Enfoque Metodológico para la selección de controles de seguridad de la información

Abstract

La gestión de la seguridad de la información es un desafío que ha ido cobrando cada vez más importancia. A medida que el número y gravedad de los ataques informáticos han crecido en el mundo, las empresas han comenzado a tomar conciencia de cuán importante es estar protegidos frente a acciones maliciosas que buscan vulnerar sus sistemas y acceder a sus activos de información. En particular, la automatización de los procesos y la digitalización de la información han expuesto a las organizaciones a ataques que buscan robar información o dañar sus sistemas. Cada vez es menos extraño escuchar noticias sobre un secuestro de información a través de los ransomware, o sobre ataques de denegación de servicio (DoS) para bloquear los accesos a dichos servicios. Estos ataques provocan cientos de millones de dólares en pérdidas en el mundo entero e incluso pueden llegar a detener la continuidad operacional de una organización. Frente a este escenario, es primordial que las organizaciones realicen una correcta gestión de la seguridad de la información, con el objetivo de proteger sus activos de información. Para ello, las organizaciones deben adoptar una actitud proactiva en lo referente a la seguridad, e implementar un conjunto de buenas prácticas en el quehacer de la organización que les permitan disminuir el riesgo de ser afectados por ataques informáticos. Con el fin de lograr este objetivo, existen estándares de seguridad en los que las organizaciones pueden apoyarse. Un estándar de seguridad de la información es una guía de implementación de buenas prácticas de seguridad, desde una perspectiva holística e integrada, que busca disminuir las vulnerabilidades de la organización a través de la implementación de un sistema de gestión de la seguridad de la información. Por tanto, a simple vista, la acción de protegerse es sencilla, ya que en teoría debería bastar con implementar el estándar para considerarse protegido. Sin embargo, la situación es algo más compleja, ya que se debe considerar que cada organización es un mundo aparte, con condiciones de operación y disponibilidad de recursos distintas. Lamentablemente el problema no consiste solo en implementar el estándar, sino que radica en determinar cuál es la mejor ruta de avance que puede tener una organización, considerando sus objetivos y condiciones particulares, así como su disponibilidad de recursos. Esto implica que cada definición de ruta es propia para cada organización. Desafortunadamente, hasta el momento no existe un modelo estándar que haya sistematizado el proceso de la definición de una ruta de avance de manera que pueda ser aplicada por cualquier organización. Actualmente la definición de una ruta de avance se traduce en la selección y planificación de la implementación de controles de un estándar de seguridad, y se basa principalmente en el juicio experto. Sin embargo, este proceder es subjetivo, ya que depende de la experiencia y visión del asesor, que no siempre considera las condiciones propias de la organización. Además, es un proceso que puede tomar bastante tiempo, ya que son múltiples las variables que se deben considerar. Otro problema es que este modo de definir la ruta de avance no asegura que la respuesta sea la óptima para la organización en base a sus condiciones, ya que, si bien se utilizan algunas técnicas como la gestión de riesgos, estas mayormente son de índole cualitativa. Por último, dado que el proceso de recomendación de la selección e implementación de controles de seguridad no está estandarizado ni es sistemático y dependen del asesor de seguridad, éste no es replicable, es decir, nada asegura que, de realizarse nuevamente, se obtendrían los mismos resultados. Esta tesis pretende paliar estos problemas, para lo cual plantea un enfoque metodológico para la selección y planificación de la implementación de controles de seguridad que estandarice y sistematice dicho proceso a través de la aplicación de modelos y técnicas de optimización. Estos modelos y técnicas permiten modelar la situación particular de la organización (Objetivos y restricciones) y aseguran una solución óptima para las condiciones representadas. La principal contribución de este trabajo es por tanto la propuesta de un proceso estándar y sistemático, pero que puede ser aplicado a cualquier organización, ajustándose a sus condiciones particulares, y que entrega la mejor solución para dichas condiciones. Este proceso se presenta como un apoyo útil para el asesor de seguridad a la hora de que éste realice sus recomendaciones de seguridad respecto de los controles que cada organización debe implementar para avanzar en el logro de un estándar de seguridad. Como contribuciones secundarias, se ha definido un marco conceptual de seguridad de la información que integra diversas visiones de las variables y relaciones que involucra la seguridad de la información. Es este marco conceptual el que apoya la modelación de los problemas de optimización que genera nuestra propuesta. Otro aporte es la identificación y categorización de los diversos problemas o escenarios que podrían considerarse para la modelación, es decir, basada en los diversos tipos de situaciones que una organización podría querer resolver. Esta categorización va más allá de los casos particulares de la industria que se suelen reportar en la literatura, y ha permitido identificar casos de las categorías más complejas que las que suelen encontrarse en dicha literatura. En esta línea, hemos desarrollado un ejemplo con una situación de una categoría compleja, lo que representa una contribución en sí misma. Un cuarto aporte es la generación de una herramienta informática que soporta el enfoque propuesto y apoya al asesor de seguridad en la aplicación de nuestra propuesta. La herramienta facilita, principalmente, la modelación y la resolución de dichos modelos, por lo que el asesor solo debe preocuparse del análisis de las respuestas. No hemos encontrado en otras propuestas descritas en la literatura herramientas que apoyen sus propuestas. Por último, el trabajo presenta una evaluación de la propuesta, a través de un estudio de adopción de métodos, con estudiantes de pregrado en un curso de auditoría informática. Este estudio evidenció una tendencia de los sujetos en estudio hacia la adopción de la propuesta, percibiéndola como un elemento útil y que se ajusta a su manera de trabajar. La principal debilidad de la propuesta se centró en la facilidad de uso, ya que la modelación y resolución del problema requiere de conocimientos avanzados de técnicas de optimización. En definitiva, la propuesta de este trabajo provee a la comunidad de la gestión de la seguridad de la información de un enfoque metodológico que permite sistematizar un proceso que hasta el momento solo se sustentaba en propuestas sobre casos particulares, por lo que no había sido estandarizado y su alcance era bastante limitado. Esto representa un avance en un ámbito que se encuentra en desarrollo y que aún no logra abarcar y solucionar todas las complejidades que presenta este problema. Creemos que la propuesta de esta tesis representa un avance en la dirección correcta, al definir lineamientos y soluciones sobre problemas que aún no habían sido enfrentados.