Ethernalia’s Blog

Partiendo de la base de la norma británica BS7799, surge a finales del año 2005 la ISO/IEC 27001 como el estándar internacional para la implantación de un Sistema de Gestión de la Seguridad de la Información (SGSI) de las organizaciones. Esta nueva norma ISO establece los códigos de buenas prácticas en cuanto a la Seguridad de la Información se refiere, por lo que ha de constituirse en la fuente de inspiración de todas las organizaciones que quieran proteger de forma adecuada su Información.

Son tres los pilares fundamentales en lo que a Información se refiere:

• Disponibilidad: acceso y utilización de la información y los sistemas de tratamiento de la misma por parte de los individuos, entidades o procesos autorizados cuando éstos lo requieran.
• Integridad: exactitud y completitud de la información y los métodos de procesamiento.
• Confidencialidad: la información está sólo a disposición de individuos, entidades o procesos autorizados.

Existen una serie de factores que se encuentran directamente relacionados con el éxito en la implantación de un SGSI y que han de ser analizados antes de su inicio:

1. Compromiso por parte de la Alta Dirección; a través de su implicación en el Comité de Seguridad encargado de tomar las decisiones relevantes en materia de Seguridad TIC.
2. Implicar a toda la organización; no se trata sólo del departamento encargado de su implantación sino de todos los profesionales que manejan Información, deben estar concienciados.
3. Enfoque, alcance y ámbito de aplicación; estrategia fundamental en términos de negocio, organización, activos y tecnologías.

Para la implantación de un SGSI, lo más adecuado es guiarse por el ciclo de Deming:

1. Planificación; viene dado por tres aspectos fundamentales:

• Definición de una Política de Seguridad, que debe incluir el alcance y ámbito de aplicación, los requerimientos legales, criterios de evaluación del riesgo… Ha de estar aprobada por la dirección de la organización.
• Identificación, estudio y análisis de los riesgos, estableciendo los criterios de aceptación del riesgo y especificando los niveles de riesgo aceptable. Ha de realizarse mediante una metodología que facilite su identificación y cuyos resultados sean comparables y repetibles.
• Gestión de los riesgos a través de las diferentes opciones: eliminarlo (prescindiendo de activos innecesarios, reemplazando tecnologías obsoletas…), transferirlo a terceros (firma de seguros o externalización), asumirlo o controlarlo. En este último caso, han de seleccionarse los controles más adecuados teniendo en cuenta dos binomios: nivel de seguridad – coste de seguridad y coste de protección – coste de exposición, además del riesgo residual resultante.

2. Implementación o puesta en marcha de las directrices de la Política de Seguridad establecida, con la implantación de los controles y el seguimiento de sus procedimientos. Es importante acompañar este proceso de formación en materia de Seguridad a todo el personal de la organización.

3. Verificación: a través de la monitorización y mediciones, además de revisiones periódicas. Ello nos permitirá:

• Detectar a tiempo los errores en los resultados generados por el procesamiento de la información.
• Identificar brechas e incidentes de seguridad.
• Determinar si los roles y responsabilidades establecidos se desarrollan en relación a lo previsto.
• Detectar y prevenir eventos e incidentes de seguridad mediante el uso de indicadores.
• Determinar si las acciones correctivas realizadas para resolver incidentes de seguridad fueron eficaces.

4. Mejora: directamente relacionada con el paso anterior, consiste en la ejecución de las acciones preventivas y correctivas además de las posibles mejoras detectadas. Es importante asegurarse de que se alcanzan los objetivos previstos.

La efectiva implementación de un SGSI depende en gran medida de la concepción inicial del proyecto y la adaptación del modelo a las necesidades de cada empresa, porque cada empresa es única y único debe ser su modelo de gestión.

Es curioso, pero dentro del sector TIC nos empeñamos constantemente en movernos como masas uniformes, otorgando a determinadas materias el rango de ley sobre un futuro extraordinario.

Se ha pasado de entornos centralizados a entornos distribuidos, de software licenciado a software libre, se habla de servicios de correo no corporativos, y en todos y cada uno de ellos, toda vez iniciado el acalorado debate, se finaliza sin grandes conclusiones. Sin duda alguna, la nuestra en una industria de “moda”, que necesita reinventarse cada cierto tiempo, entre otras cosas para justificar tasas de crecimiento aceptables. En otro artículo trataremos el caso del debate inciado sobre la conveniencia de sacar el correo corporativo de las organizaciones (por ejemplo, a través de gmail), pero quisiera comentar aquí las dudas, beneficios o inconvenientes que aparecen cuando tratamos el archifamoso tema del Cloud Computing (¿nube o realidad?).

No voy a comentar nada sobre la definición de Cloud Computing; muchas y sencillas explicaciones al respecto se encuentran en cualquier sitio. Hay grandes whitepapers que explican a profanos en la materia los conceptos básicos relacionados (a destacar uno de NTT, especialmente brillante) y múltiples los foros, chats y blogs (aparte de éste) donde se menciona el tema (creo recordar uno de Enrique Dans…). Sin embargo, me gustaría orientar la cuestión hacia un campo específico, el de las pymes y micropymes: ¿es el Cloud Computing un instrumento válido para organizaciones empresariales pequeñas o muy pequeñas?

Si nos atenemos a cuestiones puras de coste, evidentemente sí. El coste de las aplicaciones a usar vía SaaS es considerablemente más reducido que mediante la adquisición de licencias, al menos a priori y sin entrar en estudios pormenorizados (por ejemplo, hay soluciones SaaS de ERP, CRM, perfectamente válidas y muy asequibles). Si simplificamos el conceto Cloud, y lo referimos en exclusiva a espacio de alojamiento (servidores dedicados, hosting, web hosting,…), la respuesta sigue siendo positiva; ya existen entidades, como la americana RackSpace, que ofrece cloud servers a 1,5 céntimos de dolar/hora, hasta 10 GB. Proyectándolo a un horizonte temporal anual, nos daría un coste por servidor de entre 200 – 300 dólares anuales. ¿Hay alguna cuenta de resultados que no soporte éso?

Ahora bien: ¿y desde el punto de vista del servicio? ¿están los proveedores preparados para responder con un servicio de calidad a las demandas del cliente, a esos costes? Ellos, obviamente, responderán que sí; y en cuanto a los potenciales clientes, ¿están preparados, desde un punto de vista formativo y cultural, para este tipo de servicio? Algunos, con toda seguridad, sí; en otros muchos, y conociendo el nivel de desarrollo tecnológico de que disponemos en este país, la respuesta lamentablemente será no.

Las dudas que nos suscita la viabilidad del Cloud Computing en pymes y micropymes son numerosas; las dudas de dicha viabilidad en este país, innumerables: queramos o no queramos, nos parezaca mejor o peor, la realidad nos dice que el 90% de nuestro tejido empresarial lo forman micropymes.

Sólo el tiempo dirá si el Cloud Computing es una realidad o simplemente una nube pasajera…