Protección de Activos (II)

En la anterior entrada de protección de activos comenté que para proteger adecuadamente los activos de una organización es necesario tener en cuenta tres capas: Capa administrativa, capa física y capa técnica. En esta nueva entrada profundizaremos en la capa física.

Capa de protección Física

Es la capa más visual y normalmente la primera en implantarse, aunque todos sabemos que la mayoría de ataques y robos se producen por medios electrónicos debido a que el ataque se puede realizar desde cualquier lugar y con mucho menor riesgo para el atacante. En la capa física se tiene en cuenta las siguientes tareas:

• Lo primero es decidir dónde ubicar el CPD, desgraciadamente aún hay arquitectos que no tienen en cuenta el CPD, no diseñando y habilitando zonas dedicadas y preparadas para alojar el DataCenter. Alojar el CPD en el sótano no es una buena decisión si la sala es susceptible de inundación, mientras que tampoco es buena idea alojarlo en plantas altas del edificio si el lugar es susceptible a terremotos, por tanto una buena opción sería alojarlo en la segunda planta con acceso a un montacargas.
  
  
• Posteriormente se puede instalar Circuitos de Televisión (CCTV) para videovigilancia, contratar guardas de seguridad e implantar el control de acceso mediante tarjetas magnéticas o sistemas biométricos para que quede registro de quién ha entrado en la sala.
  
  
• La electricidad es la sangre de los sistemas así que debemos asegurarnos de que no se queden sin electricidad mediante fuentes de alimentación redundantes, SAIs y grupos electrógenos.
  
  
• Es recomendable instalar alarmas y sensores para detectar el agua, el calor, el humo y el fuego, además de sistemas de protección contra incendios. También es necesario instalar sistemas de aire acondicionado, calefacción y ventilación, respetando los pasillos de aire frío y aire caliente en el CPD. Dependiendo de los activos a proteger puede ser útil instalar sensores de vibración, sistemas ultrasónicos para detectar la presencia humana, sistemas subterráneos de detección sísmica y/o tecnologías de infrarrojo y microondas.
  
  
• Por otro lado hay que ser consciente de la importancia de realizar una adecuada instalación de cableado estructurado en el edificio, donde se identifiquen los cables, se determine qué tipo de cable utilizar (cobre, UTP, STP, SFTP, fibra, monomodo, multimodo, etc) además de decidir la ubicación de los switches de planta.
  
  
• Para proteger las cintas de copias de seguridad podemos utilizar armarios ignífugos y/o trasladarlas a un lugar seguro fuera del edificio.
  
  
• Por último, es importante disponer de mecanismos de eliminación de activos como destructoras de papel, plástico y CD/DVD. Mientras que para desechar activos como discos duros podemos formatearlos a bajo nivel o destruirlos.

Las medidas de protección física a aplicar dependerá de las necesidades y criticidad de los activos a proteger, por ejemplo nos podemos encontrar CPD donde puedes entrar como Pedro por su casa y llevarte servidores, y hay otros donde te piden el TC1 y tardas 40 minutos en entrar. Por otro lado, para medir la fiabilidad de los CPD de definieron los Tiers, donde por ejemplo un Tier III nos dice que la infraestructura no fallará más de 1.6 horas al año y no hay interrupciones por mantenimientos planificados aunque puede haber imprevistos que causen interrupciones del servicio.

Para finalizar, os dejo un vídeo del CPD de Vodafone inundado, para que veamos la importancia de ubicarlo adecuadamente. ¡Espero que no nos veamos en una de estas!

Protección de Activos (I)

Todas las organizaciones disponen de activos que hacen posible su funcionamiento, lógicamente no todos los activos tienen la misma importancia para la organización por ello es imprescindible analizar cada uno de ellos para dotarlos de su protección adecuada.

Según Magerit podemos dividir los activos por su naturaleza:

• Servicios, es decir los procesos de negocio de la organización.
• Datos/Información.
• Aplicaciones.
• Equipos informáticos.
• Personal, tanto interno como subcontratado.
• Redes de comunicaciones.
• Soportes de información como CD/DVD, lápiz de memoria, discos duros, etc.
• Equipamiento auxiliar como destructoras de documentación, etc.
• Instalaciones como oficinas, vehículos, etc.
• Intangibles como la imagen y la reputación de la organización.

Muchas veces se tiende a pensar que para proteger cada uno de estos activos tan solo son necesarias medidas técnicas olvidándonos de otras capas de protección como la administrativa y la física. Es decir, una adecuada protección de activos se debe realizar mediante tres capas de protección: Capa Administrativa, Capa Física y Capa Técnica.

Capa de protección Administrativa

Es la primera medida de protección que debemos establecer, donde se definen las políticas, procedimientos y estándares a utilizar. Por tanto es una capa en la que se realizan las siguientes tareas:

• Se elabora mucha documentación ya que se redactan los procedimientos de Gestión de Altas y Bajas de activos, procedimientos de Gestión de Incidentes, Gestión de Problemas, Gestión de la Capacidad, etc.
• Definición de la estructura organizativa (CISO, CPO, ISSM).
• Clasificación de la información (Pública, Sensible, Privada o de uso interno, Confidencial).
• Definir quién es el propietario de los datos, los usuarios y el guardián o protector de los datos.
• Definición de los requerimientos de retención de los datos, ya que dependiendo de la legislación que aplique será necesario mantener los datos durante un periodo de tiempo u otro.
• Es necesario establecer planes de formación para el personal en materia de seguridad para que tengan concienciación sobre los problemas de seguridad a los que se pueden enfrentar diariamente (spam, virus, phishing, etc)
• Gestionar todos los activos físicos, para ello es necesario tenerlo debidamente inventariado y etiquetado, donde sepamos exactamente quién es el propietario de cada elemento, de esta manera ante la terminación del contrato de uno de los empleados sabemos exactamente qué activos hay que retirarle. También es necesario tener inventariado todo el software y licencias que dispone la organización.

En una anterior entrada pregunté ¿la seguridad está en el firewall? debido a que aún muchas organizaciones piensan que con el cortafuegos es suficiente para proteger sus activos, y en esta entrada podemos ver que para proteger los activos se necesita algo más que un cortafuegos. Si tienes dudas de si tu organización está cumpliendo correctamente los controles de seguridad es interesante realizar auditorías para que un tercero independiente de la organización pueda evaluar y comprobar si se están ejecutando correctamente todos los controles y procedimientos.

Para no extenderme más, dejaremos para la siguiente entrada la capa de protección Física y Técnica.

Gestión e Implementación de Sistemas

En la actualidad la mayoría de organizaciones no funcionarían sin ordenadores y teléfonos, si sumamos que cada vez existen más aplicaciones y servicios que ayudan a las empresas en su operativa diaria vemos que es de vital importancia entender cuál es el Ciclo de Vida de los Sistemas de Información. Para que los sistemas funcionen debe existir un ecosistema alrededor que los haga funcionar adecuadamente. A pesar de lo que muchas personas puedan pensar, los sistemas de información NO se mantienen solos, existe un departamento de IT con una estructura definida con sus roles y responsabilidades que se encargan de darle vida, de mantenerlos y solucionar cualquier problema o incidente antes que afecte al usuario final.

Para su implantación y mantenimiento se definen y siguen políticas, estándares y procedimientos IT que permiten tener controlada toda la plataforma de IT. Además, en entornos profesionales donde haya que cumplir un SLA y una parada del servicio cause pérdidas para la organización se realizan análisis de riesgos minuciosos que ponen en conocimiento puntos únicos de fallos y riegos que previamente no se tenían en cuenta. Y como no puede ser de otra manera, todos los servicios se ofrecen a usuarios finales, que también hay que darles soporte ante cualquier duda o problema que tengan.

Para darle forma a todo lo comentado anteriormente podemos basarnos en las mejores prácticas de ITIL, que entre otras cosas nos ayudará a gestionar los problemas, además de gestionar la capacidad, otra tarea que los usuarios finales no son conscientes debido a que están acostumbrados a encender el PC y tener disponible todos los servicios de forma sencilla y rápida.

Otro punto, y no menos importante, que los usuarios finales, y algunos jefes, no entienden es la Gestión de la Seguridad de la Información donde es necesario clasificar la información (pública, sensible, privada, confidencial), definir el propietario y usuarios de los datos, establecer los requerimientos de retención de los datos sobre todo si hay que cumplir alguna norma, además de formar al personal constantemente en materia de seguridad y tecnología, ya que esta es muy cambiante.

Y por último para tener controlada la plataforma IT es estrictamente necesario monitorizarla, para ello se necesita un sistema de monitorización, gestionar los logs de los sistemas, controlar el acceso a los sistemas y a los datos, además de controlar las aplicaciones, virus y ataques. No olvidemos que en la monitorización también se encuentra el control de la temperatura, humedad, ventilación, humos, electricidad, etc.

En definitiva, como todos sabemos trabajamos en la sombra y mientras que todo funcione correctamente parece que no existimos, sin embargo cuando algo sale mal, ya sea por falta de recursos o cualquier otro motivo, “¡qué malos son mis informáticos!”. Así que animo a todos a seguir trabajando lo mejor que podemos y sabemos, además de demostrar cada vez que podamos que para prestar servicios de calidad son necesarias personas que se ocupen de ellos.

Ciclo de vida de los Sistemas de Información

Implantar un nuevo sistema en una organización es un proceso laborioso y costoso. A veces se realiza sin saber exactamente el impacto que tendrá sobre los usuarios finales o sobre los sistemas con los que tendrá que convivir, añadiendo incertidumbre a la implantación. Mientras que otras veces se impone por Dirección pensando que será “bueno” para la organización, sin previamente analizar si el nuevo sistema se alinea con los objetivos del negocio.

En el proceso de implantación podemos encontrar a usuarios que se opongan a aprender a utilizar nuevas herramientas, aunque estas estén diseñadas para automatizar tareas repetitivas y así liberar al personal de realizar dichas tareas para que desarrollen tareas mucho más productivas.

Elegir qué sistema implantar es una labor difícil de tomar, siempre debe ir respaldada, apoyada y validada por Dirección ya que ante una auditoría será necesario aportar evidencias de la decisión tomada, es decir, será imprescindible demostrar que se ha realizado una exhaustiva evaluación de necesidades y se ha escogido el producto que mejor se alinea al negocio. Ante la falta de evidencias, Dirección deberá asumir la responsabilidad si se demuestra que ha habido una mala gestión o se ha utilizado el poder de decisión para favorecer un determinado proveedor o fabricante.

A la hora de elegir qué sistema implantar, es importante valorar el soporte que recibiremos ante cualquier incidencia o problema, además de qué estándar y certificaciones posee la herramienta. Por ejemplo, estoy acostumbrado a ver cómo se escoge un sistema u otro dependiendo del número de CPU, memoria o conexiones por segundo, sin embargo muy pocas personas se fijan si el producto elegido tiene la certificación ISO 15408 que nos indica que ha pasado rigurosas pruebas de seguridad, siendo esta certificación muy valorada por el gobierno americano. Afortunadamente la mayoría de fabricantes con prestigio tienen dicha certificación, como podemos ver en Fortinet, F5, Palo Alto o Radware.

Una vez evaluada la calidad del producto a implantar, y tras realizar pruebas en el entorno de pre-producción, desarrollo o demo, es hora de realizar la Gestión de Cambios, es decir, decidir cómo pasamos a producción. Existen dos formas de pasar a producción, la primera sería implantar el nuevo sistema junto con el anterior añadiendo mayor carga de trabajo al tener que mantener los dos sistemas pero menor riesgo ya que volver al estado anterior se realizaría de manera rápida. La otra forma de pasar a producción sería quitar el antiguo sistema y poner el nuevo, esta forma tiene menor carga de trabajo pero mucho mayor riesgos. En cualquier caso es muy importante tener procedimentado y documentado cómo se pasará a producción.

Por supuesto, los sistemas no se mantienen solos, hay que actualizarlos y mantenerlos. A lo largo de la vida del sistema aparecerán averías hardware, bugs, vulnerabilidades y nuevas funcionalidades, y este mantenimiento tiene un coste. En cuanto el coste del mantenimiento esté por encima de los beneficios obtenidos será necesario evaluar otro sistema y desmantelar el sistema actual. Antes de desecharlo será necesario seguir el procedimiento de baja del activo donde nos aseguremos del destino de este activo.

Apartar un sistema de producción, es decir apagarlo porque ya no se utilice, puede llegar a ser un problema en grandes organizaciones donde existan muchos sistemas y muchos usuarios si no se tiene controlado los acceso a los mismos. Por este motivo a veces se mantienen los sistemas más tiempo de lo necesario consumiendo recursos y por ende aumentando el coste.

¿Tienes algún sistema en tu organización que te da miedo apagar porque no sabes con certeza quién lo está utilizando? Cuéntanos tu historia.