Cómo proteger la información en tránsito

Para hoy tenemos una entrada de Toni Grimaltos, Licenciado en Informática e integrante del Servicio de seguridad de la información DGTI de la Generalitat Valenciana.

Pocas veces una organización de la envergadura de un gobierno autonómico hace un cambio de la magnitud que supone trasladar de sede a 2500 trabajadores de diferentes organismos. En este artículo vamos a abordar la problemática de trasladar los sistemas de información y el Sistema de Gestión de la Seguridad de la Información (SGSI) de uno de los organismos implicados en ese traslado, y seguir cumpliendo con los controles que la norma ISO 27002 establece, todo ello sin vulnerar ningún artículo de la Ley Orgánica de Protección de Datos (LOPD).

Lo primero que necesitamos para que esta acción tenga éxito, es la “IMPLICACIÓN DE LA DIRECCIÓN”. Ahora bien, este ideal, ¿cómo lo traducimos a una serie de acciones reales?

La respuesta es que la Dirección del Comité de Seguridad del organismo cree un grupo de trabajo y que ese grupo sea a partir de entonces quien lleve la voz cantante, planifique las reuniones, ordene trabajos y establezca qué es lo que hay que hacer, y en qué orden.

En nuestro caso se crea un grupo de trabajo al que se le encomienda la siguiente tarea:

Reunir información sobre las implicaciones a tener en cuenta sobre la “Información en tránsito” que se establecen tanto en la ISO27002, como en el ENS, como en la LOPD, y opciones para la resolución de esas implicaciones.

(Extraído del acta de creación del GT, de octubre de 2013)

Lo segundo es hacer que ese grupo de trabajo se ponga en marcha y tome las decisiones oportunas. En la primera reunión se definieron los aspectos básicos a tener en cuenta, tanto desde el punto de vista de la norma ISO 27002 como de la LOPD, con respecto a lo que pasamos a denominar “información en tránsito”. Estos puntos son:

2.2.- ISO27002
A.9.2.7 Los equipos, la información o el software no deben sacarse de las instalaciones, sin una autorización previa.
A.10.1.2 Deben controlarse los cambios en los recursos y los sistemas de tratamiento de la información.
A.10.7.3 Procedimientos de manipulación de la información: deben establecerse procedimientos para la manipulación y el almacenamiento de la información de modo que se proteja dicha información contra la revelación no autorizada o el uso indebido.
A.10.8.3 Soportes físicos en tránsito: durante el transporte fuera de los límites físicos de la organización, ,los soportes que contengan información deben estar protegidos contra accesos no autorizados, usos indebidos o deterioro.

2.3.- LOPD.
Artículo 108. Custodia de los soportes.
Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.
Artículo 114. Traslado de documentación. (Solo a datos de nivel alto)
Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

(Extraído del acta de la primera reunión del GT, finales de octubre de 2013)

Una vez establecido esto, para cada control y cada artículo se define una acción a realizar. Además, las acciones se encomiendan a personas en concreto. Esta asignación de tareas es muy importante, porque contribuye a concretar esas tareas. Todas estas decisiones deben hacerse constar en las actas que el grupo de trabajo va redactando en las distintas reuniones.

Lo tercero es ser conscientes de que a medida que generamos documentación hay que ir guardándola, ya que para las auditorías nos va a hacer falta, así que llegados a este punto tenemos varios documentos que guardaremos:

1.- El correo en que la dirección convoca el grupo de trabajo.
2.- El acta de creación del grupo de trabajo.
3.- Las diferentes actas que el grupo de trabajo va redactando.

Con esto se cumple la acción del punto A.10.1.2:

A.10.1.2 Deben controlarse los cambios en los recursos y los sistemas de tratamiento de la información.
Acción: Se redactará acta de esta reunión y se elaborarán los documentos oportunos.

La acción para el punto A.9.2.7 consiste en:

A.9.2.7 Los equipos, la información o el software no deben sacarse de las instalaciones, sin una autorización previa.
Acción: La Dirección redactará y firmará la autorización pertinente para que se pueda trasladar tanto los equipos (hardware y software que está instalado), como la información (en papel o en soportes magnéticos).

Para cumplir con este objetivo, se redacta una autorización, que se envía a los diferentes responsables de hardware, software, y de la documentación en papel. Con lo que tenemos un cuarto documento:

4.- Autorización del traslado por parte de la dirección.

Aquí dejamos un ejemplo de lo que en esa autorización debe constar para cumplir con los controles:

Este documento en sí nos da pie para que se elaboren otros documentos:

5.- Instrucciones que se adjuntan a la autorización.
6.- Etiquetas para sellar las cajas (con las instrucciones para sellarlas).
7.- Actas de envío (modelo para hacerlas).
8.- Actas de recepción (modelo para hacerlas).

Y estos documentos a su vez cubren las necesidades planteadas en los puntos A.10.7.3 y A.10.8.3:

A.10.7.3 Procedimientos de manipulación de la formación: deben establecerse procedimientos para la manipulación y el almacenamiento de la información de modo que se proteja dicha información contra la revelación no autorizada o el uso indebido.
Acción: Se elaborará un procedimiento y unas instrucciones para sellar las cajas con etiquetas de forma que si son rasgadas pueda detectarse, y si así fuese, se deberá informar al Servicio de Seguridad.

A.10.8.3 Soportes físicos en tránsito: durante el transporte fuera de los límites físicos de la organización, los soportes que contengan información deben estar protegidos contra accesos no autorizados, usos indebidos o deterioro.
Acción: Se etiquetarán las cajas con el nivel confidencialidad de la información que contienen.

Para cumplir con el punto de la LOPD que afecta al traslado:

Artículo 108. Custodia de los soportes.
Mientras la documentación con datos de carácter personal no se encuentre archivada en los dispositivos de almacenamiento establecidos en el artículo anterior, por estar en proceso de revisión o tramitación, ya sea previo o posterior a su archivo, la persona que se encuentre al cargo de la misma deberá custodiarla e impedir en todo momento que pueda ser accedida por persona no autorizada.
Acción: Se redactara un acta de envío y una de recepción en la que constará claramente el compromiso de confidencialidad adquirido por el transportista y se designarán las personas de la Organización responsables tanto del envío como de la recepción.

Es importante que en el reverso de las actas de entrega se haga constar para el transportista el extracto de las clausulas de confidencialidad, y que este acta sea firmada tanto por la persona responsable como por el transportista. Para obtener más evidencias, se fotografió todo el proceso, con lo que además de por escrito, dejamos constancia gráfica. Sirva a modo de ejemplo:

Por último, otros documentos tan importantes o más que estos, son los correos en los que se asignan la diferentes tareas.

9.- Correos de asignación de responsabilidades.

En esos correos debe quedar claro: los encargados tanto de la salida/entrega al transportista como de la recepción, y las instrucciones para cumplimentar las actas de entrega y recepción. Debe especificarse en estos correos también que cualquier anomalía debe ser notificada al servicio de seguridad. En resumen:

Toda esta documentación se presenta en la siguiente reunión del Comité de Seguridad para que el comité sea conocedor del trabajo realizado. Ese acta también se adjunta a la documentación:

10.- Actas del Comité de Seguridad de la Información.

Como conclusión decir que el proceso ha funcionado, es real y las dos auditorías anuales de cumplimiento han confirmado la “bondad” de este proceder. Además tenemos constancia que nuestros compañeros de CSIRT-CV, que hace poco han tenido que trasladarse, han tomado como referencia estos documentos.

Esperamos que la descripción del proceso sirva de ayuda a organizaciones con retos similares. Si alguno de los lectores quiere recibir más información, puede especificarlo en los comentarios.