La entrada de hoy martes es una colaboración de Javier Cao, un “clásico” del sector que no requiere demasiadas presentaciones. Para aquellos que no lo conozcan, Javier Cao es Ingeniero en Informática por la Universidad de Murcia, certificado CISA y posee los certificados de los cursos IRCA ISO 27001 e IRCA ISO 20000.
Su carrera profesional se ha desarrollado en torno a la gestión de la seguridad de la información desde sus comienzos, participando en diferentes proyectos relacionados en la norma ISO 27002, la continuidad de negocio y la protección de datos, tanto en el ámbito corporativo como en el privado. Actualmente es Director Técnico del Área de Seguridad de la Información de la empresa Firma, Proyectos y Formación dirigiendo diversos proyectos en el ámbito de la Administración Pública relacionados con el análisis de riesgos, la seguridad de la información y la continuidad de negocio. Asimismo, participa activamente en la difusión de la seguridad desde el ámbito de sus blogs personales: “Apuntes de seguridad de la información” y “Sistemas de Gestión Seguridad de la Información”.
Esperamos que les guste la entrada.
En el momento actual de inicio y expansión de sistemas de gestión de la seguridad de la información (en adelante SGSI), la principal preocupación es naturalmente lograr la construcción y establecer bien los procesos que permitan lograr construir el ciclo de mejora continua y certificar el sistema.
Sin embargo, conforme vayan pasando los años estos sistemas deben ir madurando para lograr verdaderamente satisfacer los objetivos establecidos por la Dirección. Uno de los grandes beneficios de implantar un sistema de gestión basado en ISO 27001 debe ser pasar de una “seguridad basada en sensaciones” a una “seguridad basada en datos de comportamiento” que permita mostrar y sobre todo, demostrar que las cosas se están controlando y se mantienen dentro de unos rangos de valores aceptables.
En este sentido, los criterios de gestión establecidos por la Dirección y que debieran estar referenciados en la Política de Seguridad de la Entidad, son el marco de trabajo para todas las personas involucradas de forma activa o pasiva, dentro de las actividades de operación, mantenimiento y supervisión del SGSI. Estas directrices generales son tanto el rumbo como las metas que el sistema de gestión debe lograr. Todo el esfuerzo de construcción y mantenimiento de un SGSI no se justifica si con ello no se logran determinados resultados; un SGSI tiene costes y por tanto, debe ser amortizado y rentabilizado lo máximo posible. Esto, dentro del ámbito de la seguridad, supone que las cosas deben funcionar con normalidad y los imprevistos, incidentes o accidentes deberán ser gestionados de forma correcta para minimizar los daños que pudieran producirse. Pero para lograr esto, es necesario justificar y demostrar con datos todo el esfuerzo que es necesario realizar para que las medidas de seguridad funcionen cuando hagan falta.
Partiendo de la célebre frase de Lord Kelvin (1824-1907), “Lo que no se define no se puede medir. Lo que no se mide, no se puede mejorar. Lo que no se mejora, se degrada siempre“, un SGSI debe tener establecidos criterios de medición de la eficacia y la eficiencia como así establece la propia normativa en las cláusulas 4.2.2. Apartado e) y 4.2.3. Apartado b).
Para ilustrar esta faceta de la seguridad y como viene siendo tradicional dentro del blog “Security Art Work” voy a utilizar como símil de un buen modelo de seguridad la Fórmula 1 dado que creo se comparte un gran paralelismo en los enfoques de ambos mundos.
En la Fórmula 1, cuando se crea un equipo para competir, sus dueños deben tener claro qué buscan al entrar en la competición y qué beneficios les aportará participar. Por tanto, en este contexto, una escudería en sus comienzos debe decidir qué cotas o metas se plantea dentro de la competición. Sabemos que hay equipos que pujan por lograr el campeonato y otros, con menos recursos, por quedar bien en la zona de constructores. Por tanto, a nivel estratégico, la Dirección ya establece cuáles serán los resultados esperados y todo ello condicionado a los recursos asignados al proyecto. Estas decisiones condicionan fundamentalmente la parte de diseño que deberá fabricar un vehículo ajustándose al presupuesto tratando de lograr un modelo lo más competitivo posible.
En un SGSI, una Organización apuesta por montar un SGSI porque busca incorporar y fortalecer la seguridad de la información de la organización. Desde el principio, debe establecerse cuál es el contexto y sobre todo, determinar cuáles serán las prioridades a atender; todas las organizaciones no son iguales y no comparten las mismas problemáticas. Dentro de las dimensiones de la seguridad, hay factores que según el modelo de negocio, pueden ser más prioritarios. Por ejemplo, empresas u organizaciones relacionadas con el mundo de la gestión de los recursos humanos estarán preocupadas por la confidencialidad y la protección de datos de carácter personal, entidades financieras por la integridad y exactitud de sus cuentas, empresas de servicios online por la disponibilidad de sus sistemas, entidades del mundo de la investigación por la confidencialidad y la protección de su propiedad intelectual, etc. Por tanto, las necesidades de seguridad vienen en primer lugar condicionadas por los objetivos de la organización y su modelo de negocio. Todas estas cuestiones dentro del proceso de construcción de un SGSI están relacionadas con la definición de la política, la determinación del alcance y la realización del análisis y gestión del riesgo. Todas estas actividades sitúan a la Organización dentro del entorno y definen qué quiere y cuánto costará lograrlo.
Podemos decir que desde el principio, en ambos entornos, se establecen unos “Objetivos estratégicos” que determinan hasta dónde se quiere llegar y qué habrá que hacer para conseguirlo. En esta fase, podríamos definir unos “indicadores-meta” para identificar en base a los resultados que se vayan obteniendo si se satisfacen o no los objetivos. Serían los medidores de más alto nivel que servirían para demostrar a la Dirección que se está logrando satisfacer sus deseos. En el caso de la Fórmula 1, este tipo de indicador pudiera ser la posición final en el mundial y la estimación del valor deseado.
En la Fórmula 1, una vez se dispone del coche diseñado, los ingenieros empiezan a realizar las pruebas y los entrenamientos para tomar conciencia del rendimiento real del vehículo y de las posibilidades en pista. En esta fase, siempre supeditada al marco de objetivos estratégicos es donde se puede empezar a comprobar la viabilidad de los mismos. Si los resultados no fueran los deseados, deberían plantearse decisiones sobre si se requiere volver a la fase de diseño para poder garantizar que el coche en pista técnicamente puede lograr las metas planteadas. Los ajustes en fases de prueba pueden mejorar o incrementar ciertos aspectos pero no hacen milagros. Por tanto esta es una fase de validación del diseño respecto a las expectativas establecidas y de ajustes técnicos para mejorar el rendimiento del vehículo en pista.
En un SGSI, esta fase de aterrizar el diseño y poder poner el SGSI en marcha está representada por la ejecución del plan de tratamiento del riesgo. En esta fase y supeditados a los “Objetivos estratégicos”, se determinarán las mediciones e indicadores que servirán para cuantificar los “Objetivos tácticos”. Éstos sirven para valorar cómo se realiza el despliegue de las medidas y qué resultados empiezan a proporcionar así como cuáles son sus rangos correctos de funcionamiento para que sean considerados aceptables. Si los indicadores no se mantienen dentro de los rangos esperados, deberán revisarse los controles asociados para hacer ajustes y que funcionen como se desea. En esta fase es esencial también medir la evolución del plan de tratamiento y cómo va avanzando según lo planificado para tener dispuestas y funcionando las medidas para el momento deseado.
En el caso de la Fórmula 1, el indicador de progreso podría ser el grado de cumplimiento de la planificación inicial para tener el coche a punto para la fecha de inicio de la competición. Como digo, lo importante es saber y conocer cómo avanzan las tareas necesarias para tener todo a punto para el momento de la competición. También obviamente sería interesante contar con indicadores de rendimiento sobre el comportamiento del coche para saber si está dentro de las cotas previstas y necesarias para poder estar entre las posiciones deseadas.
Una vez finalizadas las dos primeras fases de definición de objetivos y despliegue técnico toca sufrir el día a día. En el caso de la Fórmula 1 es cuando empieza el intenso mundo de las carreras y los espectadores nos incorporamos al desarrollo de la competición. En este caso, los objetivos ya se fijan en cada carrera y deben plantear en base a las condiciones particulares del circuito, los hitos a lograr. En ese momento, ya todo el mundo trabaja contrarreloj por lograr carrera a carrera avanzar por el rumbo establecido. En cada circuito, los ingenieros y mecánicos deben hacer ajustes concretos para optimizar el rendimiento y la fiabilidad del coche pero siempre con una única intención: garantizar que ese fin de semana se contribuye a lograr los objetivos estratégicos de la escudería. Según los resultados que se vayan obteniendo pueden surgir nuevas necesidades que en segundo plano provoquen iniciar algún nuevo plan táctico de ajuste del coche que a medio plazo pueda producir una mejora significativa de rendimiento, pero los ingenieros deben luchar en la carrera con lo que tienen en ese momento, aunque puedan ya trabajar en paralelo con nuevas cosas.
En un SGSI, en este momento ya se disponen de las medidas de seguridad funcionando y proporcionando resultados. Por tanto, se cuenta con lo que ya está operativo y lo que toca es empezar a monitorizar y evaluar el rendimiento. Es en este momento cuando se empieza a hablar de eficiencia y eficacia: comprobar que las cosas operativamente están correctamente funcionando y ver si lo hacen de la forma más correcta.
No hay que perder de vista el hecho que el implantar una medida de seguridad no tiene porqué significar que ésta logre los objetivos. Tener el mecanismo no implica gozar de la protección esperada. Pueden darse circunstancias que hagan que esa medida no evite los incidentes para los que fue escogida. Es aquí donde la monitorización y la medición cobran una vital importancia, dado que proporcionan datos en tiempo real de cuanto del esfuerzo realizado en las fases de diseño e implantación están sirviendo sobre el escenario real. Hablamos entonces de los indicadores de rendimiento donde se trata de ver y valorar el funcionamiento de las cosas. En este sentido, tenemos que enfocar la medición hacia dos vertientes. Por un lado, tenemos que comprobar que las cosas se ejecutan según lo previsto y que se realizan de acuerdo a lo establecido para saber que los procesos funcionan bien: valorar la ejecución. Por otro lado, tenemos que medir los resultados de la actividad para ver si proporcionan los resultados esperados: valorar los resultados. En unos casos, mediciones no satisfactorias pueden deberse a una mala ejecución o a un mal resultado, pero es de vital importancia hallar donde está el fallo para saber qué corregir.
En este caso, la gran pregunta es qué medir y cuantas medidas son necesarias, pero eso ya lo dejamos para el siguiente post.
