Plan de Continuidad de Negocios o Business Continuity Plan (BCP)

En esta entrada voy a darles una guía sobre como realizar un Plan de Continuidad de Negocios, aunque les recomiendo tener a mano la Norma BS 25999-2 para que este trabajo sea aun mas fructífero.

Mientras que las organizaciones gubernamentales, sin ánimo de lucro o las ONG cumplen con funciones criticas, las organizaciones privadas deben entregar de manera continua productos y servicios para cumplir con sus inversores y claro esta, sobrevivir. Siendo Organizaciones cuyo propósito es tan disímil, ambas tienen una necesidad en común: implementar un Plan de Continuidad de Negocios o BCP.

Planeación de la Continuidad del Negocio vs. Plan de Reanudación del Negocio y Plan de Recuperación de Desastres.

Un plan de reanudación de negocios describe como reiniciar la operación después de una interrupción. Un Plan de recuperación de desastres se enfoca en recuperar los sistemas después de una interrupción estrepitosa. Ambos implican detener las operaciones criticas y su reanudación.

Ahora, aceptar que algunos productos o servicios deben ser permanentemente entregados sin interrupciones es la clave para entender los diferentes alcances del Plan de Reanudación de Negocios y el Plan de Continuidad de Negocios.

La ejecución de un Plan de Continuidad de Negocios permite que los productos o servicios críticos sigan siendo entregados a los clientes. En vez de enfocarse en restablecer las operaciones después de que estas se interrumpan por un desastre, un plan de continuidad se enfoca en que los procesos críticos continúen estando disponibles.

Que es un Plan de Continuidad de Negocios?

Los productos o servicios críticos de una Organización son aquellos que deben ser entregados para asegurar la supervivencia de la Organización, evitar los problemas de no entregarlo y cumplir con obligaciones legales o contractuales existentes. El Plan de Continuidad de Negocio es un plan proactivo que busca asegurar que los productos o servicios continúen siendo entregados durante una interrupción no planeada.

Un Plan de Continuidad Incluye:

• Planes, medidas y disposiciones para asegurar la entrega continua de los servicios y/o productos que le permitan a la Organización recuperar sus instalaciones, información y activos.
• La identificación de los recursos necesarios para respaldar la continuidad del negocio, incluyendo personal, información, equipos, recursos financieros, apoyo legal, seguridad y alojamientos en caso de ser necesarios.

Implementar un BCP mejora la imagen de la Organización con sus empleados, accionistas y clientes al demostrar una actitud proactiva. Dentro de los beneficios adicionales podemos incluir una mejora en la eficiencia organizacional, así como también permite identificar la relación entre los activos, recursos humanos, los recursos financieros y los productos y servicios críticos de la organización.

Por que es valioso un Plan de Continuidad del Negocio?

Toda organización está en riesgo de ser víctima de un desastre:

• Un desastre natural como una inundación, un incendio, un terremoto, etc.
• Sabotaje
• Cortes de energía
• Fallas en comunicaciones, transporte o de seguridad.
• Ciber ataques por parte de un hacker

Creación de un Plan de Continuidad de Negocios BCP
Crear y mantener un BCP le sirve a una Organización para conseguir los recursos necesarios para enfrentar cualquiera de estas situaciones, vamos ahora a ver que secciones incluye por lo general un BCP:

Establecer el Control

Un BCP contiene una estructura de gobierno, a menudo en la forma de un comité que asegura un compromiso de alta dirección y define las funciones de alta dirección y sus responsabilidades. Este comité es el responsable de la supervisión, inicio, planeación, aprobación, ensayos y auditorias al BCP. Asimismo implementa el BCP, coordina actividades, aprueba los resultados que arroje el BIA, supervisa la creación de planes de continuidad y revisa los resultados de actividades de aseguramiento de calidad.

Los directivos de un Comité BCP normalmente:

• Aprueban la estructura de gobierno
• Aclaran cuáles son sus funciones y las de todos los que participan en el programa
• Revisan la creación de comités, grupos de trabajo y equipos que van a desarrollar y ejecutar el plan
• Suministran orientación estratégica
• Aprueban los resultados del BIA
• Revisan los productos y servicios críticos que se han identificado
• Aprueban los Planes de Continuidad
• Monitorean las actividades de aseguramiento de calidad,
• Resuelven conflictos de interés

El comité del BCP normalmente esta compuesto por los siguientes miembros:

• Líder Ejecutivo, quien tiene la responsabilidad general del comité del BCP; solicita el apoyo de la alta dirección y dirección, y asegura la financiación adecuada para el BCP.
• Coordinador del BCP asegura el apoyo de la alta dirección, estima requisitos de financiación, desarrolla la política del BCP, coordina y supervisa el proceso de BIA, asegura participaciones eficaces de los lideres de procesos, coordina y supervisa el desarrollo de los planes y disposiciones para la continuidad del negocio; establece grupos de trabajo y equipos y define sus responsabilidades; coordina jornadas de capacitación, y establece la revisión periódica, pruebas y de auditorías del BCP.
• Oficial de Seguridad, quien trabaja para garantizar que todos los aspectos del BCP cumplen con los requisitos de seguridad de la organización.
• Jefe de Información el cual coopera estrechamente con el coordinador del BCP y especialistas IT en planes de continuidad.
• Lideres de proceso, quienes suministran información valiosa sobre las actividades de la organización, y revisan los resultados del BIA.

El comité BCP es comúnmente co-presidido por el coordinador ejecutivo y el coordinador.


Análisis de Impacto de Negocio o BIA

En este blog ya existe una entrada sobre este tema, la cual esta en este link: Análisis de Impacto de Negocios / Business Impact Analysis (BIA)


Planes para continuidad del negocio

Esta etapa consiste en la preparación detallada de planes de respuesta o recuperación y todos los acuerdos necesarios para asegurar la continuidad. Estos planes y acuerdos detallan las vías y medios necesarios para garantizar que los productos y servicios de la Organización continúan siendo entregados dentro de tiempos de inactividad tolerables, teniéndose que hacer un plan de continuidad para cada uno de los productos y/o servicios que se hayan categorizado como críticos.

Mitigando riesgos y amenazas

Las amenazas y riesgos son identificadas en el BIA. La mitigación de riesgos en un proceso siempre en ejecución, y tiene que ser ejecutado de manera permanente incluso sin que se haya activado el BCP. Por ejemplo, si una Organización requiere del suministro de energía eléctrica para producir, el riesgo de un corte del servicio puede ser mitigado por la instalación de una planta o estación eléctrica.

Otro ejemplo puede ser una Organización que depende de las comunicaciones internas y externas para funcionar adecuadamente. Una falla en sus sistemas de comunicaciones puede ser minimizada utilizando redes alternas de comunicaciones o instalando sistemas redundantes.

Análisis de la capacidad actual de recuperación

Hay que tener en cuenta las facilidades con las que cuenta actualmente la Organización para garantizar la continuidad del negocio, sin olvidar incluirlas en el BCP.

Crear Planes de Continuidad
Los planes de continuidad de negocio para los servicios y productos están basados en los resultados del BIA. Hay que asegurarse que los planes estén hechos con niveles incrementales de severidad del impacto causado por una interrupción. Por ejemplo, si ocurriera una inundación podrían utilizarse sacos de arena como respuesta a esta dificultad. Ahora, si el nivel del agua cubre el primer piso, se puede pensar en trabajar en un segundo o tercer piso de la edificación. Pensemos ahora que el nivel del agua se mantiene por demasiado tiempo, entonces tendríamos que reubicar la operación en un sitio alterno mientras baja el nivel del agua.

Los riesgos y beneficios de cada posible opción que se va a incluir en el BCP deben ser considerados, manteniendo presente los costos, flexibilidad y escenarios probables de interrupción. Para cada producto o servicio critico, debe escogerse la opción mas realista y efectiva para crear el Plan.

Preparación de respuesta

Una apropiada respuesta a una crisis que se presente requiere de equipos que lideren y respalden las operaciones de respuesta. Los miembros del equipo deben seleccionarse teniendo en cuenta capacitación y experiencia para asignarles tal responsabilidad.

El numero y alcance de los equipos puede variar dependiendo en el tamaño de la organización, funciones y estructura, y pueden existir los siguientes:

• Equipo de Comand, que incluye al equipo de Respuesta a Crisis, y un equipo de Respuesta, Continuidad o Recuperación según se haya determinado.
• Equipos de trabajo como el equipo de Coordinación de trabajo en un sitio alterno, Equipo de Compras y Contrataciones, Equipo de Inventario de daños, Equipo financiero y contable, equipo de residuos peligrosos, equipo de aseguramiento, equipo de asuntos legales, equipo de telecomunicaciones, Equipo Mecánico, Equipo de Notificaciones, Equipo de Noticias, o Equipo de Transporte.

Las actividades y responsabilidades de cada equipo deben ser definidas y documentadas, identificando quiénes son sus miembros, niveles de autoridad, tareas a realizar, roles y responsabilidades de los miembros, asi como resulta de utilidad identificar posibles miembros alternos de tales equipos.

Ahora, pensando en la tolerancia de los equipos que se creen en caso de ausencias o perdidas de personal, puede ser necesario suministrar entrenamiento a los miembros de los diferentes equipos en actividades que se desarrollan en equipos afines al que se está inicialmente asignado.

Ubicaciones alternas.

Si las instalaciones principales de una organización, o en su defecto activos o información se pierden en un evento, una instalación alterna debe estar disponible. Hay tres tipos de ubicaciones alternas (nombres en ingles):

1. Cold site: es una ubicación que no esta adecuada para operar. Esto significa que deben conseguirse desde muebles hasta computadores para que la operación pueda iniciar de nuevo. Para este tipo de instalación, debe realizarse un gran esfuerzo para que sea operable, lo cual se traduce también en una cantidad bastante considerable de tiempo. Los Cold sites son la opción mas económica de todas.
2. Warm site: Es una ubicación que esta tecnológicamente lista y casi completamente equipada para iniciar operaciones, pudiendo estar completamente operacional en cuestión de horas. Como es de esperarse, esta opción es mas costosa que un Cold Site.
3. Hot site: Ubicación que está completamente lista, pudiendo incluir si se desea hasta personal alterno para que realice las actividades que se suspendieron en el sitio original. Estas instalaciones pueden estar completamente operables en cuestión de segundos o minutos, siendo la opción mas costosa de todas las disponibles.

Cuando se tenga planeado contar con una ubicación alterna, debe considerarse para esa nueva ubicación todos los riesgos y amenazas, tiempo máximo de inoperatividad y claro, costos.

Por razones de seguridad, hay organizaciones que emplean sitios alternos super seguros, que como su nombre lo indica incluyen opciones que dan una mayor tranquilidad a sus clientes, encontrando entre ellas plantas eléctricas, altos niveles de seguridad física y protección contra vigilancia electrónica o intrusiones.

Procedimientos de Preparación

Entrenamiento
Los planes de continuidad pueden ser implementados fácilmente si:
Se informa a los empleados del contenido del BCP y de sus responsabilidades individuales cuando este se llegue a activar.
Se entrena a los empleados en el cumplimiento de sus responsabilidades con el BCP, y se les informa sobre las funciones de los equipos que se hayan creado.

Simulacros
Después de la capacitación, viene el entrenamiento con simulacros programados periódicamente con el propósito de mantener altos estándares de preparación y de respuesta. Estos entrenamientos aunque consumen recursos (personas, tiempo, etc) son el mejor método para validar la efectividad de un plan.

Aseguramiento de la calidad:
Las revisiones del BCP tienen como objetivo validar la precisión, relevancia y efectividad del plan, asi como también descubrir que aspectos del BCP necesitan ser mejorados. Revisiones permanentes del BCP son esenciales para mantener su efectividad.


Que hacer cuando se presenta una interrupción?
Las interrupciones son manejadas en tres etapas:

• Respuesta
• Continuar entregando servicios o productos críticos
• Recuperación y Restauración

Respuesta:
La respuesta a incidentes involucra el despliegue de todos los equipos, planes, medidas y acuerdos. Las siguientes tareas se ejecutan durante la fase de respuesta:

Gestión del Incidente
La gestión del incidente incluye las siguientes actividades:

• Notificar a la Dirección, empleados y accionistas
• Asumir el control de la situación
• Identificar el rango y el alcance del daño
• Implementar planes de acción
• Identificación de daños a la infraestructura.
• Coordinar el apoyo de fuentes externas e internas.

Gestión de Comunicaciones

La Gestión de Comunicaciones es fundamental para evitar la creación de rumores, mantener contacto con la prensa, servicios de emergencia y proveedores, empleados, accionistas y terceros interesados. Los requerimientos de comunicaciones pueden requerir sistemas redundantes, así como la creación de un plan para establecer todos los requerimientos de comunicaciones bajo una situación no deseada.

Gestión de Operaciones

Cuando se presente una interrupción, la Organización puede manejarse desde un Centro de Operaciones de Emergencia, lo cual garantiza que se centraliza la información, se coordinan los recursos y se asegura una respuesta efectiva a la situación.

Continuidad

La continuidad tiene como propósito asegurarse de que los servicios o productos críticos continúan siendo entregados a los clientes, o en caso contrario, que el tiempo de espera no sea mayor a los limites establecidos al hacer el BIA.

Recuperación y Restauración:

La meta de la recuperación y restauración es recobrar la operatividad de la organización manteniendo la entrega de productos y servicios críticos. En esta etapa se incluyen las siguientes actividades:

• Decidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
• Regreso del personal a las instalaciones
• Adquirir los recursos adicionales para restaurar por completo la operación.
• Restablecer las operaciones normales de la organización.
• Reanudación de las operaciones en los niveles anteriores a la interrupciónDecidir donde reiniciar operaciones: reparar las facilidades estropeadas o ubicarse en un sitio alterno.
• Regreso del personal a las instalaciones
• Adquirir los recursos adicionales para restaurar por completo la operación.
• Restablecer las operaciones normales de la organización.
• Reanudación de las operaciones en los niveles anteriores a la interrupción

Conclusión

Cuando una Organización no puede entregar a sus clientes los productos o servicios críticos que produce, las consecuencias pueden ser extremas. Todas las organizaciones están en riesgo, y pueden inclusive desaparecer si no están debidamente preparadas. El BCP es la herramienta que le permite a las organizaciones no solo a gestionar sus riesgos sino también a continuar entregando productos y/o servicios sin importar que se presente un desastre.

ISO 27001 e ISO 27002: Manual del Sistema de Gestión de Seguridad de la Información

Otra duda frecuente al enfrentarse a la documentación de un SGSI, es que incluir en el Manual de Seguridad de Información. Aquí hay varios puntos a tener en cuenta:

Si ya existe un Sistema de Gestión previo, lo ideal es manejar un Sistema de Gestión Integrado que consolide los sistemas existentes quedando bajo un solo modelo por ejemplo calidad y seguridad de la información, o ambiental y seguridad de la información, etc.

Si no existe un manual previo, pues habrá que definir una Norma Cero o Guía de documentación que establezca como documentar todo lo perteneciente al SGSI, y una vez se inicie la documentación, poder entonces desarrollar el Manual de Seguridad de la Información.

En cualquiera de los dos casos, les sugiero manejar la siguiente tabla de contenido para su Manual de Seguridad de la Información:

1. Organización
2. Introducción
3. Manual de Seguridad de la información
3.1 Objetivo
3.2 Alcance del SGSI
3.3 Control de Cambios y Aprobación
4. Marco legal
5. Glosario
6. Política de Seguridad
6.1 Compromiso De La Dirección
6.2 Política de seguridad de la Organización
6.3 Revisión de la Política
6.4 Conformidad Con la Política de Seguridad y los estándares de Control
6.5 Objetivos De La Gestión De Seguridad De Información
7. Normas y políticas del Sistema de Gestión de Seguridad de la Información
7.1 Organización del SGSI
7.2 Gestión de Activos
7.3 Recursos Humanos
7.4 Seguridad Física y Ambiental
7.5 Comunicaciones y Operaciones
7.6 Control de Acceso
7.7 Desarrollo de Software
7.8 Gestión Incidentes
7.9 Continuidad del Negocio
7.10 Cumplimiento
8. Determinación de requerimientos de seguridad de la información
8.1 Identificación de Activos de seguridad de la Información
8.2 Descripción de la metodología de evaluación del riesgo
8.3 Reporte de evaluación del riesgo y Plan de tratamiento del riesgo
8.4 Declaración de Aplicabilidad
9. Roles y Responsabilidades
9.1 Grupo de Sistemas/IT
9.2 Usuario
9.3 Propietario de Información
9.4 Auditoría Interna
10. Autoridades Y Entidades Externas Relevantes Al Negocio
11. Compañías consultoras en SGSI
12. Bibliografía

Espero que esta guía les sirva de utilidad, pues cuando yo inicie mi implementación esta información no estaba pude encontrarla en ningún sitio, y haciendo hincapie en que esta tabla de contenido es las que yo implemente, pudiendo Uds modificarla de acuerdo a las necesidades del SGSI en el que esten trabajando.

Familiarizándonos con la Ingeniería Social

Una Historia Verdadera...

Hace unos años, un grupo de extraños ingreso en las instalaciones de una Compañía y consiguieron acceso a toda la red interna de dicha Empresa. Como lo consiguieron? Obteniendo pequeñas cantidades de información, bit a bit de múltiples empleados de la compañía. Lo primero que hicieron fue conseguir información de la compañía por dos días seguidos antes de intentar ingresar a la Compañía. Consiguieron los nombres de los empleados relevantes de la Compañía por medio de Recursos Humanos, luego fingieron perder su llave de ingreso a la compañía, y otro empleado los dejo ingresar. Luego "perdieron" sus carnets de empleados cuando entraron al área segura del tercer piso, sonrieron y de nuevo otro empleado los dejo ingresar.

Los extraños sabían que el Gerente Financiero estaría fuera de la ciudad, así que pudieron ingresar a su oficina para obtener toda la información financiera sin encriptar o proteger de su computador. Revisaron toda la basura que salió de la compañía encontrando toda clase de información valiosa. Le pidieron a uno de los empleados de mantenimiento una de sus canecas y así pudieron salir del edificio con toda la información y documentos que encontraron. Estos extraños también pudieron imitar la voz del Gerente Financiero, hicieron una llamada simulando una emergencia y argumentando haber olvidado su clave de acceso. Ya con esta clave, utilizaron herramientas de hackeo y obtuvieron un acceso de súper usuario en el sistema.

Lo único positivo de esta historia, es que los extraños eran en realidad consultores realizando una auditoria para el Gerente Financiero sin que nadie más en la compañía lo supiera. Este equipo nunca recibió información privilegiada por parte de este Gerente pero obtuvieron todo el acceso que deseaban por medio de la Ingeniería Social.

Definiciones:

Definiciones de Ingeniería Social se pueden encontrar muchas: El arte y ciencia de hacer que la gente haga lo que se desea", o "Ataque realizado por un hacker con trucos psicológicos en usuarios de una red para que entreguen información de acceso al sistema" y para terminar "Conseguir información importante (un password por ejemplo) de una persona en lugar de intentar acceder a su PC". En realidad la Ingeniería social puede ser todo esto, dependiendo la óptica con que se mire. En lo único en que todas las personas coinciden es en que la Ingeniería Social es la manipulación de la tendencia humana de la confianza, y el objetivo de la persona que ejerce esta acción es obtener la información necesaria para acceder a la información sensible de una compañía.

La seguridad se fundamenta en la confianza: confianza en la protección y en la autenticación. Generalmente aceptado como el eslabón mas débil en la cadena de la seguridad, las personas y su tendencia a confiar en las demás personas abren las puertas a muchísimas vulnerabilidades. No importa cuantos artículos se publiquen sobre vulnerabilidades en redes, parches de actualización y firewalls, siempre podremos reducir las amenazas hasta Luisa en Ingeniería mantener la seguridad de las red en la Compañía.

Objetivos y ataques
El propósito básico de la Ingeniería Social es el mismo que el de un hacker: obtener acceso no autorizado a un sistema o a información con el propósito de cometer un fraude, una intrusión, espionaje industrial, robo de identidad, o simplemente inhabilitar los sistemas. Los blancos usuales de estos ataques incluyen proveedores de internet, grandes multinacionales, bancos, agencias militares y gubernamentales, y hospitales.

Encontrar buenos ejemplos de la vida real de ingeniería social es complicado. Las empresas que han sido víctimas de estos ataques pueden no querer admitirlo (una falla en seguridad no solo es vergonzoso, también afectaría el buen nombre de la compañía), y también es muy probable que el ataque no esté bien documentado por lo cual no hay forma de estar seguros de que haya sido un ataque de ingeniería social o no.

Los ataques de ingeniería social se ejecutan en dos niveles; físico y sicológico. Enfoquémonos inicialmente en la parte física de estos ataques: el sitio de trabajo, el teléfono, su cesta de basura, o inclusive ataques en línea. En el sitio de trabajo el hacker puede simplemente entrar por la puerta y simular ser un empleado de mantenimiento quien puede entrar a la Compañía. Una vez el intruso lograr acceder a la Compañía, simplemente con desplazarse por los corredores podrá encontrar escritos usuarios y contraseñas los cuales aprovechara desde la seguridad de su casa.

Ingeniería Social Telefónica
Este es el tipo de ingeniería social que más se realiza. Un atacante puede llamar e imitar la voz de un funcionario con cierto nivel de autoridad y obtener información de un supuesto subalterno. Los Helpdesk son particularmente vulnerables a este tipo de ataques. Los atacantes simulan llamar desde el interior de la compañía atacando el PBX o la compañía de teléfonos, con lo cual un identificador de llamadas queda burlado por completo.

Los Helpdesk son particularmente vulnerables por que su principal función es ayudar, un hecho que puede ser fácilmente explotado por un individuo buscando obtener acceso no autorizado. Los empleados de los Helpdesk están entrenados para ser amigables y entregar información, así que esta es una mina de oro para la Ingeniería Social. Muchos empleados de los Helpdesk son mínimamente entrenados en seguridad y mal pagos, así que tienden a responder preguntas listos para responder la siguiente y la siguiente llamada, convirtiéndose así en una enorme vulnerabilidad de seguridad.

Ingeniería Social en la red
Internet es el sitio predilecto por los atacantes que buscan obtener nombres de usuario y passwords. La debilidad principal de los usuarios es repetir el mismo password en todas las aplicaciones, páginas, etc que utilizan. Una vez que el atacante obtiene un password probablemente podrá acceder a múltiples sitios bajo la identidad de su víctima. Una forma que utilizan los atacantes para obtener passwords es a través de un formulario en línea en el cual le piden a la victima que digite sus datos como email y un password, y asi obtienen acceso a todos los sistemas, redes sociales, email corporativo, etc de dicha persona.

Persuasión
Los atacantes siempre realizan sus ataques enfatizando en crear el ambiente psicológicamente perfecto para el ataque. Métodos básicos de persuasión incluyen la suplantación, simular ser una persona muy agradable o la falsa amistad. Sin importar el método que se utilice, el objetivo principal es convencer a la victima de que el atacante es en realidad una persona a quien confiarle información sensible. Otro punto importante en estos ataques es que no buscan obtener toda la información en un solo ataque, pero si conseguirla toda en varios ataques en diferentes ocasiones.

La suplantación generalmente significa crear uno o varios personajes e interpretar sus roles. Entre mas sencillo el personaje, mejor. Usualmente los atacantes estudian a sus víctimas, esperando por ejemplo que se ausenten de la ciudad para suplantarlos al teléfono.

Algunos de los papeles mas comúnmente interpretados por los atacantes es el de un reparador, soporte en Sistemas, un Gerente, un tercero de toda confianza (por ejemplo, el presidente de una compañía) o un compañero de trabajo. En una compañía grande, esto no resulta tan difícil de realizar, pues no hay forma de conocer a todos los empleados, los carnets pueden ser falsificados, etc. Un factor común que se puede obtener de estas suplantaciones es el de personas con algún rango o posición jerárquica en la compañía, lo cual nos lleva a la complacencia. Todo empleado desea impresionar a su jefe, asi que suministrara sin problema cualquier información que le sea solicitada por un superior.

Espionaje Basura (Dumpster Diving)
El Espionaje Basura es otro popular método de ingeniería social. Una gran cantidad de información puede ser encontrada entre la basura de una compañía. Que información puede llegar allí? Agendas telefónicas, organigramas, manuales de las políticas de la compañía, agendas de trabajo, eventos o vacaciones, manuales de sistemas, planos de las instalaciones, impresiones de códigos fuente, CDs, DVDs, y hardware desactualizado.



Toda esta "basura" se puede constituir en una enorme fuente de información para el atacante. Las agendas telefónicas pueden dar información de posibles blancos o personas a suplantar. Los organigramas revelan quienes están en cargos con autoridad en la organización. Manuales de políticas pueden darle idea de que tan segura o insegura es una compañía. Los calendarios pueden indicar que empleado va a estar fuera de la oficina. Los manuales de sistemas pueden brindar información exacta de como desbloquear una red. El hardware desactualizado, por ejemplo discos duros pueden ser restaurados para obtener toda clase de información.

Ingeniería Social Inversa
Para terminar, el método mas avanzado de obtener acceso no autorizado a un sistema o información es conocido como "Ingeniería Social Inversa". Esta se realiza cuando el atacante suplanta a una persona que se encuentra en una posición con autoridad suficiente para que los empleados le pidan a el información en vez de el pedir información. Si se investiga, planea y ejecuta adecuadamente, este ataque puede brindarle al atacante mayores oportunidades de obtener información valiosa de los propios empleados; sin embargo este ataque requiere de un alto grado de preparación e investigación para culminarlo con éxito.

Este ataque frecuentemente se compone de 3 etapas: sabotaje, intromisión, y el ataque en si. Veamos como es el asunto: Un atacante sabotea una compañía de la cual quiere obtener información, ocasionando que se presente un problema. Al materializarse el problema, el mismo atacante se presenta en la Organización argumentando que es el candidato ideal para solucionar ese problema (Intromisión), y una vez que se le da acceso a la Organización realiza su ataque obteniendo la información, acceso a la red o lo que esté buscando. Lo más asombroso del ataque es que en la Organización víctima del ataque son incapaces de identificar al atacante como tal por que el problema del que fueron víctimas fue solucionado y se recupero la normalidad; o peor aún, no saben que fueron víctima de un ataque por que todo está operando normalmente.

Epilogo
Un artículo de Ingeniería Social no seria lo mismo sin mencionar a Kevin Mitchnick, así que finalizamos con una de sus frases: "Ud puede gastar una fortuna en tecnología y servicios mas actualizados de seguridad... pero su Organización aun puede ser vulnerable a ser manipulada a la antigua". Pendientes de una próxima entrada que será de Estrategias para intentar combatir la Ingeniería Social.

Recomendaciones No Convencionales de Seguridad

La entrada de hoy dista mucho de las demás entradas que existen en el blog, pues esta enfocada a ser de utilidad a todas las personas que lleguen a este blog, estén o no relacionadas con el negocio de la seguridad. Vamos a ver como nos va con esta para en el futuro hacer mas entradas de este mismo corte. Vamos con las recomendaciones:

Hablar con la boca cerrada

Todos los expertos en seguridad coinciden en algo: la gente habla demasiado. Las personas comentan y entregan demasiada información confidencial sin ni siquiera notarlo. Esto se deriva del hecho de que el 99.99% de la población mundial viven en un estado conocido como "Condición Blanca", lo que en otras palabras significa que van por la vida con la ignorancia de saber en que riesgos incurren o provocan con su comportamiento. Esto lo pueden verificar Uds fácilmente: la próxima vez que vayan a un restaurante, o que utilicen un elevador en el cual puedan escuchar las conversaciones de otras personas se sorprenderán de la cantidad de información valiosa que las personas comparten sin medir las consecuencias de ello. Ahora imaginen que Uds hacen parte de una organización criminal y podrán entender aun mas las consecuencias de una conversación casual que sostengan sus potenciales víctimas.

Hablar con la boca cerrada significa ser muy cuidadoso sobre lo que se hable, con quien se hable y quien puede escuchar su conversación. Esta recomendación tiene que ser tenida en cuenta también al conversar por teléfono, al utilizar el correo electrónico, redes sociales y blogs.

Control de Acceso

Implementar un buen control de acceso contribuye significativamente a reducir los riesgos de seguridad. En otras palabras, si se le dificulta a cualquier persona acercarse lo suficiente a una compañía, los atacantes buscaran víctimas potenciales en otras compañías con menos seguridad y mayores facilidades de acceso. El control de acceso no se reduce solamente a seguridad física como barreras, rejas o muros, también tiene que ver con las comunicaciones personales. Millones de personas han caído victimas de una falsa sensación de seguridad con la explosión de redes sociales como facebook, twitter y youtube. Por alguna extraña razón, las personas ahora acostumbran publicar información valiosa sobre ellos en la red donde cualquier persona puede fácilmente acceder a tal información.

Imaginen una Paola Rodríguez, en cualquier ciudad, cualquier país colocando un mensaje en Twitter "Oh no, estamos atascados con toda mi familia en el aeropuerto de Rio de Janeiro y solo podremos viajar hasta mañana". Mensaje bastante inocente, cierto? De hecho, es el sueño de una banda de criminales. Ahora haciendo una búsqueda en Google, un delincuente podría encontrar datos personales Paola, como por ejemplo su dirección, imprimir un mapa de Google maps (para no perderse en su camino allí), y tener un día entero de gracia para hacer de las suyas en la casa de Paola. Control de Acceso igual a control de riesgos de seguridad.

Fotocopiar o Escanear todos los documentos que cargue en su bolso o billetera.

Una de las primeras recomendaciones en entrenamientos de seguridad es fotocopiar o escanear todos los documentos que Ud habitualmente lleve en su billetera. Cumplir con esta recomendación puede traer enormes recompensas de seguridad si algún día pierde o le roban su billetera. Comprenda que toda tarjeta de crédito, tarjeta debito, licencia de conducción, pasaporte, contiene valiosa información para un criminal. Si Ud es victima de un ladrón, va a necesitar toda la información relevante para bloquear todos los accesos que brindan tales documentos tan pronto como le sea posible.

Obviamente habrá que mantener estas fotocopias o archivos escaneados en un lugar seguro, así como también es valioso que haya otra persona que sepa donde encontrar tal información. Hay un dicho que dice "Si mas de dos personas saben un secreto, ya no es un secreto" el cual tiene completa validez en esta recomendación.

Nunca acepte ayudar a una persona que no conozca por completo.

Muchas personas son frecuentemente utilizadas por criminales pertenecientes a redes de contrabando u organizaciones terroristas. La aproximación que se hace, es la misma que se hace cuando se quieren aprovechar de un turista en ciudades o continentes lejanos. Se acercan ofreciendo su amabilidad o incluso amistad, logrando así romper toda prevención que se tenga en contra de un extraño. Inclusive pueden ofrecer una noche de bebidas gratis, una excursión, etc, siempre con la idea de establecer una amistad en los primeros días de su viaje de negocios.

Ya hacia el final del viaje, pueden emplear una de las siguientes tácticas:

• Solicitar que se entregue un paquete a uno de sus familiares que viven en el País del que Ud llego, argumentando cualquier cosa con tal de convencer a su víctima de llevar el paquete, claro está diciendo que no contiene nada ilegal.
• Mientras la victima esta distraída, uno de los cómplices introducirá un paquete en su equipaje. La víctima no estará al tanto de esa situación hasta que es arrestado o detenido en la aduana, con lo cual los criminales lo podrán identificar fácilmente y después extorsionarlo por “perder” el paquete. Si Ud piensa que estos dos escenarios no le van a ocurrir a Ud, piénselo de nuevo. Estos casos se repiten por cientos en los aeropuertos de todo el mundo.

La solución mas simple a este tipo de engaño es no hacer nuevas amistades de lugareños a los sitios que visite, y siempre revise detalladamente su equipaje antes de entregarlo en el punto de chequeo de su vuelo. Si detecta algo sospechoso, infórmelo de inmediato a la policía o cuerpos de seguridad del aeropuerto.

Confié en sus instintos

Vamos a finalizar estos tips de seguridad con la confianza en nuestros instintos. Quizás pueda parecerle una recomendación inusual, pero no por ello puede ser desestimada. Los expertos de seguridad hablan del "Instinto de Conservación" el cual es una reacción inconsciente que tenemos todas las personas ante una situación de riesgo o inusual. Nosotros no controlamos esta reacción, la cual ocurre en un milisegundo. Por ejemplo, cuando se es confrontado por una persona agresiva uno puede reaccionar o huir, su respiración se altera, sus latidos se aceleran, la sangre fluye a las extremidades y se eriza la piel. Todos los sentidos están enfocados en la amenaza antes de que Ud. conscientemente lo esté. Desafortunadamente muchísimas personas desconocen esta reacción que es nuestro propio sistema de defensa, y la confunden con miedo.

Quizás el mejor secreto de los expertos en seguridad para reducir los riesgos sea precisamente, el Instinto de Conservación.

Hablemos de Apache

Que es Apache?

Es un servidor web desarrollado y mantenido por una comunidad de usuarios agrupados en la Fundación "Apache Software Foundation.". El Proyecto Apache es un esfuerzo para desarrollar y mantener un servidor HTTP de código abierto para sistemas operativos como UNIX y Windows NT. Su propósito es suministrar un servidor seguro y eficiente que suministre servicios HTTP en sintonía con los estándares HTTP actuales.

Apache es conocido por haber tenido un papel integral en el crecimiento inicial y el desarrollo de la World Wide Web y fue la primera alternativa práctica de webserver para la Corporación Netscape Communications. Hoy en día, Apache rivaliza con los servidores UNIX en funcionalidad y rendimiento.

Usos de Apache

Apache es utilizado para trabajar con contenido estático o dinámico. La función de un servidor es la de enviar las paginas web a los navegadores de los usuarios. El beneficio de Apache es que se utiliza para muchas actividades en donde el contenido necesita estar disponible en forma segura y confiable. Un ejemplo de esto es la posibilidad de compartir archivos desde un computador personal en Internet. Un usuario que tenga Apache instalado en su PC puede colocar cualquier archivo en la raíz de documentos de Apache y compartirlos desde allí.

Adicionalmente, algunos programadores prueban sus aplicaciones web en servidores locales que tengan Apache instalado para ver como se van a desempeñar.

Que significa esto para los usuarios?

Si Ud tiene una pagina de Internet o planea hacerlo, Necesita tener un servidor. Apache tiene muchos beneficios, siendo quizás el mas atractivo el hecho de que es gratuito, sumamente estable y ampliamente aceptado. Pero que pasa si Ud no tiene una pagina? Por que debe importarle Apache? Probablemente nunca tenga que hacerlo, sin embargo si Ud hace algún tipo de programación, por ejemplo adicionar algún script a una pagina web, este tendrá que ser obligatoriamente compatible con Apache.

Beneficios

• El mejor de todos: es gratis.
• Esta disponible para una amplia variedad de sistemas operativos, incluyendo Microsoft Windows, Novell NetWare, Linux y Mac OS X.Apache es compatible con múltiples interfaces incluyendo mod_perl, mod_python, Tcl, y PHP.
• El alojamiento virtual permite que una sola instalación de Apache trabaje con varios sitios web diferentes.
• En Apache se pueden configurar los mensajes de error, lo cual puede ayudar a los visitantes de las paginas web a que encuentren las secciones que necesitan en vez de confundirlos y hacer que visiten otras paginas.
• Apache puede ejecutarse virtualmente en cualquier plataforma de hardware, por lo cual no es necesario adquirir nuevos equipos.
• Apache es sumamente seguro, debido a que ya lleva bastante tiempo en el mercado y es ampliamente utilizado. El código abierto de Apache significa que siempre habrán personas dispuestas a mejorar aun mas la aplicación.
• Apache puede interactuar con prácticamente cualquier base de datos, incluyendo software licenciado como Oracle, Sybase, DB2 e Informix; así como también con bases de datos de código abierto como MySQL. Esta habilidad es muy importante si se desean obtener estadísticas de trafico y uso de una pagina de internet, si se desea rastrear información de los usuarios, ordenes de compra, números de cuenta y reportes, crear formularios, foros y otros usos adicionales.
• Apache es generalmente inmune a la mayoría de los virus que atacan a los servidores web de Microsoft.
• Debido al éxito que ha tenido, Apache atrae numerosos desarrolladores de todo el mundo, siendo ellos los creadores de módulos o bloques de código diseñados para permitir por ejemplo la ejecución de scripts CGI cuando sean solicitados archivos específicos; y muchos de estos modulo pueden ser encontrados en http://modules.apache.org/. Apache es lo suficientemente intuitivo para que los usuarios puedan con facilidad crear un modulo si no encuentran uno que se ajuste a sus necesidades, existiendo para ello infinidad de libros dedicados a Apache.
• Al adquirir un software comercial no siempre se obtiene soporte técnico, pero Apache a pesar de ser gratuito ofrece servicios de reporte de bugs, foros de discusión para resolver problemas o encontrar soluciones a bugs o problemas de seguridad. Adicionalmente, cualquier problema de seguridad o bug reportado se publica de inmediato en la web de Apache así como las actualizaciones para solucionarlos, existiendo también la posibilidad de que los usuarios se suscriban para recibir emails con reportes de bugs o actualizaciones.
  

Inconvenientes

• Apache desde el 2006 ha perdido parte de su cuota de mercado ante los servicios de Microsoft y la plataforma .NET
• No ofrece soporte técnico real. Este texto se encuentra en la pagina de Apache "Con millones de usuarios y cerca de 60 desarrolladores voluntarios, no podemos proporcionar personal de soporte para Apache. Para soporte gratuito, le sugerimos participar en el foro de usuarios", y mencionan que soporte profesional y de pago es ofrecido por compañías ajenas a la fundación Apache.

Conclusiones

Así Ud no tenga pensado alojar su pagina web, instalar un servidor web o probar una línea de código, resulta al menos benéfico para Ud aprender acerca de los usos y beneficios de Apache por que esta involucrado en prácticamente cualquier línea de negocio en la que una persona decida involucrarse. Apache es patrocinado por Google, Yahoo y HP solo por mencionar algunos, lo cual es un claro indicador de que Apache esta aquí para quedarse.

Declaración de aplicabilidad / Statement of Applicability (SOA)

La Declaración de Aplicabilidad o Statement of Applicability (SOA) referenciado en la cláusula 4.2.1j del estándar ISO 27001 es un documento que lista los objetivos y controles que se van a implementar en una Organización, asi como las justificaciones de aquellos controles que no van a ser implementados. Para conseguir este listado único, se requiere de una identificación de riesgos, definición de controles, identificación de requisitos legales, regulatorios, contractuales, etc, y claro esta, de revisar las necesidades de la Organización.

Esta identificación se conoce como un ANALISIS DE BRECHA o GAP ANALYSIS, el cual identifica la diferencia entre lo que debería tenerse implementado en la organización y lo que se tiene realmente disponible. Para nuestro caso especifico, este tipo de análisis se hace evaluando el cumplimiento de la norma ISO 27002:2005, para cada uno de los controles establecidos en los 11 dominios o temas relacionados con la gestión de la seguridad de la información que este estándar especifica; y una vez se completa este análisis ya se puede realizar la Declaración de aplicabilidad ó Statement of Applicability (SOA).

Normalmente los controles incluidos se basan en la Norma ISO 27002, pero es normal encontrar controles adicionales a los incluidos en dicha Norma informando la inclusión de tales controles en una sección propia del documento para los mismos. Ahora, para los controles que no se vayan a implementar debe incluirse una justificación individual para cada uno de ellos explicando el por que no se implementaron (Ej: Comercio electrónico).

Es muy importante recalcar en que el SOA es parte esencial de un SGSI, y que como todos los documentos que hacen parte de este sistema requiere ser actualizado periódicamente para que no se desactualice debido a por ejemplo, la adición de nuevos servicios en la Organización.

Uds pueden encontrar un modelo de la Declaración de Aplicabilidad en este link:
Statement of Applicability - ISO27k infosec management standards

Análisis de Impacto de Negocios / Business Impact Analysis (BIA)

Una vez se tiene el análisis de riesgos, este se convierte en el punto de partida del Análisis de Impacto de Negocios y/o Business Impact Analysis (BIA). Este BIA se constituye asi en el pilar sobre el que se va construir el Plan de Recuperación de Negocios. El BIA será la guía que determine que necesita ser recuperado y el tiempo que tarde dicha recuperación, actividades que en el Plan de Continuidad de Negocios se convierten quizás en las más difíciles y criticas por realizar adecuadamente. El apoyo del BIA es invaluable para identificar que esta en riesgo una vez se presente un riesgo permitiendo así justificar los gastos que se requieran en protección y capacidad de recuperación. Usualmente se habla de "critico" o "esencial" cuando se listan las actividades desarrolladas en una Organización.

Al hacer un BIA quizás resulte mas útil hablar de "tiempos inactivos", puesto que ninguna organización contrata un empleado para que realice labores "no esenciales", cada labor tiene un propósito, pero hay unas labores que son mas exigentes en su tiempo de ejecución que otras cuando hay limites de recursos o tiempos apretados de entrega para su realización. Veámoslo de este modo: Un banco que haya sufrido un percance por un pequeño incendio en la bodega puede detener su campaña publicitaria pero no podrá detener los procesos de retiros y depósitos de sus clientes. La campaña publicitaria del banco es esencial para su crecimiento a largo plazo, pero cuando se presenta una emergencia o desastre puede ser aplazada no por su criticidad sino por que su "tiempo de inactividad" puede ser mucho mayor y no afectar la operación del banco. La organización debe revisar cada una de las tareas que se realizan con el mismo patrón de referencia. Por cuanto tiempo puede dejar de realizarse esta actividad sin que ello cause perdidas financieras, quejas de los clientes, y/o penalizaciones legales o contractuales? Cuando se trata el tema de continuidad, todo gira alrededor del impacto. Es acerca de sostener la operación básica de la Organización mientras que lo demás se puede dejar en espera. Es centrarse en las operaciones que le permiten sobrevivir a la Organización. Todos los procesos de la Organización, así como los recursos tecnológicos en los que se soportan tales procesos deben ser clasificados de acuerdo a su prioridad de recuperación. Los tiempos de recuperación de los procesos para una organización están medidos por las consecuencias de no poder ejecutarlos.

De que consecuencias estamos hablando? Demandas en contra de la Organización por el incumplimiento de una entrega en una fecha determinada, perdida de reputación, etc. Generalizando, los impactos de un desastre pueden ser financieros, legales, o de retención/perdida de clientes.

Ahora, como realizar el análisis de impacto de negocios (BIA)? Se inicia identificando los procesos que se realizan en la organización, y asignándoles un líder; siendo ideal que ya exista un Sistema de Gestión en el que ya se haya hecho esta actividad. Con los lideres de proceso se puede conformar un "equipo de planeación" que hará la evaluación del proceso que tengan asignado. Una vez identificados procesos y sus lideres, se debe listar cada una de las actividades que se realiza para cada uno de los procesos para entender cual es el propósito de los mismos, y aquí se debe analizar cada actividad que se ejecute en tres aspectos: riesgo financiero de no ejecutar tal actividad, riesgo regulatorio o legal de no ejecutar tal actividad, y el riesgo reputacional o con el cliente de no ejecutar tal actividad. Aclaremos cada uno de los riesgos:

• Financiero: incluye perdida de ingresos, pérdida de intereses con entidades bancarias, costos de pedir dinero prestado para hacer caja, perdida de ingresos por ventas no realizadas, penalizaciones por no cumplir compromisos contractuales o niveles de servicio, y oportunidades perdidas durante el tiempo inoperante.
• Regulatorio: incluye perdidas por no presentar reportes financieros o de impuestos en las fechas indicadas, demandas o penalizaciones por incumplir requerimientos obligatorios en las actividades de la Organización (por ejemplo ambientales), o la obligación de tener que retirar productos en venta por falta o in suficiencia en la realización de pruebas del producto antes de ponerlo a disposición del consumidor final.
• Reputacional o con el cliente: incluye la perdida de confianza por parte de los clientes y del mercado, reclamaciones de responsabilidad, clientes insatisfechos por el servicio, apariciones en las noticias por quejas de los clientes, perdida de reputación, y perdidas de ventajas competitivas.

Una vez que el Equipo de Planeación tienen una lista de todas las actividades y sabe que pasa si no se realizan, la siguiente respuesta a obtener es que tan pronto veremos el impacto? Será tan pronto se deje de hacer una actividad? Un callcenter que sea evacuado por un posible incendio deja de funcionar inmediatamente. A menos que haya un callcenter alterno donde se pueda operar para seguir recibiendo llamadas, el impacto a los clientes es inmediato. Que tan significativo sea dicho impacto depende enteramente del negocio o actividades que maneje una Organización: cuantas llamadas se reciben y que servicio busca cada una de ellas.

A manera de ejemplo, un callcenter en promedio puede recibir 1.200 llamadas en promedio por hora, 72% de ellas finalizan con una venta de U$57 dólares, asi que haciendo cuentas 1200 x 0.72 x $57 = $49,248 cuesta cada hora de servicio que el callcenter este fuera de operación. Si los clientes o potenciales consumidores encuentran lo que desean comprar en una pagina de internet, realizan la orden y el sitio deja de funcionar, hay un impacto inmediato. El impacto depende estrictamente de la actividad que realice una Organización, de cuantas ordenes de trabajo se reciben, que cuesta cada orden, y saber si el cliente esta dispuesto a esperar a realizar su pedido hasta que se restablezca el servicio o ira a solicitarlo a otro proveedor (siempre pueden ir con la competencia!!!).

Cuando el equipo de planeación tiene la lista de actividades, una idea de que ocurre cuando dejan de ejecutarse, y en que tiempo empezaran a ver el impacto, es hora de cuantificar el impacto. Se pueden utilizar medidas cuantitativas como dólares por minuto, hora o día de inactividad, o medidas cualitativas que permitan predecir resultados basados en el conocimiento o experiencia de los miembros del equipo de planeación o compañeros de trabajo. Una vez se completa esta actividad ya tenemos una vista general de todo lo que realiza la compañía, que impacto tiene para la organización que no se ejecute un proceso o una actividad, que tan rápido se sentirá ese impacto y que tan fuerte impactara a la organización. Esta información será el punto de partida para desarrollar estrategias de recuperación para cualquier organización.

Ya con esta información recopilada, se hace necesario determinar en una escala los tiempos de recuperación óptimos. A manera de ejemplo, se puede determinar que estas son las categorías a emplear:

Categoría 1: Procesos Misionales y/o Críticos (0 a 12 horas)

• Funciones que pueden realizarse sólo si las capacidades se reemplazan por otras idénticas.
• No pueden reemplazarse por métodos manuales.
• Muy baja tolerancia a interrupciones.

Categoría 2: Vitales (13 a 24 horas)

• Pueden realizarse manualmente por un periodo breve.
• Costo de interrupción un poco más bajos, sólo si son restaurados dentro de un tiempo determinado (5 ó menos días, por ejemplo).

Categoría 3: Importantes (1 a 3 días)

• Funciones que pueden realizarse manualmente por un periodo prolongado a un costo tolerable.
• El proceso manual puede ser complicado y requeriría de personal adicional.

Categoría 4: Menores (Mas de 3 días)
Funciones que pueden interrumpirse por tiempos prolongados a un costo pequeño o nulo.

En este momento es que empezamos a hablar de los tiempos de recuperación, y entran en escena varios de ellos: RTO, RPO, MTD y WRT. Vamos con cada uno de ellos:

Los RTO y RPO, son parámetros específicos que están íntimamente relacionados con la Recuperación de Desastres y tienen que ser tomados en consideración para que un plan de este tipo pueda ser implementado. El RTO (Recovery Time Objective) es el Tiempo objetivo de recuperación, en otras palabras cuanto puede permanecer la Organización sin ejecutar una actividad, el uso de una aplicación (hardware y/o software) o información relevante. Frecuentemente es asociado con el tiempo máximo de inactividad. El RTO se utiliza para decidir cada cuanto se deben realizar respaldos de información o backups; también es útil para decidir que infraestructura es requerida para reiniciar operaciones, por ejemplo un centro de cómputo alterno de similares especificaciones al existente en la Organización, o un callcenter paralelo en una ubicación diferente a la que se utiliza de manera permanente. Si en su organización hay un RTO con valor CERO (no puede ser inferior a esta cifra), inevitablemente su Organización tendrá que contar con una infraestructura redundante con respaldos de información en sitios alternos y así sucesivamente. Ahora, si se tiene un RTO de 48 o 72 horas entonces un respaldo de información en cinta será suficiente para esa aplicación en particular.

El RPO es ligeramente diferente. Este parámetro nos dice que cantidad de información puede la Organización perder. En otras palabras, si su organización realiza respaldos nocturnos de información todos los días a las 7:00 PM y el sistema colapsa al día siguiente a las 4:00 PM, toda actualización que se realice desde su último respaldo se perderá. El RPO para este contexto será el respaldo de información que haya realizado en el día anterior. Ahora, si estamos hablando de un banco que hace transacciones en Internet, el RPO debe ser prácticamente igual a cero, incluyendo la última transacción y el último bit de información que se haya manejado. Así las cosas, el RPO nos dice que clase de protección se requiere para la información que se maneja en su Organización.

Así las cosas, el RTO y el RPO influyen por completo en la infraestructura de soporte y respaldo que vaya a utilizar en su organización. Entre mas se reduzca e RTO y el RPO, mas dinero debe invertirse en seguridad.

Maximum Tolerable Downtime (MTD) o Maximum Tolerable Outage (MTO) Tal como suena, es el tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso. Diferentes procesos o tareas dentro de la organización pueden tener diferentes MTD. Si una función de la Organización esta categorizada dentro de la Categoría 1, obviamente tiene el MTD mas corto. Hay una correlación entre la criticidad de las funciones o procesos de la organización y su tiempo máximo de inactividad. A mayor criticidad, menor tiempo de espera a que se reinicie la operación en ese proceso o función. El tiempo de caída o de inoperancia se constituye por dos elementos: el tiempo de recuperación del sistema y el tiempo de trabajo en recuperación o WRT. Así las cosas, MTD = RTO + WRT.

Work Recovery Time (WRT) Tiempo de trabajo en Recuperación. Este segmento comprende el máximo tiempo de inactividad posible o MTD. Si su MTD es de 3 días, probablemente el día 1 sea el RTO y los dias 2 y 3 pueden ser los WRT. Como es de esperar, toma tiempo hacer que las funciones criticas de la Organización estén nuevamente operando (hardware, software, configuraciones necesarias, etc), y este es un tema que usualmente se ignora en las etapas de planeación, especialmente por Sistemas o IT. Si los sistemas están nuevamente funcionando, eso es todo desde la perspectiva de sistemas o IT. Pero que ocurre desde una perspectiva de negocios? Hay pasos adicionales a tenerse en cuenta antes de que los sistemas estén operando como conseguir una ubicación alterna, conseguir los equipos, conexión a banda ancha, etc, etc y que tienen que ser obligatoriamente contemplados en la definición del MTD; y si no se tiene en cuenta se esta poniendo en riesgo a la organización al no haber tomado tales tiempos en consideración.

Veamos como interactúan estos tiempos:



Punto 1: RPO La máxima cantidad de información que se puede perder de acuerdo al cronograma de realización de copias de respaldo y/o necesidades de información que se presenten.
Punto 2: RTO Tiempo requerido para que los sistemas críticos de la Organización estén nuevamente operando
Punto 3: WRT Tiempo requerido para recuperar la información perdida (Basado en el RPO), así como de ingresar al sistema todos los datos que se generaron durante la caída del sistema.
Punto 2 y 3: MTD La duración del RTO mas el WRT
Punto 4: Pruebas, verificación e inicio normal de operaciones

Durante la ejecución normal de operaciones, usualmente hay una diferencia entre el último respaldo de información realizado y el estado actual de la información. En algunos casos, este lapso puede ser de minutos u horas, pero en la mayoría de casos siempre será de horas o días. Este marco de tiempo es el punto objetivo de recuperación. En muchas organizaciones este es precisamente el lapso de tiempo que existe entre cada una de las copias de respaldo que realizan. Observando el circulo con el numero 1 se aprecia la diferencia existente entre la realización de la ultima copia de respaldo y el estado actual de la información, justo antes de la caída del sistema. Ese es el momento en el cual uno o más de los sistemas críticos dejan de estar disponible y se inicia el Plan de Continuidad y/o de Recuperación de Desastres. La primera fase del MTD (tiempo máximo de inactividad que la organización puede tolerar la ausencia o no disponibilidad de una función o proceso) es el objetivo a cumplir. En este marco de tiempo los sistemas se evalúan, reparan, reemplazan y reconfiguran. El RTO finaliza cuando los sistemas nuevamente están en línea y la información es recuperada hasta el último respaldo de información disponible. Justo allí es cuando empieza la segunda fase del MTD.

Es en esta fase cuando la información es recuperada através de procesos automatizados y/o manuales. Hay dos elementos en la recuperación de información, el primero es la restauración de la información perdida, y la segunda es la carga de la información recopilada de manera "artesanal" por que no había manera de ingresarla al sistema. La mayoría de empresas realizan las dos fases mencionadas en ese mismo orden, pero habrá casos en los que el Plan de Recuperación pueda dictar lo contrario. Aquí la clave es entender que hay un retraso entre el momento en que los sistemas vuelven a estar completamente operativos y el momento en el que se pueden reasumir las operaciones normales. Durante los periodos indicados con los círculos con los números 2 y 3, se hará el trabajo con mecanismos alternos y/o manuales. Estos procesos se reactivaran posteriormente de acuerdo a lo que se defina en el Plan de continuidad. Por ejemplo, si una base de datos financiera esta inaccesible, como se podrán registrar los pagos, las ventas, y todas las actividades relacionadas por todo el equipo de trabajo? Es necesario definir eso en el proceso de planeación. El Circulo con el Numero 4 indica la transición entre recuperación de desastre y continuidad del negocio de nuevo hasta la operación normal. Es probable encontrar que sea necesario realizar procesos manuales que deberían ser automatizados, pudiendo planear el regreso a la normalidad por quizás departamentos de la organización o zonas geográficas.

Para finalizar, los dejo con un diagrama que explica las entradas y las salidas de un BIA:

Gestión de Riesgos

Teniendo entendido que para la gran mayoría de Organizaciones actualmente la Gestión u Administración de Riesgos se constituye como parte fundamental de la Gerencia de la Organización que pretende respaldar eficientemente a la identificación, análisis, tratamiento, comunicación y monitoreo de los riesgos del negocio; este análisis se convierte en tema de obligatorio cumplimiento cuando se habla de un Sistema de Gestión de Seguridad de la Información.

Por años este tema estuvo regido por la Norma Australiana AS/NZS 4360, la cual sirvió de guiá a muchísimos profesionales que querían hacer un análisis de riesgos en sus labores cotidianas; y si hablamos específicamente en Colombia dicha norma fue adaptada bajo el nombre de NTC 5254 en el año 2006 la cual se convirtio en texto obligado al momento de hacer evaluaciones de riesgos para las diferentes Organizaciones en Colombia. Que incluye dicha norma? Básicamente orienta al lector en la necesidad de identificar riesgos que impacten su Organización, Como analizarlos midiendo consecuencia y probabilidad, Evaluar el impacto que tiene la materialización de cada uno de los riesgos identificados, Identificar opciones de manejo de los riesgos (Plan de tratamiento de riesgos); y por ultimo la Medición y análisis de los riesgos. Actualizacion 2013: La norma actual de gestión de riesgos es la ISO 31000, estandar que realiza un manejo identico de la gestion de riesgos al presentado en esta entrada.

Pero que es todo este tema del Análisis de Riesgos, Mapas de Riesgos y demás? Veamos paso a paso como se hace esta evaluación.

IDENTIFICACIÓN DE RIESGOS.

En la identificación de riesgos se debe determinar la posibilidad de ocurrencia de riesgos potenciales, lo cual pueda entorpecer el normal desarrollo de las funciones de la Organización.

Para esto podemos elaborar un listado de los riesgos inherentes a las actividades o procedimientos que se llevan a cabo en cada proceso, priorizándolos según el grado en que estos afecten los objetivos misionales del mismo.

ES MUY IMPORTANTE TENER EN CUENTA QUE PARA REALIZAR LA IDENTIFICACIÓN DEL RIESGO ESTE NO SE HAYA MATERIALIZADO.

ANÁLISIS DE FACTORES DE RIESGO.

En el análisis de factores de riesgo es necesario tener en cuenta aquellos que pueden incrementar la probabilidad de que un riesgo ocurra. Inclusive, es posible generar riesgos nuevos como por ejemplo la integridad, la ética de las personas involucradas, el tamaño y la complejidad de las transacciones involucradas en el proceso, así como, los cambios en los sistemas o en el personal clave; adicionalmente se debe tener en cuenta los factores de carácter externo que pudieran llegar a afectar la Organización como son los económicos, sociales, legales o de cambio tecnológico.

CLASIFICACIÓN DEL RIESGO.

La clasificación del riesgo permite realizar una mejor identificación de los riesgos inherentes a los procesos de la Organización, ya que delimita los parámetros a seguir por el responsable. Esta seria una posible clasificación:

• Riesgo estratégico
• Riesgo operativo
• Riesgo de control
• Riesgo financiero
• Riesgo de tecnología
• Riesgo de incumplimiento
• Riesgo de fraude
• Riesgo de ambiente laboral

Que riesgos analizar? Esta imagen es de gran ayuda para visualizar los "anillos del riesgo" a los cuales se expone una Organización:



PONDERACIÓN DEL RIESGO
La ponderación del riesgo consiste en establecer los niveles adecuados de calificación, tanto de la probabilidad como del impacto, para determinar realmente el nivel de vulnerabilidad en la Organización ante situaciones previsibles. También se debe tener en cuenta los factores de riesgo enunciados durante el proceso de identificación.

• Probabilidad de ocurrencia: para determinar este ítem se debe considerar los controles utilizados hasta el momento y la efectividad de los mismos, así como, la frecuencia en la que ocurren los riesgos y en la que se van a analizar.
• Impacto: en este ítem se evalúan las consecuencias en caso que el hecho que originó el riesgo se materialice. También analiza el grado en que afecta los objetivos de los procesos involucrados o, inclusive de manera general a la Organización.

MANEJO DEL RIESGO.

Después de realizar la ponderación de los riesgos se debe elaborar un plan de manejo de los mismos. En la elaboración de dicho plan se debe tener en cuenta la relación costo/beneficio del riesgo que se desea tratar, así como, las consecuencias y las posibles acciones que se van a implementar. Se debe tener claro que existen varias posibilidades en cuanto a manejo del riesgo, las cuales se describen a continuación:

• Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
• Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
• Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
• Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
• Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.

Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

DESCRIPCIÓN DE LA MATRIZ DE RIESGOS.

Básicamente una matriz de riesgos puede ser como la siguiente:

Pero la información que se debe manejar al administrar riesgos seria idealmente la siguiente:

• Riesgo: es la posibilidad de ocurrencia de aquella situación que pueda entorpecer el normal desarrollo de las funciones de la Organización y le impidan el logro de sus objetivos.
• Impacto: son las consecuencias que puede ocasionar a la Organización la materialización del riesgo.
• Probabilidad: es la posibilidad de ocurrencia del riesgo.
• Control existente: en este ítem se debe especificar cual es el control que la Entidad tiene implementado para combatir, minimizar o prevenir el riesgo.
• Nivel De Riesgo: es el resultado de la aplicación de la escala escogida para determinar el nivel de riesgo de acuerdo a la posibilidad de ocurrencia, teniendo en cuenta los controles existentes.
• Causas: son los medios, circunstancias y agentes que generan los riesgos.
• Acciones: es la aplicación concreta de las opciones del manejo del riesgo que entraran a prevenir o a reducir el riesgo y harán parte del plan de manejo del riesgo.
• Responsables: son las dependencias o áreas encargadas de adelantar las acciones propuestas, también se debe determinar en cabeza de quien va a quedar el compromiso del cumplimiento del cronograma.
• Cronograma: son las fechas establecidas para implementar las acciones por parte del grupo de trabajo.
• Indicadores: se deben usar para evaluar el desarrollo de las acciones implementadas y pueden ser de tipo cuantitativo o cualitativo, pero deben permitir emitir un juicio mediante su utilización.

ESCALAS PARA LA DETERMINACIÓN DE PROBABILIDAD E IMPACTO DE CADA RIESGO.

Tomando los criterios establecidos para la evaluación de los riesgos en la Norma NTC 5254: Norma Técnica Colombiana de Gestión de Riesgos, se construye una tabla donde se describen los riesgos; se muestra el resultado del cruce de las variables de impacto o consecuencia versus probabilidad de ocurrencia del riesgo, y mediante colores se representa la severidad del riesgo.

PLAN DE MANEJO DEL RIESGO

Tal como se menciono previamente se encuentran las diferentes alternativas del manejo del riesgo, las cuales seran tenidas en cuenta para el Monitoreo de los Riesgos y son las siguientes:

• Evitar el riesgo: es realizar modificaciones a los procesos o a las actividades generadoras del riesgo, para generar los controles pertinentes, adecuados y efectivos para el tipo de riesgo que está revisando.
• Reducir el riesgo: es aplicar controles directamente para reducir la probabilidad o el impacto del riesgo. Este manejo se da cuando dicho riesgo no puede ser evitado, por lo que se trata de utilizar medidas correctivas en los procesos que ayuden a minimizar el riesgo inherente de las actividades involucradas.
• Transferir el riesgo: es trasladar el riesgo a otra área de la Entidad o adquiriendo seguros que cubran estos riesgos, de esta manera se logra que el tercero los asuma.
• Compartir o diversificar el riesgo: es distribuir el riesgo, por ejemplo, guardar varias copias de un documento en lugares diferentes para que de esta manera se evite que la pérdida de un documento origine la nulidad del proceso que respalda.
• Retener, asumir o aceptar el riesgo: es una decisión que el área de donde proviene el riesgo debe tomar, y para hacerlo debe necesariamente haber llegado a la conclusión que la relación costo/beneficio no es viable, es decir, que el costo de implementar los controles es mayor al costo que puede originar la materialización del riesgo. Esta situación puede ocurrir además cuando el riesgo no es reconocido o cuando al reducir el riesgo queda una parte residual, originando consecuencias que son asumidas por cada área.

Teniendo claro los posibles manejos que se le da a cada riesgo se deben formular acciones para su realización, estableciendo responsables de estas y fijando fechas para su desarrollo. Los responsables también deben velar por el cumplimiento en el desarrollo e implementación de los puntos de control.

EJECUCIÓN DEL PLAN DE MANEJO DE RIESGOS

Dentro de esta secuencia de actividades ya se cumplió con la identificación, análisis y evaluación de riesgos, quedando por ejecutarse el Monitoreo de los riesgos identificados inicialmente. Se realizará un monitoreo de las matrices de riesgos de las diferentes áreas en reuniones periódicas; en donde cada uno de los responsables de los procesos de la Organización estará encargado de complementar y actualizar sus matrices a medida que surgen nuevos riesgos o si los controles aplicados logran reducir o incluso eliminar los riesgos existentes.

Las modificaciones a las matrices después de su oficialización deben ser debidamente aprobadas. Pasos a seguir por proceso para realización del monitoreo:

1. Revisar cuidadosamente la última matiz de riesgos aprobada.
2. Listar las medidas existentes o planeadas para reducir la ponderación del riesgo. Se listaran medidas para reducir la probabilidad y para reducir el impacto.
3. Evaluar si los riesgos y las causas que los originaron persisten, de ser así confirme que los controles de estos riesgos no se hayan modificado o tergiversado con el tiempo.
4. Proponer nuevos controles para los que son obsoletos.
5. Considerar el (los) riesgo(s) que han desaparecido y con base en esto elaborar un informe explicando su apreciación para que éste sea retirado del mapa oficial del área.

A continuación se enumeran las metodologías más conocidas de análisis y gestión de riesgo. La mayoría de ellas constan de documentos que desarrollan los conceptos necesarios y luego se especifican los pasos a ser llevados a cabo para realizar el relevamiento completo. Algunas de ellas también disponen de planillas, matrices, tableros y reportes de ejemplos que pueden utilizarse como base.

Herramienta OCTAVE

OCTAVE (Operationally Critical Threat, Asset, and Vulnerability Evaluation) se encuentra disponible gratuitamente (en inglés) y es un conjunto de herramientas, técnicas y métodos para desarrollar análisis de riesgos basados en gestión y la planeación estratégica de la organización.
Son todas las acciones que necesitan ser llevadas a cabo dentro de la organización para realizar la gestión de activos, conocer posibles amenazas y evaluar vulnerabilidades.

Herramienta MAGERIT

MAGERIT es una metodología de Análisis de Riesgos de carácter público elaborada por el Ministerio de Administraciones Públicas, siendo probablemente la metodología más utilizada en España.

El nombre de MAGERIT responde a "Metodología de Análisis y Gestión de Riesgos de IT”, y es un método formal orientado a activos, cuya misión es descubrir los riesgos a los que se encuentran expuestos nuestros sistemas de información y recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

La metodología MAGERIT ha sido elaborada por un equipo interdisciplinario del Comité Técnico de Seguridad de los Sistemas de Información y Tratamiento Automatizado de Datos Personales, SSITAD, del Consejo Superior de Informática.

MAGERIT persigue los siguientes objetivos generales:

• Concienciar a los responsables de los sistemas de información de la existencia de riesgos y de la necesidad de atajarlos a tiempo.
• Ofrecer un método sistemático para analizar tales riesgos.
• Ayudar a descubrir y planificar las salvaguardas oportunas para mantener los riesgos bajo control.
• Apoyar a la Organización en la preparación de procesos de evaluación, auditoría, certificación o acreditación, según corresponda en cada caso.

MAGERIT está estructurado en tres partes diferenciadas:

• Libro I: Método.
• Libro II: Catálogo de Elementos.
• Libro III: Guía de Técnicas.

Puede descargarse la metodología desde la web del Ministerio de Administraciones Públicas de España.

Herramienta EAR/PILAR

Como herramienta informática para el análisis de riesgos, basado en MAGERIT, disponemos de PILAR. Este software puede descargarse gratuitamente, en su versión de prueba, desde el enlace www.ar-tools.com/pilar.

PILAR dispone de una biblioteca estándar de propósito general, y es capaz de realizar calificaciones de seguridad respecto de normas ampliamente conocidas como son:

• ISO/IEC 27002:2005 - Código de buenas prácticas para la Gestión de la Seguridad de la Información.
• SP800-53:2006 - Recommended Security Controls for Federal Information Systems.
• Criterios de Seguridad, Normalización y Conservación del Consejo Superior de Informática y para el Impulso de la Administración Electrónica.

Herramienta CRAMM

CCTA Risk Analysis and Method Management (CRAMM) es una metodologia creada en 1987 por la Central Agency of Data Processing and Telecommunications del Gobierno del Reino Unido.

Esta metodología comprende tres fases:

• Fase 1: Establecimiento de objetivos de seguridad
• Fase 2: Análisis de riesgos
• Fase 3: Identificación y selección de salvaguardas

CRAMM es actualmente la metodología de Análisis de Riesgos utilizada por la OTAN, el Ejército de Holanda, y numerosas empresas de todo el mundo.

En la dirección www.cramm.com podemos encontrar la más completa información sobre esta prestigiosa metodología.

Otras metodologías conocidas son:

• Mehari, desarrollada por CLUSIF (Club de la Sécurité de l’Information Français). Es gratuita y se encuentra disponible en varios idiomas
• METRICA3 específica para desarrollo de software (Software Life Cycle Processes)
• Desarrollada en español y gratuita
• The Security Risk Management Guide de Microsoft, en inglés y gratuita
• COBRA, con costo y en inglés
• Callio, con costo y en inglés
• MARION, Méthodologie d'Analyse des Risques Informatiques et d'Optimisation par Niveau, desarrollada en Francia por el Club de la Sécurité Informatique Français (CLUSIF).
• ISAMM, Information Security Assessment & Monitoring Method, desarrollada en Bélgica por Telindus N.V.
• IT-Grundschutz, desarrollada por la Bundesamt für Sicherheit in der Informationstechnik (Oficina Federal para la Seguridad de la Información) de Alemania.

Todas estas metodologías pueden ser implementadas en cualquier organización, pero cada una deberá realizar un análisis pormenorizado para adaptar el modelo a la organización que se trate.

A futuro: Tendremos la Norma ISO 31000, la cual ya esta disponible en idioma Ingles, pero que saldra obviamente en nuestro idioma.

Para terminar, los dejo con el ciclo del análisis de riesgo: