1 21 23 140

Seguritecnia 340

Opinión 22 SEGURITECNIA Abril 2008 C uadro de mandos Primer paso, indicadores ideales A la hora de desarrollar el cuadro de mandos, empeza- mos por identificar aquellos indicadores que entendía- mos que necesitaríamos para conocer cuál era el nivel de seguridad. Nos salió una relación de más de mil in- dicadores. Era fantástico, porque podríamos haber al detalle cuál era el estado de la seguridad de la información en cada uno de los procesos de la empresa. Sin embargo, se nos había olvidado un pequeño detalle: para mantener el cua- dro de mandos actualizado, prácticamente necesitábamos a tres personas con dedicación exclusiva. Llegamos a la conclusión de que por muy ideales que fueran los más de mil indicadores, no era viable desde un punto de vista operativo. Segundo paso, indicadores existentes Una vez vimos que no era viable esta forma de estable- cer un cuadro de mandos, volvimos a nuestra idea general. Analizamos los indicadores de los que podíamos disponer con un nivel de esfuerzo razonable. Nos alegró mucho ver que con los indicadores que estábamos manejando, podía- mos medir el nivel de eficacia de cerca del 60 por ciento de los objetivos de la norma ISO 27000, por lo que única- mente nos quedó completar el 40 por ciento restante. Desarrollamos así un cuadro de mandos que, partiendo de unos algo más de un centenar de indicadores, nos aporta información sobre la eficacia de todo el sistema de gestión, y que se va agregando por una parte en objetivos y secciones de la norma ISO 27002, y por otra parte en las cuatro listas clásicas de un balanced score card . C onsecuencias del análisis de riesgos Auditorías externas Del primer análisis de riesgos se derivaron una serie de ac- tuaciones, de las cuales la primera fue realizar un análisis detallado de cuál era la situación de seguridad a nivel de red, sistemas, código fuente e infraestructuras. La información de la que se disponía como punto de partida para realizar el análisis de riesgos no era sufi- ciente. Nos pareció que lo más recomendable era contra- tar para cada cosa a empresas externas que estuvieran es- pecializadas en ese campo. Los resultados de estas auditorías externas nos permi- tieron, por una parte, asignar las valoraciones relacionadas con probabilidad e impacto dentro del análisis de riesgo y, Inventario de sistemas Nuestra empresa tiene un crecimiento en los sistemas in- formáticos muy importante. Si, por ejemplo, decidiéramos hacer un análisis de riesgo cada seis meses, en cada revi- sión nos encontraríamos con centenares de nuevos servi- dores que no han estado contemplados dentro de los aná- lisis de riesgos previos. Por lo tanto, nuestro primer reto, desde la perspectiva del análisis de riesgos, era mantener actualizado el inven- tario de activos de sistemas informáticos, incorporando la información necesaria para hacer una valoración de los ni- veles de riesgo de cada uno de ellos. Para esto, adquirimos una herramienta automatizada de análisis y gestión de in- ventario de equipos y vulnerabilidades que alimentara a nuestra herramienta de análisis de riesgos. Herramienta a medida En un principio, comenzamos a trabajar con bases de da- tos hechas a medida, hojas de cálculo, modelos de in- formes, scripts de integración, etc. al final, una vez que pudimos verificar que el modelo funcionaba y que era razonable, acabamos desarrollando internamente una he- rramienta que recogiera todas estas características. Actualmente, disponemos de un sistema de análisis y gestión de riesgos que se va actualizando de forma se- miautomática, proporcionando información sobre el nivel de riesgo de los distintos entornos de la empresa, de forma más o menos continua. Para analizar los riesgos y su repercusión en el negocio es in- dispensable un consenso de intereses entre los distintos depar- tamentos de una empresa.

RkJQdWJsaXNoZXIy MTI4MzQz