Introducción

El enfoque descrito hasta ahora en esta serie sobre seguridad de la información consta de cuatro preguntas:

Estas preguntas le ayudarán a priorizar la información, reducir la superficie de ataque y determinar el objetivo de las medidas de seguridad que implementará. La quinta y última pregunta es:

¿Qué medidas de seguridad contribuirán a lograr el objetivo identificado?

Medidas

Las medidas de seguridad de la información se dividen en términos generales en tres categorías:

Papel. Políticas, procedimientos y lineamientos.
Personas. Roles, responsabilidades y prácticas.
Tech. Requisitos e implementación.

Es esencial que para cada uno de sus activos de información más valiosos y sensibles se considere una combinación de medidas en las tres categorías. Además, las medidas deben ser complementarias y reforzarse mutuamente. Si las medidas se consideran de forma aislada, pueden ser contradictorias o entrar en conflicto entre sí y correr el riesgo de socavar sus objetivos de seguridad.

Un ejemplo del mundo real de medidas potencialmente conflictivas es una organización que adopta la medida de una política que prohíba el uso de cifrado de extremo a extremo para garantizar la disponibilidad de información si un miembro del equipo se va, y al mismo tiempo requiere que el personal implemente tecnología medidas para proteger la confidencialidad de las comunicaciones entre dispositivos incluso si el proveedor del servicio está comprometido.

Papel

Las medidas en papel consisten en medidas de alto nivel. políticas y más detallado procedimientos sobre cómo se debe gestionar la información. También pueden incluir orientaciones u otro asesoramiento que complemente las políticas y procedimientos oficiales.

Una forma práctica de iniciar el proceso de redacción es comenzar con un enfoque ascendente. Esto comienza con la captura de lo que están haciendo actualmente en la práctica los miembros del equipo y la tecnología que utilizan para obtener la información de mayor prioridad. Una vez que se sepa esto, se puede hacer oficial sin cambios o se pueden introducir mejoras incrementales y sostenibles para producir la primera versión. Los procedimientos identificados de esta manera pueden promoverse como políticas una vez que se considere que logran suficientemente el objetivo identificado.

Si bien las políticas tienden a requerir un proceso más complicado para actualizarse, los procedimientos generalmente pueden actualizarse siempre que sigan siendo compatibles con la política aprobada. No obstante, es importante que las revisiones no sean tan frecuentes como para que seguir el procedimiento sea un objetivo móvil para los miembros del equipo.

empleados

El papel no es la realidad, requiere que la gente lo implemente. Una manera práctica de comenzar es de arriba hacia abajo. Como mínimo, el director ejecutivo tendrá responsabilidad para la seguridad de la información de la organización; sin embargo, es poco probable que tengan la capacidad, la experiencia y los conocimientos para gestionar esto en el día a día. Por lo tanto, la delegación es clave.

La responsabilidad diaria se puede delegar a una persona en particular. papel. Esto no hace que la persona en ese rol sea responsable de la seguridad de la información de la organización, sino que implementará políticas y garantizará que se sigan los procedimientos, por ejemplo. Además, pueden delegar otras funciones, como directores de programas o propietarios de información designados. La delegación a cualquier nivel debe ir acompañada de una articulación clara de los recursos disponible y cualquier la presentación de informes requisitos (tales como fallas de cumplimiento).

En un mundo perfecto, las personas implementarían todas las políticas y procedimientos y cumplirían con todas las responsabilidades de su función. Lamentablemente la realidad no es así. Observando lo que la gente realmente hace en respecto a la información es fundamental. Tenga en cuenta que los miembros del equipo que no cumplen con la política o cometen errores al implementar los procedimientos pueden ser una indicación de que algunos elementos no son prácticos o inadecuados. Por lo tanto, en lugar de tomar medidas disciplinarias, un incumplimiento puede manejarse mejor mediante una revisión de las medidas escritas, por ejemplo.

Tecnología.

El papel de la tecnología en las ONG modernas tiende a estar impulsado por características. Pero en lugar de comenzar con las funciones de dispositivos y servicios potenciales y luego intentar protegerlos, debería comenzar con su • Requisitos. Estos requisitos deben abarcar tanto las funciones que necesita y las propiedades de seguridad deseadas. Sólo cuando haya especificado completamente sus requisitos deberá considerar la opción adecuada. implementación (es decir, el dispositivo o servicio que podría utilizar). Tenga en cuenta que algunas implementaciones pueden tener características que van más allá de sus requisitos, y será necesario considerar los riesgos de seguridad de la información que conllevan; el hecho de que usted no utilice una característica no significa que los adversarios no lo harán si les permite alcanzar sus objetivos.

Por ejemplo, es posible que necesite comunicarse y recibir información de un colega en tiempo real. Esto excluye el correo electrónico, pero las llamadas telefónicas, los SMS, las videoconferencias y la mensajería instantánea cumplirían con este requisito. Sin embargo, es posible que también deba comunicar esta información de forma confidencial. Esto descarta aún más las llamadas telefónicas y los SMS, pero los servicios de videoconferencia y mensajería instantánea que implementan correctamente el cifrado de extremo a extremo pueden satisfacer sus necesidades. Luego podrá explorar servicios específicos a la luz de requisitos adicionales, como el costo o la facilidad de uso.

En el ejemplo anterior, los requisitos para el servicio de comunicación son tiempo real, cifrado de extremo a extremo, rentable y fácil de usar; sin embargo, es posible que no todos estos requisitos sean posibles con los servicios (implementaciones) disponibles en el mercado, y es posible que deba considerar qué factores son los más importantes o si múltiples tecnologías y un ajuste de procedimientos pueden compensar. (Tenga en cuenta que estos requisitos son inadecuados porque sólo tratan con información en movimiento, y no considerar la seguridad de la información in use en dispositivos y at resto cuando los dispositivos están apagados.)

Conclusión

Una vez que haya determinado las medidas de papel, personas y tecnología más apropiadas para lograr sus objetivos de seguridad, debe registrarlas en un cola de prioridad. Esta lista simple se puede utilizar para priorizar la implementación de medidas a la luz de los recursos disponibles (tiempo y fondos) y para realizar un seguimiento de lo que se ha completado, lo que está en progreso y lo que aún está por hacer.

Para las organizaciones que no saben cómo empezar a mejorar la seguridad de su información, esta serie de artículos proporciona un punto de partida y un enfoque sistemático para abordar este difícil tema en el futuro. Sin saber cuál es su información más valiosa y sensible, ¿cómo puede estar seguro de que la está protegiendo? Sin saber dónde está y dónde debería estar, ¿cómo puede estar seguro de que ha adoptado medidas en los lugares y en el momento adecuados? Sin conocer el objetivo de sus medidas de seguridad de la información, ¿cómo puede saber si lo ha logrado o lo está socavando? Y sin priorizar ni asignar recursos a medidas de seguridad específicas, ¿cómo protegerá adecuadamente su información valiosa y confidencial?

Este enfoque es muy diferente de la seguridad digital, que se centra en la implementación de medidas generales (normalmente basadas en tecnología). La seguridad digital es esencial para la seguridad de la información, pero no es suficiente. El enfoque de seguridad de la información se basa en el riesgo y es más complejo, pero esta complejidad existe por una buena razón: ¡está diseñado para evitar que los adversarios comprometan su información valiosa y sensible!