Seguritecnia 385

SEGURITECNIA Abril 2012 35 Gestión integral de la Seguridad dad lógica es la gestión de incidentes. En mi opinión, ha ayudado mucho la naturaleza cambiante de los riesgos ló- gicos, lo que ha obligado a una cons- tante actualización y preparación para el siguiente ataque desconocido, no solo desde el punto de vista tecnoló- gico, sino también desde la perspec- tiva de procedimientos y cualificación del personal. Según los estándares, la gestión de seguridad se basa en aplicar PDCA ( Plan–Do–Check–Act ). Mientras que la gestión de incidentes utiliza otro PDCA más focalizado, que a mí me gusta re- sumir con un lenguaje más coloquial, con cierto sentido común (es bastante fácil confundir la A de Act con la D de Do y con el verbo ‘actuar’). 1. Ten visión sobre lo que está pasando (vista). 2. Analiza, determina qué hacer (cerebro). 3. Actúa (manos). 4. Aprende de lo ocurrido (memoria). Los puntos 1, 2 y 4 son la base de lo que actualmente se engloba bajo el concepto de Inteligencia, muy ligado al de Ciberseguridad. Ejemplos que funcionan desde se- guridad lógica, perfectamente aplica- bles a Seguridad Integral, son: ▪ Vista: Monitorización de disponibi- lidad, logs , eventos, vulerabilidades, vigilancia digital, etc. ▪ Cerebro: Correlación, análisis foren- ses, CERT, etc. Se puede apreciar que la sinergia con seguridad física es total. Orientación a proceso y a negocio La consideración tradicional de seguri- dad lógica como un departamento ais- lado del negocio (cercanos a lo “friki” y con el “no” por delante) ha ido cam- biando hacia una actividad mucho más alineada con el mismo, lo que ha obligado a orientarse a proceso y a ob- jetivar/demostrar el buen hacer. Uno de los principales detonantes de esta transformación ha sido el poder con- seguir presupuestos año a año. Es obvio que la falta de presupuesto constituye uno de los mayores aguje- ros de seguridad, pero no olvidemos que es imprescindible presentar plan- teamientos rigurosos basados en pa- rámetros importantes para el negocio de cara a conseguir el dinero. Toda la práctica de Seguridad Integral, incluso con leyes como la de PIC encima de la mesa, se tambalea si no se alinea con el negocio. Esta situación, por muy trivial que parezca en su planteamiento, sigue siendo una asignatura pendiente en muchas organizaciones. No obstante, se han dado pasos de gigante y los es- tándares de gestión de seguridad y similares han aportado herramientas bastante rigurosas en esta dirección. En particular, las metodologías de análisis de riesgos (lógicos) y su ges- tión, la ISO 27000, el Esquema Nacio- nal de Seguridad (ENS) y la UNE 71599 / BS 25999 están siendo profusamente adoptados por los departamentos de seguridad lógica y son totalmente reuti- lizables dentro de una estrategia de Se- guridad Integral. Conclusiones La práctica de seguridad lógica se en- cuentra en un estado de madurez muy interesante para ser incorporada en una práctica de Seguridad Integral. Además, en ciertos escenarios, como el cumpli- miento de la Ley PIC, exige una aporta- ción de valor superior que realmente está disponible para el responsable de Seguri- dad y Enlace de un operador crítico. S La Seguridad Integral se basa en lograr remar todos en la misma dirección, con el mismo ritmo y y similar esfuerzo para conseguir la óptima protección de los ac- tivos de la organización. Toda la práctica de Seguridad Integral, incluso con leyes como la de PIC encima de la mesa, se tambalea si no se alinea con el negocio