💾 Archived View for gamifi.cat › blog › 2015-01-26_seguretat_info_2 captured on 2023-09-28 at 16:35:25. Gemini links have been rewritten to link to archived content
⬅️ Previous capture (2023-03-20)
-=-=-=-=-=-=-
Si al primer mòdul es tocaven els fonaments i els conceptes bàsics de la Seguretat de la Informació, en aquest segon, se’ns parla de la gestió d’aquesta seguretat. Aviam què diu en Federico, que m’encanta com s’explica.
Primerament, hem de tenir en compte algunes coses com la necessitat d’aquesta gestió i un sistema de gestió pròpiament, és a dir, les eines adequades per portar-la a terme, que estrictament es diu Implementació de Sistemes de Gestió de la Seguretat de la Informació (SGSI). També és important l’estructura normativa que permetrà la posada en marxa d’aquest sistema de gestió. Hi ha gestions per avorrir: gestió del risc, gestió de canvis i activitats, gestió d’incidents…Per últim, la cirereta del pastís: la consciència de l’usuari.
Els objectius principals de la gestió de la seguretat són:
El sistema de gestió de la Seguretat de la Informació disposa d’uns estàndards, com la família ISO 2700, que deriva de la BS7799. Per exemple:
Hi ha també altres estàndards de gestió, com el COBIT (Control OBjectives for Information and related Technologies).
Per manca de consciència, a moltes empreses (i també a nivell particular, d’usuari) no es veu la problemàtica de la seguretat com un problema que ens afecti directament. “Es hackeja als altres, jo no tinc res que ningú vulgui a venir a buscar” i coses per l’estil. Val temps o diners, cal gestionar-ho i no es troba necessari…Anem bé, cirerer!
Crec que directius i usuaris estem allunyats de les problemàtiques reals de la Seguretat de la Informació perquè encara no hem entès que formem tots part d’aquesta nova realitat virtual, que ens permet projectar la nostra subjectivitat sòlida en una xarxa líquida, Internet.
Als sistemes jeràrquics sempre hi ha un responsable funcional de les polítiques, procediments i normatives (CISO, Chief Information Security Officer o ISSO, Information Systems Security Officer) però també hi ha una màxima autoritat que es materialitza en un comité de seguretat. Això és així en empreses grans perquè es necessita diferents persones de diferents àrees per tal de tenir en compte tots els aspectes possibles.
Respecte a la gestió del risc i la classificació de la informació, hem de prendre moltes mesures: accions preventives, correctives, d’acceptació, de transferència (entenc que passant “el marrón”, hehe). El pitjor, però, és ignorar el risc…Primer s’han d’analitzar i fer una previsió i després prendre les mesures més adeqüades. El risc no es pot eliminar però es pot reduir al màxim.
Hi ha amenaces i vulnerabilitats, i una vulnerabilitat pot ser una amenaça. Una porta que no es pot tancar bé i un exploit (programa maliciós) són el mateix però un és sòlid, propi del món físic i l’altre líquid, del món digital. Hem de protegir els actius d’informació i per fer-ho hem de:
La classificació de la informació és un procés previ i molt important ja que permet categoritzar la informació. A més, ajuda a identificar els nivells de confidencialitat, integritat i disponibilitat. Els criteris de valor s’estableixen en funció de qui ha creat aquella informació, la seva vida útil o la seva vinculació amb altres persones. Els nivells del valor d’aquests actius poden ser públics, privats o confidencials.
Trobarem propietaris de la informació i custodis de la informació, un administrador del sistema, per exemple. Però també tenim a l’usuari, que és qui fa servir la informació, i l’auditor, que vetlla perquè es compleixin normatives, etc.
Gestió del canvi: un canvi pot provocar un problema en la seguretat, així que, davant qualsevol canvi, s’ha de tenir en compte l’impacte d’aquest a través de la seva avaluació i implementació.
Gestió dels logs: els registres seqüencials dels esdeveniments. S’ha de pensar la lògica dels logs i establir la informació que es requereix, controlant el cicle de la informació, des de que es genera fins que desapareix.
Gestió de les activitats: és important que més d’una persona s’encarregui d’aquest tema. Es parla de segregació de funcions, és a dir, que la totalitat del procediment s’ha de repartir entre persones amb diferents funcions per tal que ningú tingui el monopoli de les activitats. La validació no se la pot fer un a un mateix… “Sóc de l’àrea de compres, tinc accés, em dóno un crèdit”, per exemple.
La rotació de les tasques també facilita el coneixement de tots els processos i millora la gestió de les activitats. M’ha sobtat això de les vacances obligatòries: mentre un no hi és es veu que es poden fer auditories sobre la feina feta. La mesura permet detectar tan coses bones com dolentes: frau o esforç personal. Les dades simplement mostren el que les persones fem…La meva pregunta és si no es poden fer auditories encara que estiguis treballant…Són dades, no? En fi, seguim.
Gestió d’incidents: alguna cosa dolenta sempre acaba passant, així és la vida…Sabent-ho, doncs, podem prevenir mals majors…Primer es fa una previsió, però tot i així, davant de cada incidència, s’haurà, com sempre, d’avaluar i minimitzar, erradicar si és possible. És més important ensinistrar la capacitat de resacció que solucionar un problema concret perquè la cosa tracta de preparar-se suficient com per poder-los resoldre a mesura que vagin sorgint.
El CSIRT (Computer Security Incident Response Team), com el seu nom molt bé indica, és l’equip que dóna resposta als incidents tècnics relacionats amb la seguretat. Es veu que sol haver CSIRTs nacionals i se’ns exposen: US-CERT, ArCERT, AusCERT…(Estats Units, Argentina i Austràlia, respectivamenet). Les “E” són d’Emergency…Computer Emergency Response Team.
Per últim, destacar el paper humà en quant a la consciència sobre la seguretat: què fer amb les dades i com. És primordial que les persones, que encara controlem els sistemes, tinguem coneixement i pautes de bones pràctiques a l’hora d’interactuar amb la gestió de la Seguretat de la Informació.