27 agosto 2007

Gestionando con controles

Hoy toca la tercera (y última) entrega de la serie. Después de revisar las tres dimensiones de un SGSI, y analizar las dependencias entre el alcance y el SoA, hoy toca reflexionar sobre la relación entre la tercera dimensión, la profundidad, y las dos anteriores.

La relación entre la aplicación o no de los controles y su intensidad es obvia. Evidentemente, sólo hablaremos de la intensidad con la que se aplican los controles que sí están aplicados. Aunque también sería posible hablar de la intensidad de todos, si definimos como “intensidad 0” todos los no aplicados. Así podríamos “comernos” una de las dimensiones, y facilitar la representación gráfica…

La relación entre la fortaleza de cada control y el alcance no es directa, y sin embargo es clave en todo SGSI. Esta relación viene a través de una “segunda derivada”: el análisis y la gestión de los riesgos. Es evidente que el análisis de riesgos se va a llevar a cabo dentro del entorno definido por el alcance. Y su resultado son los riesgos que es necesario gestionar. Ahora bien: cómo se deben gestionar dichos riesgos?

En primer lugar, debemos tener claro cual es el máximo nivel de riesgo que admite nuestra organización. A partir de ahí, si existen riesgos que superen dicho umbral, tendremos que seleccionar los controles a aplicar para reducirlos. Estos controles, por supuesto, pueden ser “nuevos” (previamente no estaban aplicados) o pueden estar ya aplicados. Diferencia entre ambos casos? A nivel teórico, ninguna: en las dos situaciones se trata de intensificar un control (de nivel 0 a nivel x o de nivel y a nivel y+x), con el fin de que la reducción del nivel de riesgo sea tal que el riesgo residual quede por debajo del umbral máximo definido.

Cuál es, entonces, la clave para seleccionar una u otra opción? La eficiencia y eficacia de cada una de ellas. De entre todas las opciones (aplicar un nuevo control a, intensificar otro b, o modificar un tercero c, por ejemplo) siempre va a haber una que sea la más barata, y una cuyos resultados sean los mejores. Y lo más habitual es que nunca coincidan. Así que habrá que valorar tanto el nivel de beneficio (reducción de riesgos) obtenido como los costes (inicial, de mantenimiento, de intensificación del control en caso de que se decidiera, …) asociados a cada uno de ellos.

Respecto a la selección de controles, un consejillo. En muchos casos suele ser más barato (y más sencillo) adoptar un nuevo control con “poca profundidad” (de forma manual en muchos casos y/o artesana en la mayoría) que intensificar uno ya aplicado (que habitualmente pasa por la adopción o mejora de soluciones tecnológicas, normalmente más caras). Y en muchos casos puede ser suficiente, sobre todo si tenemos en cuenta que el objetivo debe ser reducir el nivel de riesgo, no “eliminarlo”.

En resumen, vemos que una pieza clave sobre la que se articula la relación entre las dimensiones de un SGSI es el análisis de riesgos, y que su adecuada gestión va a ser un punto clave para conseguir un SGSI que se adecue a nuestras expectativas. No es una conclusión sorprendente, verdad? Al fin y al cabo, por algo es uno de los requisitos de la ISO 27001.

Y es que, en el fondo, todo se resume en lo mismo: conoce tu entorno, analiza y gestiona sus riesgos, y aplica el sentido común.

6 comentarios:

Javier Cao Avellaneda dijo...

Muy buenos tus tres últimos comentarios con los que no puedo estar más de acuerdo.

Joseba Enjuto dijo...

Me alegro de que compartas mi opinión. Sobre todo, teniendo en cuenta que en estos temas no hay tanta unanimidad como en otros, dentro del sector...

Javier Cao Avellaneda dijo...

Para futuros post, te invito a reflexionar sobre la problemática del análisis y gestión del riesgo. Es la fase crucial para el diseño del SGSI y sin embargo, demasiado basada en estimaciones que proporcionan incertidumbre sobre los resultados. Tampoco tengo claro tras el análisis cómo acertar en los planes de seguridad para mitigar los riesgos y en base a qué poder estimar cuales serán los beneficios de un control en la reducción de un riesgo concreto.
Respecto a la unanimidad, depende del palo del que se venga. Los hay que vienen de la gestión, de la seguridad informática, de la gestión de la seguridad, de la legislación, etc...

Alejandro Delgado dijo...

Estoy completamente de acuerdo con todo lo que decís, pero aquí es donde me surge una duda importante: da la sensación (corregidme si me equivoco) de que "hecha la ley, hecha la trampa". Me explico: el nivel de riesgo aceptable (o residual) lo pone la empresa, ¿no?, entonces si pone un nivel muy alto los controles pueden ser poco intensos, ¿verdad?, incluso llegado el caso puede asumir el riesgo...
Me gustaría reflexionar más sobre este tema, que sinceramente lo veo bastante importante.
Un saludo

Joseba Enjuto dijo...

En teoría tienes razón: si asumimos mucho nivel de riesgo, no tenemos que establecer demasiados controles ni demasiado intensos. Pero la realidad no es tan sencilla, ya que entran en juego los controles "ya establecidos" por la organización (previamente a la implantación del SGSI) y con los que la nueva gestión de riesgos tiene que ser coherente. Además, si pensamos en una certificación de ese SGSI, entra en juego el "criterio del auditor", que puede querer pedir explicaciones sobre una asunción de riesgos no acorde con el negocio de la organización... En fin, no es tan sencillo como parece, pero es un tema que da bastante de sí. Explicaciones más a fondo las dejo pendiente para un próximo post...

Alejandro Delgado dijo...

Espero ese post con mucha expectación...
Creo que uno de los temas que más dudas suscitan a la hora de implementar un SGSI es eso precisamente, ¿hasta dónde hay que llegar en la implantación de controles?, ¿los usuarios tienen que acceder por token o con contraseñas "de toda la vida" vale?, ¿hay que blindar la sala de servidores o vale con una puerta con llave?,¿firewall físico con una DMZ o un simple cortafuegos doméstico por software?,... no sé, a mi personalmente me produce muchas dudas este tema.
Un saludo!!!