seguridad de la información; reparto de responsabilidades de seguridad de la información; capacitación y entrenamiento sobre seguridad de la información; reporte de incidentes de seguridad; administración para la continuidad del negocio.. Estos controles aplican a casi todas las organizaciones en la mayoría de los ambientes. Se debe resaltar que la relevancia de cualquier control, se debe determinar tomando en consideración los riesgos específicos que está enfrentando la organización. Por lo tanto, si bien los controles anteriores se consideran corno un buen punto de arranque, no reemplazan la selección de controles basados en una valoración de riesgos.. I. 3 Estado actual de la seguridad de información Tal y corno se señala en la sección anterior, la información, así como las redes, sistemas y procesos que la soportan, son recursos importantes de un negocio. La confidencialidad, integridad y disponibilidad de la información, son esenciales para mantener la competitividad, el flujo de efectivo, la rentabilidad, el cumplimiento legal y la imagen comercial. No obstante, cada vez es más frecuente que las organizaciones y sus sistemas de información, se enfrenten a amenazas de seguridad provenientes de una gran variedad de fuentes, incluyendo el fraude por computadora, espionaje, sabotaje, vandalismo, terrorismo, fuego e inundaciones, por mencionar algunos. Las fuentes de daño tales como virus computacionales, hackers y ataques de negación de servicio, se han vuelto más comunes, ambiciosos y sofisticados. Basta hacer referencia a los resultados de la encuesta de crimen y seguridad computacional del 2006 [CSI-06], llevada a cabo por la el Instituto de Seguridad en Cómputo (CSI) y la Agencia Federal de Investigación (FBI), a 616 organizaciones (empresas, agencias gubernamentales, instituciones financieras y médicas, así como universidades) de los Estados Unidos de América (EUA). La figura I.1 muestra la cantidad de incidentes anuales reportados por las organizaciones y si bien se ha dado una disminución al 24% en el número de reportes de seis o más ataques, en el 2006 el 48% de los encuestados reportó haber sufrido de uno a cinco ataques, alcanzando su máximo histórico.. 9.

(13) Capítulo I - Estado del arte en seguridad de la información. Acorde con la encuesta de brechas de seguridad de la información de 2006 [PWC-06], ]levada a cabo por PriccwatcrhouseCoopers, a so]icitud del Departamento de Comercio e Industria, a 1,000 org;rnizacioncs de diversos tamaños y sectores (públicas, educativas, de salud, empresas, entre otras) del Reino Unido, el número promedio de incidentes sufridos por una organización es de ocho por año. lo que representa un incremento con respecto a la encuesta de hace dos años. Por otro lado, la mayor dependencia de las organizaciones en los serv1c1os y sistemas de información, significa que las organizaciones son más vulnerables a las amenazas de seguridad. La interconexión de redes púb]icas y privadas, así como el compartir recursos de información, incrementan la dificultad para mantener un control de accesos. Así mismo, las tecnologías emergentes (telefonía IP, redes inalámbricas, código abierto, entre otras), representan un riesgo creciente a la seguridad de la información.. 1.3.1 Impacto económico de los incidentes de seguridad El incremento en la frecuencia de incidentes de seguridad, esuí motivando a las organizaciones a gastar más en seguridad de su presupuesto para Tl, alcanzando un nivel de 30.3 billones USO a nivel global en el 2005 [GAR-03]. La inversión responde a que la mayoría de los incidentes de seguridad tienen un impacto económico en las organizaciones, tal y como se observa en la figura 1.2, obtenida de la encuesta CSl/FBI Crimen Computacional y Seguridad 2006. Dichas pérdidas reflejan principalmente, los costos explícitos derivados los incidentes de seguridad (tales como, reinstalación de software o reconfiguración de equipo), ya que por la dificultad de representar los costos implícitos (como pérdida de imagen o de una venta futura), los encuestadores decidieron no representarlos en la gráfica.. 10.

(14) Capítulo I - Estado del arte en seguridad de la información. hptr. q~ q. ider. t S'l5míflic. ~. roe:. • no Securty. hsl ILlt. Figura l. 2 - Pérdidas en USD de 313 organizaciones de EUA [CSI-06). Se observa que las pérdidas totales reportadas por 313 organizaciones, ascienden a $52,494,290.00 USO, lo que significa una pérdida promedio por organización de $167,713 USO al año. También hay que destacar, que los cuatro incidentes con mayor impacto, son los virus, accesos no autorizados, el robo de laptop o harware móvil y de propiedad intelectual, que en conjunto representan casi tres cuartas partes (74.3 %) de las pérdidas totales. La seguridad a nivel de redes internas de telecomunicación (rubros marcados con flecha en la figura l.2), pueóe aportar significativamente a )a ó"1sminución óe estas péróióas, ya que como se puede corroborar al totalizar los incidentes respectivos, estos representan el 74.5% de las pérdidas totales. En este orden de ideas, el desarrollo de un modelo de seguridad con enfoque en redes internas de telecomunicación como el que se propone en este trabajo, puede contribuir significativamente a la seguridad de la información de las organizaciones. Si bien las pérdidas explicitas llaman la atención, cabe observar que los costos implícitos de un incidente de seguridad suelen ser mucho mayores. Tal y como se señala en la encuesta de brechas de seguridad de la información de 2006 [PWC-06], el mayor impacto derivado de una. 11.

(15) Capítulo I - Estado del arte en seguridad de la infonnación. brecha de seguridad es la interrupción del negocio. Tres quintas partes de los peores incidentes que sufren las organizaciones, causan algún tipo de interrupción. De estos, alrededor de la mitad causó una interrupción de más de un día. Aunado al costo de interrupción del negocio, se debe considerar el costo por daño a la reputación de la organización, el cual pude provocar un gran impacto y perdurar por un largo tiempo. Sólo 1 de cada 1O organizaciones reportó haber sufrido un daño en su reputación.., debido a que pudieron contener el conocimiento de los incidentes al interior. No obstante, este costo cobra importancia a medida que se incrementa el tamaño de la organización, ya que se les dificulta contener el conocimiento de los incidentes al interior y al salir a la luz pública, la cobertura de los medios magnifica su impacto económico. La figura 1.3, muestra el costo total promedio de los peores incidentes de seguridad, el cual considera los costos implícitos y explícitos. Cabe destacar que el costo asociado a los incidentes de seguridad ha aumentado, de un costo total promedio de peor incidente de .f 10,000 en el 2004, a .f 12,000 en el 2006.. ~ 1.f(fl. - ~2.[í) •. f100 - 2. _;:,. f. -J f 11. Figura l. 3 - Costo total promedio en libras de peor incidente en Reino Unido [PWC-06]. Destaca sobremanera, el hecho de que las grandes organizaciones (con más de 250 empleados) son má':11 suscepüb\es a sufr\r indtlentes tle seguritlatl {e\ %1º/t, tle e\\as sufre ataques), a que tengan un impacto económico (el 84% son maliciosos), tienden a ser objeto de más ataques (19 por año en promedio) y sus brechas a ser más costosas (.f90,000 de costo total promedio de peor incidente). Es conveniente aclarar, que la organización bajo estudio se cataloga como una de gran tamaño (con alrededor de 350 empleados en el área y de 70,000 empleados considerando toda la empresa), por lo que para fines de esta investigación se tomarán como referencia los valores anteriormente señalados.. 12.

(16) Capítulo I - Estado del arte en seguridad de la infonnación. I.3.2 Nuevo ambiente organizacional Los sistemas de TI en general y el Internet en particular, son cada vez más importantes para la operación de las organizaciones. Por lo anterior, acorde con los resultados de la encuesta de brechas de seguridad de la información 2006 [PWC-06], la prioridad asignada por las organizaciones a la seguridad de la información permanece alta. En la figura 1.4 se puede observar, que casi todas las empresas en Reino Unido, tienen una conexión a Internet y 88% de estas son de banda ancha. Así mismo, e} ~1% de }as compañías tienen una página Web, de las cuales el 89% se alberga de forma externa. Con respecto a las redes inalámbricas, hubo una disminución del 34% al 24% en promedio, no obstante en grandes organizaciones se tuvo un incremento del 47% al 59% en su uso. La dependencia en las tecnologías de información sigue en aumento, ya que sólo una de cada seis pequeñas empresas puede operar su negocio sin sistemas de TI.. ...,3 'Neb-site. 1$BS 2006 - lon;.ie t•Bhe'.>'31:'$ • 68'.S 2'°J.1;"f, - i'Mllll • IS~.S 2f>f•4 - ir,;¡rall •. rigura t 4 - fao\uciém ocl ambien\e de negocios ocl 1004 a\ 1006 rPWC-061. Por otro lado, el mundo se vuelve cada vez más pequeño a consecuencia de la globalización y con ello surgen un nuevo conjunto de riesgos asociados a la información. Ya no es suficiente, con que las organizaciones consideren sus propios asuntos y amenazas a la seguridad de la información. Con mayor información fluyendo entre las org;inizaciones~ ya sean globales o no, se deben considerar a los socios de negocios, contratos de outsourcing, proveedores y clientes. El valor de las organizaciones, derivado de sus acuerdos globales, puede disminuir o desaparecer rápidamente debido a la seguridad real o percibida, así como brechas de identidad o privacidad.. 13.

(17) Capítulo I - Estado del arte en seguridad de la información. Acorde con la encuesta global de seguridad de la información 2006 [E&Y-05], llevada a cabo por Ernst & Young, a 1300 organizaciones en 55 países del mundo, éstas no están exigiendo lo suficiente en su relación con terceros, a forma de consolidar una plataforma sólida para administrar los riesgos subyacentes. Tal y como se observa en la figura 1.5, una quinta parte de los encuestados, no consideran en lo absoluto la administración de riesgos con terceros, una tercera parte reportó que sólo tienen procedimientos informales al respecto. Bajo esta aproximación en e\ trato con terceros, ante un rápido cambio de\ ambiente de riesgos, la organización queda expuesta a riesgos significativos que deben ser administrados.. Informal pro,..','durt.;. 33%. 42'ó h)nrnd pr..:••.:\.'dllr-.'s \ahJat.:-'-1 t,y :·1 ilrnd 1':1r1.y O. .:'.O. ..:1-il. t--1). Figura l. 5 - Administración de riesgos con terceros [E& Y-05]. Por otro lado, según la encuesta global de seguridad 2006 [DTT-06], llevada a cabo por Deloitte, a las más importantes instituciones de servicios financieros globales, se está dando un incremento exponencial en la sofisticación de las amenazas y en su impacto potencial a lo largo de la organización. Los ataques con motivación financiera, van en aumento y el perfil criminal está cambiando de hackers desorganizados, a grupos criminales bien organizados. Si bien en la actualidad es más dificil acceder a los recursos por medio de ataques externos (representando el 78 % de los encuestados), se está volviendo más sencillo acceder a esos mismos recursos haciendo uso de ataques de ingeniería social contra los empleados de la organización (como phishing y phanning). Del mismo modo, de acuerdo a la encuesta de brechas de seguridad de la información 2006 [PWC-06], en las grandes organizaciones el 52% de los ataques son internos (ver figura I.6t lo que re9resenta un aumento considerable con respecto al 44% registrado en el 2004. Lo anterior, sugiere la presencia de una atractiva área de oportunidad, en la cual se profundizará a lo largo de este estudio.. ISEG 2(1):i - wwall. E:4;,nsl -. 11. IBIEfflitl. Figura l. 6 - Proporción de ataques internos y externos [PWC-06]. 14.

(18) Capítulo I - Estado del arte en seguridad de la infonnación. I.3.3 Tecnologías emergentes La necesidad de las organizaciones de trabajar de forma más productiva y competitiva, está impulsando la proliferación de tecnologías de rápido desarrollo, como la telefonía 1P (ToIP), código abierto, servidores virtuales, dispositivos de almacenamiento removibles, cómputo móvil y mensajería instantánea, entre otras. Estas soluciones tienen el potencial de fortalecer las ventajas competitivas de las empresas, pero también traen consigo serias amenazas que deben ser mitigadas. Las demandas de\ negocio y \a reducción de\ costo de \a conectividad inalámbrica, están propiciando la rápida adopción de las tecnologías móviles. Pero en virtud de que estos dispositivos suelen abandonar la seguridad de un ambiente corporativo controlado, la protección de los recursos de información y la propiedad intelectual que portan, se está volviendo responsabilidad de los individuos; lo cual aún no han aceptado o anticipado las organizaciones. Tal y como se observa en la figura l. 7, relativa a los resultados de la encuesta global de seguridad de la información 2006 [E& Y-05], la mitad de los encuestados reconoce los riesgos asociados a las tecnología móviles, entre las que se encuentra el cómputo móvil, los dispositivos de almacenamiento removibles y las redes inalámbricas. No obstante, en relación a las tecnologías de rápido desarrollo como ToIP, código abierto y servidores virtuales, el nivel de preocupación cae significativamente, a pesar de las serias amenazas asociadas a estas.. rvlobil·~ .:omputmg. 48 ó. 1:-..:>rY~r Yirtu::ihz.:i110n. 2ü. f1. ..«.i. 60. Figura l. 7 - Principales tecMlogias emergen.tes de riesgo (E&Y-05\. ToIP es una tecnología que transformará la telefonía en los próximos años, en la medida que se vaya dando la convergencia del tráfico de voz y datos en la red. Acorde con los resultados de la encuesta brechas de seguridad de la información 2006 [PWC-06], en promedio el 8% de las empresas de Reino Unido (31 % de las grandes organizaciones), ya han implantado dicha tecnología. Así mismo, tal y como se puede observar en la figura I.8, cerca de la mitad de las compañías que han implantado ToIP, evaluaron los riesgos de seguridad asociados previo a su implantación. Por otro lado, dos terceras partes de aquellos que planean implantarla, no han evaluado aún los riesgos.. 15.

(19) Capítulo I - Estado del arte en seguridad de la información. 12. 1irp:m,mo ::11titr MIIHII~~ r&s>:i -. 11 i?ffl!&IN namlS>J ·11- lmpem?nl ::1no mw 11s>."s. mpP.mP.IQl v.11hwt. Fmmrt} D imp»~m. wt mi. )':t o!WIU!BI 11:ski. MIIHII~~ rlsQ.. Figura l. 8 - Implantación de ToIP en Reino Unido [PWC-06]. Las organizaciones están acostumbradas al concepto de seguridad perimetral, sin embargo, mientras la sofisticación de amenazas sigue evolucionando, éstas se han dando cuenta que no están preparadas para ataques emergentes derivados del uso de nuevas tecnologías, tales como spyware y código maliciosos (malware). Ante esto, el enfoque de capas ha ido cobrando importancia para proteger los recursos de información de la organización, el cual combina una fuerte protección perimetral, en adición a otras técnicas de b\oqueo. Este mode\o permite que si una capa es vulnerada, ya sea por un error, una mala configuración o una acción deliberada, el ataque sea detenido por la capa siguiente, lo cual asegura que no haya un sólo punto de vulnerabilidad. La estrategia de capas está creciendo en popularidad~ lo cual se hace evidente con el surgimiento de una serie de tecnologías que protegen el perímetro, pero a la vez fortalecen las capas interiores para mejor protección de la información contenida en ellas. Lo anterior, demuestra la transición de un esquema de protección de la infraestructura, a protección de la información. Dada la importancia que revierte el tema para fines de la elaboración de este trabajo, se dedicará un apartado de este capítulo para su estudio detallado. Otra tecnología emergente a destacar, es la de redes inalámbricas, ya que estas se pueden encontrar por todas partes y están sujetas a un alto escrutinio debido al potencial de su brecha por intrusos. Acorde con la encuesta global de seguridad 2006 [DTT-06], estas redes son altamente riesgosas; sólo el 40 % de los encuestados indicaron haber implantado o estar en proceso de implantación de tecnologías inalámbricas, pero de estos sólo el 64% se ha protegido de forma proactiva, a través de un mode\o de capas ( ver figura l.~). Para finalizar, es importante señalar que la organización bajo estudio cuenta con tecnologías emergentes TolP y de redes inalámbricas, por lo que en el modelo que se proponga se incorporará la atención de riesgos asociados a éstas.. 16.

(20) Capítulo I - Estado del arte en seguridad de la infonnación. 7. •. 2. ,;. •. ~. Figura l. 9 - Medidas proactivas para proteger redes inalámbricas [DTI-06). 1.3.4 Marco regulatorio Un tema de reciente aparición, pero de rápida incorporación y posicionamiento dentro de la agenda de seguridad de la información de las organizaciones, es el de cumplimiento con el marco regulatorio. El creciente número de regulaciones y las consecuencias de no cumplir con e\\as, ha nevado a \a seguridad de \a información a \a sa\a de juntas de \os ahos ejecutivos. Para damos una idea de su importancia, cabe observar la figura 1.10, que muestra los resultados de la encuesta global de seguridad de la información 2006 [E&Y-05], relativos a los aspectos de mayor influencia en las prácticas de seguridad de la información de las organizaciones. Por primera vez desde que se publica dicha encuesta, el cumplimiento de las regulaciones superó a los virus y gusanos~ como principal motivación para la adopción de prácticas de seguridad de la información, con cerca de dos terceras partes de los encuestados. 61 1 ... eorn¡:slwnce- with ~gulations \'/ornu; ..md ·.-im~s. iiiiiiii¡::::= 31"-,, 49•.,. ,-, h~-1 )~ mN11h:, •. '.'i.::tl l~ IOünlhi-1. Figura I. 10 - Aspectos de mayor influencia en la seguridad de la infonnación [E& Y-05 J. 17.

(21) Capítulo I - Estado del arte en seguridad de la información. La encuesta también señala, que cerca del 90% de los encuestados que están implantando medidas de seguridad para cumplir con el marco regulatorio (ver figura 1.11 ), se enfocan en la creación y actualización de políticas y procedimientos. Cerca de tres cuartas partes, llevan a cabo entrenamiento y sensibilización. En contraste, sólo el 41 % reportó estar aprovechando el marco regulatorio, como una oportunidad de reorganizar su función de seguridad de la información o hacer cambios es su arquitectura de seguridad.. ( f('..11111.t; 11 r UJ'J31lll~ J'1,l1d,'S. ººº'. 00:'?. and prc>1.-l.'dur,~:c;. 73 41ª~ R'"·,,r,:'.;mwn,; th(' 1nf,,rma1111n. ,.:,:unr, fmKt1,·,n:, 11. 2,,. .¡.o. w,,. Figura l. 11 - Medidas implantadas para el cumplimiento del marco regulatorio [E& Y-05]. Esto es, uno pensaría que con la atención que está recibiendo la seguridad de la información debido al cumplimiento de las regulaciones, la postura de las organizaciones respecto al tema está meiorando y la seguridad de la información como fi.mción_, se está volviendo más integral a las iniciativas estratégicas de las organizaciones. Desafortunadamente, esto no está sucediendo, ya que el cumplimiento de las regulaciones se está tomando más como una distracción, que como un catalizador para que la seguridad de la información esté alineada estratégicamente con la organización. Esto es, se están desaprovechando las oportunidades de inversión que el marco regulatorio (Sarbanes-Oxley y 8va Directiva de EUA, entre otras) ofrece para la promoción de la seguridad de la información como una parte integral de la organización. Una regulación que merece especial mención, es la Ley Estadounidense Sarbanes-Oxley del 2002, ya que no sólo afecta a las organizaciones de dicho país, sino en general a toda empresa que haga negocios con EUA. Tal y como lo señala la encuesta CSI/FBI Crimen Computacional y Seguridad 2006 [CSI-06], en lo relativo al impacto de dicha Ley en las actividades de seguridad de la información de las organizaciones (ver figura 1.12), por lo menos SO% de los encuestados, en siete de los quince sectores considerados, afirman que la Ley Sarbanes Oxley ha incrementado el interés de la organización por la seguridad de la información. Así mismo, más del SO% de los encuestados en tres industrias, afirman que la Ley en cuestión, ha cambiado el enfoque de seguridad de la información, de tecnologías a gobemabilidad organizacional.. 18.

(22) Capítulo I Estado del arte en seguridad de la infonnación. PBrce tage of Responde ts ha Ágrne. a ~~, imn O &mnes-Olle-1 raisl. 1Dct1S hm te~. l®J ma rp:1n ·§1Mffla112. Jevel of ·mrest · intcrrna!Jm seruril) 1. .. 1. 1. t. ". '. 1. F,J11am:. 1. 1 1. i. 1. lnfonaion ledmolae, C1111sa1ñ1. 1 1. . 1. 1. 1. . .. 1. 1. 1. 1. 1 1. 1. &lucatiooal. 1 1. • •. 1. 1. .. 11. 1. •. 1. CSI/ FBl!D~flilllnlllcmt,1S...., Smlrce: ~ . lnllilllll Figura l. 12 - Impacto de la Ley Sarbanes-Oxley [CSI-06). Por la importancia que reviste el tema de marco regulatorio (tanto interno, como externo), éste será de especial consideración en el diseño del modelo de seguridad de la información que nos ocupa.. 1.3 .5 Inversiones en seguridad Invertir en seguridad se puede equiparar a contratar una prima de seguros; los beneficios (tales como prevenir incidentes que de otra forma hubieran ocurrido) comúnmente son invisibles y no importa que tanto se invierta, nunca hay garantía de estar completamente protegidos. El invertir la cantidad correcta en seguridad de la información, es uno de los mayores retos para las organizaciones. Si se invierte demasiado se reduce la rentabilidad, mientras que si se invierte poco se deja a la organización expuesta a ataques. Acorde con la encuesta de Brechas óe Seguridad óe \a Información 2006 lPWC-06), \a inversión en segurióaó de \a información va en aumento, especialmente en grandes organizaciones (ver figura 1.13).. 19.

(23) Capítulo I - Estado del arte en seguridad de la infonnación. ~Q.lOOO. 1111 mcr~. Figura l. 13 - Incremento de inversión en seguridad del 2004 al 2006 [PWC-06]. La proporción del presupuesto de TI que las organizaciones de Reino Unido invierten en seguridad de la información, se ha incrementado significativamente. Tal y como se observa en la figura 1.14, la organizaciones ahora están invirtiendo en promedio del 4% al 5% de su pr~upu~to pzira 1'1 de e'&a forma y cerca de\ 2S% de ~ta~, in-vierten. f:,% o má~ de ~u presupuesto. Las grandes organizaciones invierten entre 6% y 8%. Si bien los valores promedio pintan un escenario color de rosa, un número significativo de organizaciones de Reino Unido, aún no están invirtiendo lo suficiente en seguridad de la información. Cerca del 40% de las organizaciones, invierten menos del 1% de su presupuesto de TI con dicho fin, por lo que es muy probable que algunas de estas org;i.llizaciones estén expuestas a amenazas de seguridad.. 1SBS201)3 or.'QIDfl. ISBS 2002 rt.~TJII". t.100~ •. Bin'#~'ll 11 •• 3ft1j 2~. 1'!1:.ill líilSS •. •. MOIIH!lan 25".. B¡l'1111Qn 2% and 10% • • 21.)).1 ami aJ02tt,JJr.is ,~d 1() illmliut~ •En"t ~.IUI\~.. ~t; \\t:h IJlllil s&.11=1!i;s CJ.l(ttil In ~. "''~f. mncl~ plooo on a cm:;~. Figura I. 14 - Porcentaje del presupuesto de TI invertido en seguridad [PWC-06). Cabe resaltar que existe una correlación entre llevar a cabo una valoración de riesgos de seguridad e invertir en seguridad de la información. En promedio, aquellos que llevaron a cabo una correlación de riesgos, invirtieron cerca del 7% de su presupuesto para TI. El presupuesto promedio de aquellos que no la llevaron a cabo, fue de sólo un 4%. Por lo que parece, que aquellas organizaciones que no han llevado a cabo una valoración de riesgos, no están invirtiendo \o suficiente en seguridad.. 20.

(24) Capítulo I - Estado del arte en seguridad de la infonnación. Por otro lado, las organizaciones tienden a invertir más dinero en seguridad de la información, si han experimentado incidentes. El 67% de aquellas que invierten 6% ó más de su presupuesto de TI en seguridad, experimentaron al menos un incidente el año pasado, comparado contra sólo el 42% de aquellos que invirtieron 1% o menos en seguridad. Dicho de otra manera, las organizaciones que han experimentado incidentes de seguridad, en promedio invierten el 5% de su presupuesto de TI en seguridad. La encuesta también señala, que cada sector tiene prioridades o alicientes distintos para invertir en seguridad de la información. Para los proveedores de telecomunicaciones, el prevenir la indisponibilidad es la principal motivación. Las empresas de tecnología están más preocupadas en proteger la propiedad intelectual. Las organizaciones del sector financiero y el gobierno, están más interesadas en proteger información de los usuarios, mantener la integridad de \os datos y cump\ir con e\ marco regu\atorio. Ahora bien, falta identificar en que se está invirtiendo el presupuesto para seguridad de la información. Según la encuesta Global de Seguridad 2006 [DTT-06], el 76% de quienes la respondieron señalaron estar invirtiendo en productos de control de acceso lógico, el 72% en consultoría de seguridad y el 69% en dis9ositivos de 9rotección de infraestructura (ver figura 1.15). Estos resultados, responden a la motivación de las organizaciones de mejorar el control sobre el acceso de los usuarios a los recursos. Así mismo, parece que cada vez más organizaciones están convencidas, que el aspecto humano es crítico para el éxito de un programa de seguridad de la información.. ·--t. il. 1. z... 30.. 7•.. S. ~. Figura L 15 - Segmentación del 9resJ.1Questo Q3I3.. seguridad (DTI-06\. 1.4 Seguridad de la información en México Tal y como se expuso en la sección anterior, en el panorama mundial aún falta mucho por recorrer en materia de seguridad de la información. Las iniciativas a este respecto, presentan un enfoque más táctico que estratégico y al parecer, la brecha que existe entre los riesgos. 21.

(25) Capítulo I - Estado del arte en seguridad de la información. relacionados con el manejo de la información y las acciones que emprenden las organizaciones para mitigarlos, es cada vez mayor (ver figura 1.16).. o. l-. o. ~. l.?. Figura\. \6 - Evolución de \a brecha de ~dad \E&'{ -~5). Resulta pertinente preguntarse cómo se están desempeñando las organizaciones en México, respecto al tema de seguridad de la información. Para aclarar este punto, a lo largo de este apartado se hará referencia a los resultados de la encuesta Global de Seguridad de la Información 2006 - México (E&Y-051, llevada a cabo por Emst & Young., a 1300 organizaciones en 55 países del mundo, que pertenecen a 26 diferentes industrias. En ésta, México ocupó el quinto lugar de participación, donde el 62 % de las organizaciones encuestadas operan en forma local, el 17% lo hacen a nivel de Latinoamérica y el 21 % son organizaciones globales. Las conclusiones se agrupan en cuatro áreas, donde la ampliación de la brecha de seguridad es claramente evidente. Sin embargo, los resultados no son tan halagadores, ya que como en el resto del mundo, en México también se aprecia que el gran elemento ausente en la definición de los proyectos de seguridad de la información es la estrategia. Esto es, en nuestro país sólo 22% del tiempo y 14% del presupuesto de seguridad de la información, se destinan a asuntos estratégicos. El interés por lo táctico, ha impedido dar enfoques que permitan que este tema dé un valor más c\aro a\ negocio. De hecho, toóavia pueóe verse una disonancia importante entre \as necesidades relacionadas con la función de seguridad de la información y la orientación que se le da al presupuesto de esta área. En los resultados también se observa que mientras en el mundo se busca que las iniciativas de seguridad de la información cumplan con lo dispuesto por regulaciones como Sarbanes-Oxley, la 8va Directiva de la Unión Europea ó Basilea II a nivel global~ en nuestro país esta preocupación no se ve como un requerimiento para hoy, sino para los meses por venir. Esta tendencia, junto con el bajo indicador de conciencia de seguridad de la información, parece mostrar que las organizaciones mexicanas deben analizar con detenimiento, si la definición y puesta en marcha de sus iniciativas en esta materia, van por el camino correcto.. 22.

(26) Capítulo I - Estado del arte en seguridad de la información. I.4.1 Cumplimiento de las regulaciones en México Contrario a los resultados globales, donde el cumplimiento de las regulaciones es el principal impulsor de la seguridad de información, en México se le sigue prestando más atención a los virus y gusanos. Lo anterior, tal vez porque en el año en el que se llevó a cabo la encuesta, se presentó una actividad importante de virus y gusanos informáticos con amenazas mezcladas que aumentaron su velocidad de propagación e impacto. O bien, debido a la escasa regulación existente en materia de seguridad de \a información en México, como \a Circular de Riesgos de la Comisión Nacional Bancaria y de Valores (CNBV). En los resultados globales, se observó que las organizaciones están pediendo las escasas oportunidades de inversión que las actuales regulaciones ofrecen, para promover que la seguridad de la información sea 9arte integral de su estrategia corQorativa. Esta situación se acentúa más en México, donde las regulaciones parecieran no ser motivo actual de preocupación, tal y como se ilustra en la figura 1.17. Se observa que los virus y gusanos ocupan la primera posición con 70% y el phishing y spyware la segunda posición con 48%. No obstante, en los próximos 12 meses, se espera que la primera posición la ocupen las prioridades corporativas de seguridad con 63% y el segundo lugar el cumplimiento con regulaciones con 51 %. Wll:1 •i•fl tliffi1-t,1 ,llllft(í ll'ítis halfl tmp&~~o \ffl. C't'-'f.\\~ 1,\1 ffll'.\C~Ó~ d9 U ,md. - ·12 M = J11•ló.'li ··_-¿ n ~ • ti M= Pr,.'.ior"1'X">5 ' ..: 1•'1*;.;;.:;. Figura l. 17 - Elemento de mayor impacto en la seguridad [E&Y-05). Cabe observar que para fines del presente estudio, considerando la tendencia para los próximos doce meses y las necesidades de la organización bajo estudio, se pondrá especial atención en los siguientes elementos: cumplir con regulaciones (principalmente internas), virus y gusanos (a nive\ de Ieü), piimidades COipOiativas (pdliticas, pioceóimientoo e implantación de controles), nuevas tecnologías (ToIP y redes inalámbricas) y requerimientos de certificación de seguridad de la información (estándares de seguridad básicos). Por otro lado, en cuanto a la puesta en práctica de las medidas de seguridad de la información, destaca el hecho que alrededor del 90% de los participantes en México (ver figura 1.18), se han enfocado en crear o actualizar sus 90Iíticas y 9rocedimientos 9ara cum9lir con las regulaciones de control interno. En lo relativo a entrenamiento y concientización, se observa que en. 23.

(27) Capítulo I - Estado del arte en seguridad de la infonnación. México sólo el 59% de los encuestados la lleva a cabo. Así mismo, resalta que el 49% de los encuestados en México, considera el cumplimiento con las regulaciones de control interno, como una oportunidad para reorganizar su función de seguridad de la información. O air o GT;luzfo:211 p:ild Íl2!; y procf.l.lirni::nlu.. En11 a-,.rnl>nl.!.\ '1. o LáinmmErta. wrc iert iZac itn. •Gtiba cMexiW. RfJJí',¡ariüu.i:m d~ I¡¡¡ ft..m(.í:in df! ~.:g.ici:.iad O!. lcl inforrnc1oon. (fl;,,. 10%. 203/.,,. 30'.l.,. 40%. 50¼'.,. fjlJ%,. 703/,.. 8IJl'o. 91]1',,. 100 %. Figura l. 18 - Puesta en práctica de medidas de seguridad [E&Y-05]. En lo referente a los reglamentos con mayor impacto, se puede corroborar en la figura 1.19 que la regulación con mayor impacto hasta ahora, tanto a nivel global como en México, se refiere al control interno. El segundo lugar en nuestro país lo ocupa el riesgo corporativo, cuya importancia se espera que aumente a nivel global en los siguientes meses. Finalmente, la privacidad junto con la propiedad intelectual, ocupan el tercer lugar en este rubro. Conlrol 1nterno '. R~qu:::tir' tJlll:JS de cettifw;;i,:,-i dtl wguridad ere la. - - - - - -2ts.. infctr.:,'\Oón. "'". o=.:.. • o~.~. 2cr.-'.... 3Y ~. 4oc;~. 5tf'k. Figura I. 19 - Reglamentos de mayor impacto en los últimos 12 meses [E&Y-05]. 24. w~,;,. ict ,.

(28) Capítulo I - Estado del arte en seguridad de la infonnación. I.2.2 Crecimiento de la interdependencia en México Las empresas más maduras saben que los riesgos están en todas partes, en su interior y en lo que se conoce como organización extendida (ver figura 1.20), que las enlaza con socios de negocios, proveedores, clientes y otras entidades. No obstante, un número importante de organizaciones no le exige lo suficiente a terceros para que le provean una base viable que administre los riesgos del manejo de información en sus relaciones. Basta señalar que un tercio de \os encuestados en México, no administran \os riesgos derivados de\ manejo de \a información en sus relaciones con terceros. CONTROl lNOIRECTO. GOOO)tró'. ~nl..,Jd(,-,. ke;¡uladnras. E5J-~. Figura I. 20 - Organización extendida [E&Y-05]. Por otro lado, tal y como se observa en la figura 1.21, alrededor de una tercera parte de las organizaciones en México, reporta que sólo tiene procedimientos informales para ello y sólo el 1% cuenta con procedimientos formales validados por un tercero. Así mismo, el 33% de las organizaciones en México, no administra los riesgos en sus relaciones con terceros. En el actual entorno de negocios, este enfoque para relacionarse con terceros expone a las organizaciones a riesgos significativos que no deben ser ignorados. Procedcmientos formales ·,alictar.los por un ~cero ~u.\~fr.;¡. Procedini1entns formales. ,a,~ 1 ~>11:,,. Porr~ edrnientos informales. No se administra. oc:t:,. 101'.'Ó. 20% 30% 40% 50c:.:, Figura I. 21 - Enfoque en relaciones con terceros [E& Y-05]. 25.

(29) Capítulo I - Estado del arte en seguridad de la infonnación. De acuerdo a lo que se presenta en la figura 1.22, más del 60% de los encuestados creen que los terceros con los que intercambian información, tienen la capacidad de apoyar las políticas, procedimientos y normas de las organizaciones a las que sirven. No obstante, sólo alrededor de una sexta parte de los participantes exige que una entidad independiente revise a los terceros con los que interactúa. En el caso de las certificaciones, es de llamar la atención que en México un 32% de las organizaciones exige a los terceros estar certificados en la manera en que protegen su información. Ur-!1 ent~. r::er:"='r~ert~ t:~. sa;:.cn:::ac e& ri:m, ao:,r,. rPf!,Sao:iet..e las practas ce-. los t ercefel5. S& alr eer, ca,lra n, llj:(95 ~,ract cz s ::xcci::as. e&. Los l&rc&r:;.s t1&1""' s1.s ~,r-.+13s JX)lt ,c,is v ~,r-.<:ota1miertos. ce-. s,¡.;1..1lCSC e& 12, rí:m•accr. Lo; t erc&r:;,s l16'111tJ' I! Mlillca:l ~,a re ,s:pcmr l!tl 1:dt1cg,s pr:"""'1i1111Ynlos y &Gtaoea111-S O&. tas or:-..,a,iz:acc,,es a las Cl.&. S'l'"'hr. ~. 11i'\,. 2J:'Cr,. ))';,. .!O'.'o. ::O'!o. f::l)".,. IT.)''o. I!</',,. Figura l. 22 - Requerimientos en relaciones con terceros [E&Y-05]. Los resultados de la encuesta muestran diferencias notablemente pequeñas entre las grandes y pequeñas organizaciones en muchos aspectos. Ambas se enfrentan retos similares en todo el mundo, por ejemplo: conseguir especialistas de TI y seguridad de la información bien capacitados y con experiencia, así como disponer de tecnología y establecer un marco de referencia. Además hay mucho camino por andar en cuanto a la adopción de normas de seguridad de )a información y sus certificaciones en tomo a eno. En )a figura l.23 puede observarse el porcentaje de encuestados que ya han adoptado formalmente o planean adoptar alguno de los modelos de gobernabilidad que se presentan, destacando el hecho de que en México el estándar más popular es el ISO/IEC 17779 con un 52%, seguido de ITIL con un 48% (cifra muy superior al promedio global).. 1Sf. roen ¡- - - - ' - - - - - - -...-.. lTIL ; 0";~. 1Cf:'(,. 2(f'¡',,. 3l%. 40'/r.. 50%. 00%. Figura l. 23 - Adopción de estándares [E&Y-05]. 26.