Toda empresa que decide destinar recursos a la compra de herramientas de Seguridad Informática tiene resuelta sólo una parte de sus problemas. Para que esta tecnología cumpla sus objetivos debe estar correctamente elegida, instalada, mantenida y controlada en sus interacciones con el personal, lo que constituye una acción de gerenciamiento.
Comencemos analizando los eventos más frescos en nuestra memoria. Las grandes epidemias de virus que causaron problemas en todo el mundo y también en Argentina, desde “Love Letter” hasta “Blaster” pasando por todos sus primos, tuvieron un denominador común: algunos de los antivirus más eficientes podían detectarlos, aunque no identificarlos ya que se trataba de un virus nuevo que no figuraba todavía en su base de datos.
Recordemos que la mayoría de los antivirus pueden hacer dos cosas: “identificar un virus” cuando éste figura en su base de datos y “detectar un virus” reconociendo acciones potencialmente dañinas de un virus que no figura en la base. Lo que se concluye de las pruebas de laboratorio realizadas con los antivirus más eficientes, es que las epidemias de virus deberían haber sido mucho menores debido a la posibilidad de del antivirus de “detectar” un virus nuevo.
Entonces, ¿donde radica la diferencia? Justamente en que las condiciones de laboratorio no son las de una empresa. En un laboratorio es posible simular condiciones de hardware y software, pero es difícil simular las condiciones de “peopleware”, o sea de la interacción de personas sobre el sistema. Una empresa puede comprar el mejor antivirus, pero si su configuración permite que cualquier usuario lo desactive para correr un programa que consume mucha memoria, tendrá un punto vulnerable.
Por lo tanto, la implementación de Seguridad Informática en las empresas no sólo implica comprar hardware y software adecuado, sino organizar y controlar las interacciones de sus usuarios legítimos que cumplen las reglas, de los que no cumplen las reglas, de los que comenten impericias, de los que o pertenecen a la empresa pero tratan de acceder por diferentes razones y de los ataques que provienen de Internet y otros vínculos de conexión.
¿Esto quiere decir que no hay buenos Gerentes y Jefes de Seguridad? No. De hecho en Argentina los hay y algunos tienen niveles de profesionalidad comparables a quienes se forman en Estados Unidos o en algunos países de Europa. El problema radica en la complejidad de los entornos a administrar y en lo limitado de los recursos económicos, humanos y de tiempo.
Ocuparse de organizar y controlar un entorno de cientos o miles de usuarios, con sus políticas de acceso, consola antivirus, consola firewall, consola Intrusion Detection, ejecución de backup y todo en un día a día que incluye la mesa de ayuda a usuarios y el sistema de reporte de incidentes, es una tarea expuesta a errores o a generación de ventanas de riesgo cuando no se puede completar una tarea a tiempo.
En cuanto a los recursos económicos, la pesificación y reducción de los presupuestos de IT que se produjo en Argentina luego de diciembre de 2001 fue un hecho que precipitó aún más la disminución que venían sufriendo. La consecuencia de contar con menos recursos económicos implica no sólo contar con menos tecnología, sino también contar con menos recurso humano y con menos posibilidades de capacitar al personal que se pudo mentener. Esta disminución de los presupuestos complicó el gerenciamiento debido a que los objetivos de Seguridad para una empresa no pueden variarse fácilmente. Un Gerente de Tecnología puede pasar para el año que viene el reemplazo de algunos servidores para que le cierren los números de presupuesto, pero un Gerente de Seguridad Informática no puede pasar para el año que viene la actualización de un antivirus o de un firewall.
Pero en pocas profesiones como en la Seguridad Informática es tan cierto que una crisis equivale a una oportunidad. Este año comenzó con un escenario local marcado por tres hechos cuyo objetivo es legislar y normalizar aspectos de la Seguridad Informática. Esto pueden se aprovechados como marco para realizar una reingeniería acotada a los procesos de organización y control de la Seguridad.
Habeas Data, Firma Digital y 17799
A fines del 2001 se reglamentó la ya sancionada ley de Habeas Data, que impacta sobre la Seguridad Informática de las empresas que manejan bases de datos de individuos, las que deben ser protegidas con parámetros específicos.
La otra ley importante para la seguridad es la de Firma Digital, que fue reglamentada a fines del 2002 y posibilita que los documentos generados por computadoras firmados con un sistema de encriptación asimétrica complementado con un certificado digital emitido por una autoridad homologada, tengan la misma validez legal que un papel firmado de puño y letra. Esta ley tiene por objetivo darle un marco general al uso de la Firma Digital, pero no invalida a los sistemas similares pero que no cumplen con la totalidad de la ley y existen desde hace años respaldados legalmente por un convenio de partes.
Con respecto al tema de las normativas, en septiembre del 2002 el IRAM (Instituto Argentino de Racionalización) homologó como IRAM 17799 la conocida norma ISO 17799 de Seguridad Informática. La adopción por parte de las empresas de la estructura de organización y control de la seguridad informática de la 17799 plantea dos tipos de beneficios. El primero se aplica a las empresas que todavía no cuentan con una organización de seguridad informática formal y necesitan un modelo probado. El segundo es que se trata de un estándar homologado a nivel nacional y mundial, lo que lo vuelve inobjetable a la hora de tener que responder a cualquier tipo de auditoría.
Conclusión: un problema de Management y de toda la empresa.
En la realidad de hoy, el éxito de un Sistema de Seguridad Informática depende de su Gerenciamiento y el éxito de éste depende de su Diseño y sus Controles, el éxito del Diseño y los Controles depende de su Equilibrio entre los Niveles de Seguridad y Operatividad, el éxito del Equilibrio entre los niveles de Seguridad y Operatividad dependen de la Ecuación Económica de Inversión en IT (conocimiento y tecnología) y el éxito de la Ecuación Económica de Inversión en IT depende de la Ecuación de Riesgo Empresario de la organización.
Por Lic. Gustavo Aldegani
Gustavo Aldegani es un Consultor Independiente en Seguridad Informática con más de 15 años de experiencia en el diseño e implementación de proyectos en ambientes Militares, Gubernamentales y Privados de Estados Unidos, América Latina y Argentina.