¿Cómo medir el estado de la seguridad de la información?

Cuando se desea mantener la seguridad dentro de las organizaciones, es importante conocer si se están llevando a cabo las iniciativas adecuadas que contribuyan a alcanzar esta meta. Se podría pensar que una empresa es segura si no ha sufrido ningún tipo de incidente, pero esto no es del todo acertado, puesto que puede padecer vulnerabilidades aún no explotadas, que la mantienen expuesta y es solo cuestión de tiempo para verse afectada.

Algo similar sucede con los sistemas operativos y las aplicaciones que se utilizan, ya que en ocasiones se adjudica la característica de “seguro” a algún software por mera percepción, aunque esto no necesariamente resulta cierto, ya que el software puede ser vulnerable. Podría tratarse de una herramienta poco utilizada por lo que podría ser menos atacada, pero esto mantiene sin conocer sus debilidades.

Por lo tanto, definir el estado de la seguridad se vuelve una tarea relevante por estos y otros factores. Lo que es un hecho, es que por la misma definición nada es completamente seguro. Partiendo de esta idea, el objetivo es acercarse cada vez más a condiciones generalmente aceptadas como ‘seguras’, a través de distintas acciones y utilizando referencias que permitan realizar una estimación de los avances logrados en la materia.

Análisis de brechas como punto de partida

Por lo anterior, resulta necesario comparar la manera en la que se están realizando las cosas, y un punto de partida es contar con los parámetros y/o criterios que puedan ser utilizados como referencia y conocer las brechas o resquicios por donde se comienza perder la seguridad.

Un análisis de brechas (del inglés, Gap Analysis) es un método que permite identificar la distancia existente entre la actual gestión de seguridad de la información en una organización y las buenas prácticas reconocidas en la industria.

A través de distintas técnicas como entrevistas, observaciones o evidencias, un consultor evalúa diferentes áreas de la compañía con el propósito de identificar la situación actual en materia de seguridad, utilizando como referencia las mejores prácticas o normas vigentes que abordan de manera especializada la seguridad de la información.

Los resultados permiten tener una mejor estimación sobre la manera en la que se protege la información dentro de las organizaciones, de manera que sea menos subjetivo indicar que tan seguros o no son los procedimientos utilizados en este momento y los que se desearía alcanzar en el futuro.

Seguridad ofensiva para la identificación de fallas

Del mismo modo, otra manera de conocer el estado de la seguridad es a través de evaluaciones de vulnerabilidades (Vulnerability Assessment), una técnica utilizada para revisar los recursos y activos presentes en la infraestructura tecnológica de una organización.

Tiene como base la identificación de puertos abiertos, servicios disponibles y a partir de ello la detección de posibles vulnerabilidades presentes en los sistemas objetivos, en las plataformas de software o hardware. A través de un conjunto de pasos definidos para la evaluación, el propósito es solucionar las fallas conocidas, antes de que puedan ser aprovechadas para generar un impacto negativo.

En una etapa posterior a la evaluación de vulnerabilidades se encuentran las pruebas de penetración (Penetration Testing), que no solamente tienen como propósito conocer las debilidades existentes en la infraestructura revisada, sino que además involucra un análisis de mayor profundidad a través del aprovechamiento de las vulnerabilidades identificadas, con el propósito de cuantificar o cualificar el impacto real sobre la organización, derivado de una explotación efectiva de una o más vulnerabilidades.

En este sentido, estos resultados pero sobre todo las acciones de remediación, también permiten tener una mejor estimación sobre la forma en la que se está protegiendo la información.

Niveles de madurez en las operaciones

Aunque en ocasiones puede resultar intuitivo saber cómo se están llevando a cabo las iniciativas y operaciones en materia de seguridad, una herramienta útil para tener un criterio objetivo son los modelos de madurez.

Esto modelos ofrecen una escala que se define en función las características en las operaciones, que pueden ir desde un estado en el cual la organización no reconoce la necesidad de la seguridad y por lo tanto no se cuenta con responsabilidades asignadas, reportes o procesos de respuesta para resolver brechas; hasta un nivel en el cual la seguridad de la información es una responsabilidad de la alta dirección, se encuentra integrada con los objetivos de seguridad del negocio, los requisitos, procesos y funciones están definidos y se optimizan.

Esta última idea se considera como un estado idóneo para la aplicación de la seguridad, pero en el camino se pueden tener otras condiciones como contar con procesos inicialmente definidos, repetibles, documentados, así como administrados y medidos, antes de llegar a una etapa de mejora y optimización.

El propósito: un mayor acercamiento hacia condiciones más seguras

Por todo lo descrito anteriormente, si bien no se podrá alcanzar un estado totalmente seguro, las acciones que se lleven a cabo nos acercarán cada vez más a condiciones concebidas como seguras a través de criterios más objetivos, en donde se puedan evitar muchas de las amenazas informáticas, y en caso de que esto no sea posible, que sus consecuencias sean las mínimas aceptables.

Las referencias consideradas en esta publicación, a su vez, permitirán tener parámetros sobre lo que se desea alcanzar en temas de seguridad, aunque lo más importante es mantenerse continuamente informado en un proceso de mejora permanente, ya que con la identificación de nuevas vulnerabilidades, el desarrollo de amenazas cada vez más complejas y el dinamismo de los riesgos, nuestros parámetros y prácticas de seguridad también deberán ser actualizados.

Créditos imagen: © Sean MacEntee/Flickr

Autor , ESET

Síguenos