Evaluar Conozca los pros y contras de las tecnologías, productos y proyectos que está considerando.

Consideraciones al seguir normas de seguridad de la información

Fausto Cepeda analiza algunos puntos que las empresas deben tener en cuenta al implementar normas de seguridad informática.

Las normas de seguridad informática también son llamadas políticas de seguridad. No voy a definirlas ni a hablar de las ventajas de seguirlas; en este artículo deseo tratar un lado más oscuro de las normas y comentar sobre algunas "consideraciones" que se deben analizar al seguirlas. No me malentiendan, esto no significa que las normas no tengan ventajas o que éstas sean menores o irrelevantes, simplemente vamos a hacer un ejercicio en el que lo vemos todo de manera negativa.

Los auditores aman las normas

Las quieren porque buscan desviaciones en las normas de seguridad informática. No desean analizar el riesgo de seguridad, sino que prefieren ver el árbol caído en medio de un bosque frondoso. En la búsqueda de desviaciones, se enfocan solamente en ellas sin ver el impacto que causan. Alguna vez me dijeron que precisamente ése es el trabajo de una auditoría: identificar árboles caídos en un bosque en pie. Y las normas escritas sin excepciones son oro molido para los auditores.

Estándares vueltos normas

El ejemplo sería tomar el ISO/IEC 27001 y convertirlo en norma dentro de una organización. Los estándares deben ser auditables, es decir, deben generar una cantidad importante de documentación que sirva como sustento de evidencia de que se está siguiendo el estándar. Si eso lo convertimos en una norma, todo el mundo estará invirtiendo tiempo en documentar cuando podrían estar "haciendo seguridad”, porque es lo que dicta la norma organizacional.

Otro punto a considerar es que debemos adaptar y tropicalizar un estándar si lo queremos convertir en norma; no se trata solamente de cambiarle el nombre al estándar y listo, es importante adaptarlo, quitarle lo que no aplica y complementar lo que le falte. Sin mencionar que una norma debería orientarse más a establecer reglas de seguridad informática en una empresa.

Las normas no son garantía

¿Sigo una norma de seguridad informática y es garantía de que mi infraestructura es segura y no me van a hackear? En un mundo ideal, la respuesta debería ser "sí". El hecho de cumplir con las normas (compliance) no es sinónimo de estar seguro. Depende del contenido de la norma, de quién la haya escrito, del objetivo que persigue y de lo completa que sea. Y aún así, no hay garantía, sino únicamente un estado razonable de seguridad si es que la norma se sigue. Las buenas normas mitigan riesgos, no los eliminan por completo.

Lo largo sí importa

¿Se han encontrado con normas kilométricas? Esas que están escritas en un lenguaje rebuscado y confuso, o que simplemente son tan largas que hay que encontrar a un erudito dentro de la empresa que la conozca y la interprete (algo así como un especialista en la Biblia). Bajo estas condiciones, se pierde el objetivo de que los empleados la conozcan, la entiendan y la sigan.

¿Una norma es una estrategia?

Sé que me estoy metiendo en terrenos peligrosos y debatibles, pero en mi opinión una norma no es una estrategia de seguridad. Una norma dicta reglas y parámetros encaminados a mitigar riesgos y a aumentar el nivel de seguridad informática en las TI. Eso es todo.

Una norma no es automáticamente una estrategia de seguridad informática por el solo hecho de existir. Una estrategia es un plan previamente pensado y elaborado para abordar una situación y salir victorioso, tomando en cuenta las propias fortalezas y debilidades, así como las del atacante, considerando el tiempo y el espacio. Una estrategia es superior a las tácticas y planea de manera anticipada qué es lo que se debe realizar, el orden de las cosas que hay que establecer para coordinar los esfuerzos de un equipo y dirigir las armas. Hay una excepción, cuando la norma refleja lo que dicta una estrategia de seguridad para poder implementarla; pero ni aún así la norma será tal cual una estrategia.

Por ello, no podemos pensar que por tener una norma, tenemos una estrategia de seguridad. De hecho primero viene una estrategia y luego una norma, y posteriormente procedimientos. El problema es que pocas organizaciones cuentan con una estrategia de seguridad informática y lo que creen tener realmente es un plan, una serie de criterios o una política, pero no una estrategia.

En conclusión, toda empresa debe tener una norma o política de seguridad. Esto es innegable, pero no es una panacea. Hay consideraciones que se deben tomar en cuenta, algunas de las cuales acabo de exponer. Además, hay que recordar que una norma puede estar completa y casi perfecta, pero si no se conoce o no se sigue, de poco servirá.

Profundice más

Inicie la conversación

Envíenme notificaciones cuando otros miembros comenten sobre este artículo.

Por favor cree un Nombre de usuario para poder comentar.

- ANUNCIOS POR GOOGLE

Close