Materias seguridad de la información: Héroes olvidados de la seguridad

Hace mucho y lejanos tiempos, yo era el presidente de la EDP Auditors Association, la cual, algunos años más tarde, cambió su nombre a ISACA. Así que, aquí estamos 35 años después de mi período en ese cargo y hoy me maravillo en lo que se ha convertido ISACA: 140.000 miembros en más de 200 capítulos de 180 países. Uno de las cosas que estoy más orgulloso de la actual Asociación es la cantidad de miembros y la vasta comunidad a la cual sirve. Aun manteniendo una base en los profesionales de la auditoría de los SI y de las TI, ISACA ahora también comprende a otros profesionales tales como consultores, educadores, profesionales de la seguridad de la información, profesionales de riesgo, directores de información y auditores internos.¹

Se ha dicho que quienes están profesionalmente interesados en la seguridad y en el control de los sistemas de información, son principalmente los auditores, y que éstos tienen una relación de confrontación con la función de las tecnologías de la información.² No creo que esto sea necesariamente cierto o sea una verdad absoluta. Mi experiencia, al menos en la última década, es que hay muchos profesionales en las filas de las TI que son importantes contribuyentes a la seguridad de la información y que éstos deben ser reconocidos como tales.

Los administradores de bases de datos

Si hay algún atributo de la seguridad de la información que es universalmente reconocido, es el control de acceso a los datos. De acuerdo con un escritor, “el administrador de la base de datos (DBA), tiene tres tareas básicas. En orden decreciente de importancia son: proteger los datos, proteger los datos, y proteger los datos”.³ Los administradores de bases de datos, o quizás más específicamente, los administradores de datos, definen las reglas para los datos en la forma de metadatos. Estos profesionales establecen las políticas para el uso de los datos, en términos de la propiedad de los elementos, su uso por parte de las aplicaciones (y por extensión, de las personas), los permisos de acceso, y la modificación o eliminación de datos.⁴ Todo eso me suena muy parecido a la seguridad de la información.

Los administradores del sistema

Cuando un sistema tiene muchos usuarios, alguien debe ser responsable de la instalación, soporte y mantenimiento de éste. Esa persona se conoce como administrador del sistema (sysadmin) y tiene una amplia autoridad por el contenido, capacidad y rendimiento de los servidores, dispositivos de red y otros elementos de la configuración. Es comprensible que aquellos cuyos intereses están relacionados con la seguridad de la información deben tener cuidado con los administradores de sistemas, dado el poder que éstos tienen sobre el almacenamiento y el uso de los datos. Sin embargo, los administradores de sistemas son, o deberían ser, los primeros en saber cuándo un sistema actúa de manera extraña o bien esté fallando.⁵

En mi experiencia, los administradores de sistemas son muy protectores de sus dominios y muy centrados en la continuidad y seguridad de las operaciones, tanto en los dispositivos como en el software que ellos soportan. Así, a pesar de su potencial de poder socavar la seguridad, a menudo son ellos mismos los que se aseguran que la seguridad de la información esté funcionando.

Los planificadores de la recuperación de desastres

A veces, a pesar de todas las medidas de seguridad, los sistemas fallan. Cuando la causa es de naturaleza física, lo llamamos un desastre, y cuando sobreviene un desastre en un centro de datos, es el planificador de recuperación de desastres quien debiera haber desarrollado los procedimientos de restauración de las operaciones, generalmente en una ubicación alternativa. Esta persona debería tener un amplio conocimiento de la infraestructura y de las aplicaciones, con el fin de efectuar la recuperación de las operaciones dentro de los límites definidos por la Administración para los tiempos de inactividad y la pérdida tolerable de datos.

De por sí, la recuperación de desastres es un aspecto de la seguridad de la información. Por otra parte, los planificadores de recuperación de desastres necesitan mantener el control de accesos, la detección de intrusos y otras medidas de seguridad en los ambientes restaurados, al mismo nivel que tenían durante las operaciones normales. En consecuencia, tienen muchos atributos que los hacen participantes en la gestión de la seguridad de la información.

Los gerentes de continuidad de negocios

Estrechamente alineados (y aliados) con los planificadores de recuperación de desastres están los gerentes de continuidad de negocio. Mientras los primeros se preparan para la recuperación de las operaciones de TI, los últimos aseguran que las actividades de negocios pueden continuar en algún nivel aceptable mientras los sistemas estén abajo. En los casos en que desde una perspectiva del negocio no es aceptable un tiempo de inactividad, el gerente de la continuidad del negocio se convierte en el defensor de los usuarios finales en el trato con la gerencia de TI.

Algunos podrían preguntarse si la gestión de la continuidad del negocio es al fin de cuentas una función de la seguridad de la información. Durante muchos años, la norma básica de seguridad global, la ISO 27001, define la gestión de la continuidad del negocio como una componente de la seguridad de la información. En la versión 2013, con la publicación paralela de la norma ISO 22301 como un estándar de gestión de la continuidad del negocio, la atención de esta nueva norma se desplazó al mantenimiento de la seguridad de la información durante una situación de recuperación.⁶

El personal de adquisiciones

En nuestra época interconectada, es ampliamente reconocido que la seguridad y la capacidad de recuperación de las terceras partes son también elementos críticos de la seguridad de la información. Cuando se compran sistemas en la forma de productos y servicios, debe quedar claro que los requisitos para la seguridad deben ser tan altos como los requerimientos de seguridad de los sistemas desarrollados internamente, y tal vez más, ya que la organización que hace la adquisición tiene poco o ningún control sobre las prácticas de desarrollo del proveedor de éstos.

La persona que está en mejores condiciones para insistir en contar con una seguridad incorporada en la adquisición de los productos y servicios TI es el gerente de compras. Voy a dejar para un próximo artículo cómo esta persona, presumiblemente sin un profundo conocimiento de TI, o sin habilidades en seguridad de la información, podría comprender los requisitos básicos de seguridad de información de una organización o bien reconocer que éstos no se cumplen. Sin embargo, los gerentes de compras pueden ser fundamentales para lograr un nivel consistente en la seguridad de información en una empresa.

Gerentes de proyecto

Incluso si un sistema, ya sea adquirido o desarrollado internamente, tiene los mejores controles de seguridad, éstos controles pueden carecer de sentido si no se aplican correctamente. Grandes proyectos e implementaciones de sistemas son casi siempre proyectos de importancia y requieren de gerentes de proyecto capaces. Son estos gerentes de proyecto quienes aseguran que los sistemas se ponen en marcha de forma correcta, utilizando los métodos y controles adecuados, satisfaciendo las necesidades de los propietarios, y, oh sí, son entregados a tiempo y dentro del presupuesto. En algún lugar de su mandato, los gerentes de proyecto deben asegurar que la seguridad de la información se ha incorporado adecuadamente en los sistemas.

Los gerentes de proyecto deben tener los conocimientos y las habilidades para poder relacionar todos los requisitos de seguridad del proyecto de sistema que estén supervisando. Esto requiere una comprensión de cómo el sistema en cuestión cumple con esos requisitos y cuál es la forma en que el sistema implementado soporta la seguridad de la información (o la deja de soportar). Los gerentes de proyecto deben pensar en términos generales, teniendo en cuenta no solo la seguridad del sistema en cuestión, sino a todos los otros sistemas que funcionan en el mismo entorno, y cada vez más, significa considerar todo el conjunto de aplicaciones y su infraestructura.

Es por ello que aquellos de nosotros, que tenemos algún grado profundo de conocimiento en seguridad de la información, debemos trabajar con los gerentes de proyecto y todos los otros profesionales mencionados anteriormente, con una relación de respeto mutuo (y sin confrontación).

Solo juntando todas las habilidades mencionadas podemos mejorar la seguridad de la información de una organización y la calidad de su ambiente de TI. Así que, si quieres hacer algo para fomentar la seguridad de la información, considera invitar a un gerente de proyecto para el almuerzo. Y la próxima semana, a un DBA. Y después de eso, a un administrador de sistemas.

Quién sabe, tal vez usted puede convencerlos de unirse a ISACA.

Notas Finales

¹ ISACA, Membership, Guidance and Certification for IT Professionals, www.isaca.org/About-ISACA/What-We-Offer-Whom-We-Serve/Pages/default.aspx
² Singleton, T.; “Why Everyone Dislikes the IT Auditor and How to Change It,” ISACA Journal, vol. 1, 2016, www.isaca.org/Journal/archives/Pages/default.aspx
³ Watkins, B.; “What Does a DBA Do All Day?,” Enterprise Cloud, 26 June 2008, reprinted in Tech Republic, www.techrepublic.com/blog/the-enterprise-cloud/what-does-a-dba-do-all-day/
⁴ Cox, T. B.; “The Role of the Database Administrator,” Computer Weekly, March 2000, www.computerweekly.com/feature/White-Paper-The-role-of-the-database-administrator
⁵ Gite, V.; “What Is the Role of the System Administrator?,” nixCraft, 20 February 2006, www.cyberciti.biz/faq/what-is-the-role-of-the-system-administrator/
⁶ Verry, J.; “Is ISO 27001:2013 Clarification of Business Continuity Driving ISO 22301 Certification?,” PivotPoint Security, 14 November 2013, www.pivotpointsecurity.com/blog/iso-27001-2013-business-continuity-iso-22301/