9/2/09

Diez años de seguridad de la información

Tal día como hoy, mi director de proyecto de fin de carrera me ofrecía participar en un proyecto piloto de la Universidad relacionado con el "Análisis de los riesgos de seguridad de la Información" para la Dirección General de Informática de la Comunidad Autónoma de la Región de Murcia.
Aquella oferta de trabajo era mi primera actividad profesional tras la finalización de la carrera y me puso entre las manos la versión 1.0 de MAGERIT junto con el software desarrollado por Sema Group para dar soporte a la metodología. El año 1999 fue, en temas de seguridad, bastante movidito. Todo el mundo iba como loco con las pruebas para superar el año 2000. Algunas aplicaciones de gestión económica empezaban la migración hacia el Euro. Además, en verano de ese año se publica el R.D. 994/1999 con las medidas de seguridad para los sistemas automatizados de tratamiento de datos de carácter personal.
Aunque este post no pretende ser un resumen de batallas de un abuelo cebolletas, recuerdo que las primeras referencias por aquel entonces en "gestión de la seguridad" venían establecidas por las Guias NIST y los libros conocidos como Rainbow Series de la NSA, en concreto el famoso libro naranja.

En aquel momento, los criterios de seguridad de la información americanos eran la referencia aunque ya empezaba a ser famosa la norma BS-7799 con las buenas prácticas para la gestión de la seguridad de la información.
Recuerdo que había dos visiones enfrentadas donde por un lado, los americanos establecían sus criterios propios para todo lo suyo y por otro, se hablaba de gestión de la seguridad de la información en base al cumplimiento de buenas prácticas. Este mismo choque de enfoques se producía en los criterios de certificación de productos de seguridad, donde los americanos defendían los TCSEC y los europeos los criterios ITSEC. Finalmente ambos criterios acabaron unificados bajo los "Common Criteria" o ISO 15408.

Al finalizar el proyecto con Magerit no tuve más opción que desplazarme a Madrid para seguir currando con esa nueva y apasionante disciplina conocida como "análisis de riesgos de la seguridad de la información". Por suerte, tuve la oportunidad de entrar en la empresa Innosec, una empresa dedicada a seguridad informática donde Gustavo San Felipe, hoy CISO de Acens apostó por un profesional con experiencia en análisis de riesgos dado que eso del diseño de la seguridad basado en el análisis de riesgos lo veía como algo esencial en el futuro. Era la época de la venta masiva de firewalls, de los primeros antivirus perimetrales y del inicio de las redes privadas virtuales. Y en medio de tanto cacharro estaba yo por allí purulando y dando el follón respecto a lo importante que era escribir políticas de seguridad y el cumplimiento de la LOPD. Fruto de aquella época son dos artículos en la revista SIC sobre "análisis de riesgos" e ISO 15408.
Posteriormente Innosec fue adquirida por el Grupo Satec y pasé a formar parte del departamento de seguridad. Allí más de lo mismo. Empresa muy tecnológica que vendía tanto productos como instalación y configuración de equipamiento de seguridad pero que me tenía como recurso dedicado a los temas burocráticos de la seguridad, el papeleo inutil que eran las políticas, normas y procedimientos. Recuerdo intensamente las discusiones en las comidas sobre la importancia del análisis de riesgos para el diseño de las necesidades de seguridad aunque era un entorno muy técnico que no podía entender como podía haber cosas más importantes que un buen firewall o antivirus. Incluso muchas veces cuando me ponía radical y comentaba que algún día las empresas se certificarían en seguridad igual que se hacía para la calidad con ISO 9000, me veían como el freaky de las políticas y normas de seguridad que nunca sirven para nada.
De aquella época, muy a mi pesar, me llevé puestas también algunas certificaciones de producto (CCSA de CheckPoint, TSCE de TrendMicro, MCP de Microsoft). Todo esto transcurrió entre el año 2000 a 2004. En materia de gestión de la seguridad de la información, ya estaba publicada ISO 17799:2000 y era una verdadera referencia respecto a qué era necesario considerar cuando se hablaba de "gestión de la seguridad de la información". Una vez cansado de hacer ofertas sobre diseño de políticas de seguridad y análisis de riesgos y tras finalizar un proyecto de diagnóstico del cumplimiento de la LOPD para un servicio de salud de una comunidad autónoma, decido que tenía que ejercer y bajar a la arena de los proyectos concretos relacionados con lo mio (gestión de la seguridad de la información) y un compañero de curso de seguridad me ofrece la oportunidad de dar un paso hacia Murcia y me bajo a Almería a trabajar para una empresa de servicios de una Entidad Financiera que tenía también un área de consultoría de seguridad de la información. El primer trabajo en esta nueva empresa consistió en la realización de un análisis diferencial contra ISO 17799:2000 y el desarrollo de una política corporativa de seguridad que sirviera de marco normativo para un conjunto de normas y procedimientos concretos. En esta empresa también tuve que currar bastante en materia de LOPD dado que la parte de medidas de seguridad intentábamos cubrirla como actividades integradas dentro de ISO 17799:2000 de la época. También, casi al final de esta época, se publica UNE 71502:2004 y me toca entrar ya de lleno en los sistemas de gestión de la seguridad de la información. Estuve impartiendo un cursos sobre UNE 71502 y la importancia de esto que ahora se podía certificar y que era la "gestión de la seguridad de la información". Todo esto transcurrió entre el año 2004 a comienzos del 2007. La verdad es que la publicación de ISO 27001:2005 nos pilló por sorpresa a todos, incluido AENOR. Se hablaba de una futura norma internacional certificable pero lo que en aquel momento se conocía es que cada país trabajaría con su propia norma dentro de su esquema interno de certificación para posteriormente hacer una norma común e internacional certificable. BS tenía su 17799-2, Aenor su UNE 71502 y otros países las suyas. Sin embargo, en 2005 se publica ISO 27001 que deja claro que debido a la importancia y las necesidades de normativa en esta materia, la norma internacional no podía esperar al 2008 que era para cuando se esperaba. Esto en España ha tenido como consecuencia los guisaguisados de los certificados UNE 71502 e ISO 27001 conviviendo un tiempo, hasta que se ha elaborado ya la UNE-ISO/IEC 27001:2007.

Finalmente (la historia ya está acabando), a mediados del 2006 me vuelvo a casa a trabajar en la consultora Firma, Proyectos y Formación S. L. dedicada en aquel momento a "protección de datos" que con mi incorporación, abre el área de "seguridad de la información". Y desde entonces hasta ahora, todos los proyectos han estado relacionados o bien con partes de un SGSI (sobre todo el análisis de riesgos, estudios diferenciales ISO 27002 o el desarrollo de marcos normativos de seguridad de la información) o bien con la construcción e implantación de SGSI, siendo actualmente la referencia más importante la lograda hace un par de años por la Consejería de Agricultura de la Región de Murcia, primera Administración Pública que logró una certificación acreditada bajo esquema UKAS.

Espero que este breve repaso a estos diez años de trayectoria profesional hayan servido para pintar unas breves trazas de cómo ha ido evolucionando esto de la "gestión de la seguridad de la información" hasta alcanzar ya su cuota de relevancia dentro de las organizaciones.

Solo espero y deseo que el ansia y la motivación que supone "certificarse bajo ISO 27001" no acabe prostituyendo a la propia seguridad de la información. Montar la documentación necesaria para establecer un sistema de gestión de lo que sea es fácil (Sólo son necesarios los procedimientos generales que establece todo SG) pero gestionar un SGSI requiere de conocimientos de seguridad de la información (si no sabes de aquello que quieres gestionar, dificilmente podrás controlarlo). En próximos días escribiré un post sobre "SGSI enfermos desde el diseño" que extracta unas primeras impresiones/conclusiones basadas en mis experiencias de estas últimas semanas auditando como auditor interno a varias empresas que han montado su propio SGSI. Mis impresiones no son buenas aunque aquí la principal responsabilidad la tienen las entidades de certificación respecto a su criterio para otorgar o no una certificación. Yo, como auditor/consultor percibo que las nuevas versiones de ISO 27001:2005 tienen que establecer de forma más contundente requisitos formales respecto a:
  • Criterios para que una metodología de análisis de riesgos sea correcta, fiable y completa.

  • Unos mínimos criterios sobre la gestión de la eficacia que hay que hacer para conocer qué y cuanto hay que medir.

  • Una nueva versión de la ISO 27002:2005 que incorpore nuevos objetivos de control y aglutine o agrupe controles dado que hay áreas que tienen relativamente pocos controles y otras que disponen de demasiados.


Por lo que estoy encontrándome al auditar, las cosas más comunes son:
  • Metodologías de análisis de riesgos que suponen lo mismo que sacar el dedo y decidir al azar los principales problemas de seguridad.

  • SGSI sin objetivos de seguridad o con unos indicadores que no sirven para nada para evaluar el cumplimiento de objetivos

  • Hacer el análisis de riesgos de forma exhaustiva y detallada pero no volverlo a mirar más ni siquiera para elaborar el plan de tratamiento de riesgos


Y estoy seguro que luego muchas empresas lucirán con esplendor su magnífico sello "ISO 27001". De todas formas, aquí creo que es tonto autoengañarse y que el tiempo podrá a todo el mundo en su sitio. Quien gestione bien la seguridad evitará o detectará incidentes y no tendrá problemas reales con impactos reales. Aquellos que tengan un SG-SGSI (un sistema de gestión para engañar al sistema de gestión de la seguridad de la información) tendrá unos indicadores preciosos, unos procedimentos cojonudos pero andarán todo el día apagando fuegos y perdiendo datos, cuando no siendo multados por incumplir la LOPD. En este segundo caso, el sello no servirá para nada, dado que los incidentes seguirán produciéndose de igual manera y por tanto, no se beneficiarán de lo que supone una verdadera "gestión de la seguridad de la información". No saldrán de la cultura apagafuegos que tradicionalmente venía utilizándose en esta materia y para la que el SGSI se supone que es el mejor antídoto.

4 comentarios:

Anónimo dijo...

Muchas gracias por tus valiosas reflexiones, que denotan que llevas mucho tiempo en la materia y que dispones de mucha experiencia.

Te escribo para pedirte consejo, dado que soy un consultor con varios años de experiencia en asesoramiento en la LOPD, pero que en la actualidad estoy en paro y todos las ofertas de empleo que encuentro piden además de saber LOPD que se sepa de ISO 27001.

¿Como podia hacer para formarme en la materia? ¿que cursos o libros debería leer? Gracias por adelantado.

¿Me aconsejas que me gaste el dinero y me haga un curso de esos de implantador ISO 27001? o en esos curos solo se dice ¿que se debe hacer y no el como?

P.D. Confio en que me contestes a mi pregunta, ya que estoy desesperado por que me descartan en los procesos de selección por no saber ISO 27001, analisis de riesgos.

Javier Cao Avellaneda dijo...

Estimado anónimo,
Respecto a la decisión que vas a tomar voy a intentar darte algunas referencias que pueden ser de tu interés.
Respecto a ISO 27001, el único libro que conozco que habla del proceso se puede adquirir en http://www.agapea.com/libros/DISEnO-DE-UN-SISTEMA-DE-GESTIoN-DE-SEGURIDAD-DE-INFORMACIoN-isbn-9586827135-i.htm

La formación sobre ISO 27001 cuenta ya con una segmentación clara: implantador o auditor. Si te quieres dedicar a ejecutar proyectos yo me decantaría por la primera opción. También, si eres técnico y autodidacta, puedes recurrir a localizar material de iniciación a estos temas. Se aprovecha mucho mas un curso cuando ya sabes de que van las cosas que cuando todo te resulta nuevo. Al respecto, dentro del SGSI hay como dos áreas diferenciadas: el análisis y la gestión del riesgo y la construcción formal del SGSI. En cualquier caso, ambas cosas vienen establecidas por las normas ISO 27001 e ISO 27002 que puedes localizar en el grupo Google del presente blog (la segunda pestaña).

Respecto a análisis de riesgos, una buena aproximación es el documento de ENISA sobre el tema localizable en http://www.enisa.europa.eu/rmra/h_home.html

Ánimo anónimo que este área es solo una extensión y evolución de la LOPD y seguro que no te resultará complicado entrar en este mundillo.

Anónimo dijo...

Muchas gracias por tu rápida respuesta y por tus ánimos que son de agradecer.

¿De los cursos que hay actualmente cual me recomiendas? Lo digo porque los de AENOR son carísimos cuestan hasta casi 6000 euros por tan solo 49 horas de clases, los de BSI de un dia mil y pico euros.

En cuanto al libro anda descatalogado.

Me apuntaré al foro.

Gracias

rafadimelo dijo...

Buenas tardes Javier,

Como siempre, excelente tu visión de la situación pasada, presente y a la _en mi opinión_ degeneración a la que nos estamos exponiendo cada día de un modo más claro.

Lamentablemente, creo que no somos muchos los que pensamos que el diseño, establecimiento y gestión de un SGSI tiene que tener SIEMPRE un objetivo claro y definido, con una utilidad clara y palpable. De nada sirven los cuadros de mando magnificamente detallados, si no se trabaja con KPIs adaptadas a lo que realmente se hace en esa organización en el día a día.
Sorprendente las ansias de "parecer" que muchas entidades-organizaciones se plantean a la hora de abordar un proyecto como un SGSI.

Por mi experiencia, cada vez me encuentro con más "expertos" sin ninguna experiencia, que creen que por tener la ISO impresa en el maletín del portátil, pueden abarcar más que de sobra un analisis de riesgos, una implantacion de un SGSI o lo que se les ponga por delante.

Esperemos que podamos salvar algo del naufragio.

Lanzo una reflexión al aire: ¿quedan empresas consultoras/implantadoras en España/Europa donde su portfolio de servicios no es un copy-paste de los "palabros" de moda?
¿Hay algun lugar donde los que hemos visto el mercado de la seguridad crecer en España podamos seguir poniendo en práctica unas ideas claras y definidas, basadas en la experiencia y en el sentido común?

Un saludo