Desde hace algunos años han aparecido en el mercado diversas soluciones de seguridad para limitar los malos manejos y las fugas de información en las empresas. Las soluciones van desde controles aplicados a dispositivos de almacenamiento para restringir el copiado y la extracción de información, hasta controles lógicos en aplicativos y formatos de documentos, que limitan ciertas acciones como la edición, impresión o copiado del contenido.

Sin embargo, antes de adquirir e instalar este tipo de herramientas se debe definir una estrategia de protección de la información en la organización. Si bien es cierto que los medios electrónicos permiten la extracción de grandes volúmenes de información de manera sencilla y sin levantar sospechas (lo que implica un alto impacto para la empresa), en mi experiencia, los casos de fuga de información más frecuentes consisten de pequeños volúmenes de información que se filtran principalmente por deficiencias en los procesos y en la separación de funciones en las organizaciones.

En otras palabras. La principal causa de incidencias relacionadas con un mal manejo de la información no radican en la falta de este tipo de controles técnicos. De hecho, una buena parte de la información involucrada en incidencias se encuentra impresa o se transmite verbalmente.

Mediante una estrategia de protección de información es más sencillo encontrar el balance adecuado de controles para ambos tipos de amenazas, además de que ayuda a justificar la adquisición de dichos controles.


Primer paso: el inventario
Antes de decidir qué controles aplicar es necesario conocer lo que se va a proteger. Para ello debemos levantar un catálogo que contenga al menos los siguientes datos:

  • Tipo de información y breve descripción
  • Lugares donde se almacena, procesa o transmite
  • Responsable de esta información en la organización


El nivel de detalle es sumamente importante. Si pretenden manejar como tipo de información cada tipo de dato posible (ej. nombre de cliente, dirección de cliente,, teléfono del cliente, etc.), les garantizo que el proyecto va a fallar:

  • Es dificil ubicar todos los datos (en dónde se almacenan, procesan o transmiten).
  • Es probable que olvidemos catalogar algún dato importante.
  • Es probable que terminemos con un catálogo de varios miles de registros que sea inmanejable para nuestros propósitos


Regresando a nuestro ejemplo, en vez de pretender registrar todos los datos de un cliente podríamos catalogar en un mismo grupo todos estos datos: información de clientes. En este nivel no sabremos con exactitud en que archivos o bases de datos se ubican o a través de qué paquetes de red se transmiten, pero sí podemos saber a grandes razgos en qué aplicativos se almacenan y procesan estos datos, en dónde se imprimen y qué área de la organización es responsable de forma general de este tipo de información.

Una vez que tenemos este inventario sabremos qué información existe en la organización, donde se ubica y tendremos también una lista de personas o áreas responsables de la misma.

Para terminar listo algunos ejemplos de tipos de información que se pueden clasificar (típicamente una empresa debería tener entre 30 y 50 tipos de información distintos, lo cual es un número manejable):

  • Información de clientes
  • Información de proveedores
  • Información contable
  • Información legal
  • Información de nuevos productos
  • Información de productos actuales
  • Información sobre investigación y desarrollo
  • Información sobre configuración y arquitectura de sistemas
  • Información de mercado
  • Información del personal de la empresa
  • Información sobre sistemas de seguridad (ésta no se les puede olvidar ;-) )



Segundo paso: el análisis de impacto
Lo siguiente que debemos hacer es priorizar los registros de nuestro inventario de información para saber en dónde vamos a invertir más recursos (la idea es obviamente invertir más en lo que es más importante para el negocio). Para esto lo que recomiendo realizar es un análisis de impacto de negocio (ojo que impacto al negocio suele ser diferente de impacto a áreas específicas dentro de la empresa).

Para cada registro debemos estimar su impacto en casos de incidencias de seguridad. Recomiendo tratar 3 dimensiones relacionadas con la triada contestando preguntas simples para cada tipo de incidente (conviene pensar en el peor escenario para este efecto):

  • Confidencialidad: ¿Qué pasa si la información cae en manos de personas no autorizadas, como por ejemplo un delincuente, un reportero o un competidor?
  • Integridad: ¿Qué pasa si la información se corrompe, se pierde o se altera accidentalmente o intencionalmente?
  • Disponibilidad: ¿Qué pasa si la información no está accesible por cierto tiempo (ej. si se cae el sistema donde está almacenada)? ¿Cuánto tiempo puede el negocio tolerar esta falta de disponibilidad antes de que empiece a tener un impacto? ¿En qué fechas u horarios es más crítica una falla de disponibilidad?


No hay que romperse la cabeza tratando de determinar el impacto de forma cuantitativa (recuerden que aquí no hablamos de probabilidades). Simplemente traten de estimar junto con los usuarios y responsables de la información si el impacto es alto, medio o bajo para cada uno de los 3 tipos de incidentes. En el caso de disponibilidad es conveniente registrar además los tiempos máximos de tolerancia y los horarios críticos.


Tercer paso: la clasificación
Tras haber determinado el impacto conviene clasificar la información (también en las para las 3 dimensiones antes comentadas). Por lo tanto, por cada registro definiremos lo siguiente:

* Confidencialidad: Información clasificada como:
  • Secreta si el impacto es alto (muy pocos dentro de la empresa tienen acceso)
  • Restringida si el impacto es alto (varias áreas o toda la empresa tiene acceso)
  • Uso interno o pública, si el impacto es bajo

* Integridad y disponibilidad: Información clasificada como:
  • Nivel alto si el impacto es alto (típicamente requiere redundancia y alta disponibilidad)
  • Nivel medio si el impacto es medio (típicamente requiere ser respaldada con frecuencia)
  • Nivel bajo si el impacto es bajo (podría no requerir respaldos o de respaldos ocasionales)


Con esto tendremos una guía de qué niveles y tipos de protección se requieren.


Cuarto paso: requerimientos de protección
Ahora sí, ya que sabemos dónde está la información, que prioridades tiene para el negocio y qué criterios de protección debemos seguir de acuerdo a su clasificación, podemos empezar a definir controles.

Hablando de controles ya podemos empezar a hablar del tema de las probabilidades y de otros elementos que juegan un papel importante en la fórmula del riesgo. Así pues tenemos controles que enfocados en:

  • Vulnerabilidades - Deficiencias internas que permiten que ocurra un incidente (ej. uso de criptografía para evitar que la información en texto claro pueda ser leída por personal no autorizado)
  • Amenazas - Entidades o situaciones externas que generan incidencias al combinarse con una vulnerabilidad (ej. acuerdos de confidencialidad, sistemas de control de incendio).


Noten que por lo general los controles que actúan sobre amenazas suelen ser reactivos (impacto del incidente), mientras que los controles que actúan sobre vulnerabilidades tienden a ser más preventivos (probabilidad de que ocurra el incidente).

Con base en esto podemos definir los requerimientos de protección de la información, y básicamente lo que quiero decir con esto es que estamos en condiciones de generar un requerimiento de propuesta (RFP por sus siglas en inglés) para soluciones de seguridad. Teniendo el RFP ahora sí podemos ir a buscar y evaluar productos y servicios de seguridad en el mercado.

Conclusión

Podemos mejorar los niveles de protección de la información y hacer más eficiente la inversión en materia de seguridad mediante una estrategia de protección de información adecuada para la organización. La inversión de controles de seguridad debe ser el último paso del proceso.

Fuente: http://candadodigital.blogspot.com/2008/01/estrategia-de-proteccin-de-la.html