Introducción

La gestión de la seguridad de una organización puede ser - y en muchos casos es - algo infinitamente complejo, no tanto desde un punto de vista puramente técnico sino más bien desde un punto de vista organizativo; no tenemos más que pensar en una gran universidad o empresa con un número elevado de departamentos o áreas: si alguien que pertenece a uno de ellos abandona la organización, eliminar su acceso a un cierto sistema no implica ningún problema técnico (el administrador sólo ha de borrar o bloquear al usuario, algo inmediato), pero sí graves problemas organizativos: para empezar, >cómo se entera un administrador de sistemas que un cierto usuario, que no trabaja directamente junto a él, abandona la empresa? >quién decide si al usuario se le elimina directamente o se le permite el acceso a su correo durante un mes? >puede el personal del área de seguridad decidir bloquear el acceso a alguien de cierto `rango' en la organización, como un directivo o un director de departamento, nada más que este abandone la misma? >y si resulta que es amigo del director general o el rector, y luego este se enfada? Como vemos, desde un punto de vista técnico no existe ningún escollo insalvable, pero sí que existen desde un punto de vista de la gestión de la seguridad...

Hoy en día, una entidad que trabaje con cualquier tipo de entorno informático, desde pequeñas empresas con negocios no relacionados directamente con las nuevas tecnologías hasta grandes telcos de ámbito internacional, está - o debería estar - preocupada por su seguridad. Y no es para menos: el número de amenazas a los entornos informáticos y de comunicaciones crece casi exponencialmente año tras año, alcanzando cotas inimaginables hace apenas una década. Y con que el futuro de la interconexión de sistemas sea tan solo la mitad de prometedor de lo que nos tratan de hacer creer, es previsible que la preocupación por la seguridad vaya en aumento conforme nuestras vidas estén más y más `conectadas' a Internet.

Hasta hace poco esta preocupación de la que estamos hablando se centraba sobre todo en los aspectos más técnicos de la seguridad: alguien convencía a algún responsable técnico que con la implantación de un cortafuegos corporativo se acabarían todos los problemas de la organización, y por supuesto se elegía el más caro aunque después nadie supiera implantar en él una política correcta; poco después, y en vista de que el firewall no era la panacea, otro comercial avispado convencía a la dirección que lo que realmente estaba de moda son los sistemas de detección de intrusos, y por supuesto se `dejaba caer' un producto de este tipo en la red (se `dejaba caer', no se `implantaba'). En la actualidad, como las siglas están tan de moda, lo que se lleva son las PKIs, que aunque nadie sepa muy bien como calzarlas en el entorno de operaciones, quedan de maravilla sobre las slides^23.1 de las presentaciones comerciales de turno.

Por fortuna, las cosas han empezado a cambiar (y digo `por fortuna' a pesar de ser una persona más técnica que organizativa); hoy en día la seguridad va más allá de lo que pueda ser un cortafuegos, un sistema de autenticación biométrico o una red de sensores de detección de intrusos: ya se contemplan aspectos que hasta hace poco se reservaban a entornos altamente cerrados, como bancos u organizaciones militares. Y es que nos hemos empezado a dar cuenta de que tan importante o más como un buen firewall es un plan de continuidad del negocio en caso de catástrofe - especial y desgraciadamente desde el pasado 11 de septiembre -, y que sin una política de seguridad correctamente implantada en nuestra organización no sirven de nada los controles de acceso (físicos y lógicos) a la misma. Se habla ahora de la gestión de la seguridad como algo crítico para cualquier organización, igual de importante dentro de la misma que los sistemas de calidad o las líneas de producto que desarrolla.

Algo que sin duda ha contribuido a todo esto es la aparición - más o menos reciente - de normativas y estándares de seguridad, de ámbito tanto nacional como internacional, y sobre todo su aplicación efectiva; no tenemos más que mirar la Ley Orgánica de Protección de Datos de Carácter Personal en España: desde que la Agencia de Protección de Datos impone sanciones millonarias a quienes incumplen sus exigencias, todo el mundo se preocupa de la correcta gestión de su seguridad. También han sido importantes la transformación del British Standard 7799 en una norma ISO (17799) a la que referirse a la hora de hablar de la definición de políticas dentro de una organización, y la definición del informe UNE 71501 IN como requisito para proteger y gestionar la seguridad de los sistemas de información dentro de las organizaciones.

Hasta tal punto se ha popularizado el mundo de la seguridad que surgen empresas `especializadas' hasta de debajo de las piedras, y por supuesto todas cuentan con los mejores expertos, consultores e ingenieros de seguridad (títulos que, al menos que yo sepa, no otorga ninguna universidad española); la paranoia se lleva al límite cuando se ofrecen certificaciones comerciales de seguridad del tipo `Certificado X en Seguridad' o `Ingeniero de Seguridad X'. Por supuesto, aunque en el mercado de la seguridad hay excelentes profesionales, la lógica nos debe llevar a desconfiar de este tipo de publicidad, pero sin llegar al extremo de descuidar nuestra seguridad por no confiar en nadie: como veremos, la seguridad gestionada es en muchas ocasiones una excelente solución.

En definitiva, en este capítulo vamos a intentar hablar de aspectos relacionados con la gestión de la seguridad corporativa - entendiendo por `corporativa' la aplicable a una determinada organización, bien sea una empresa bien sea una universidad -. Comentaremos desde aspectos relacionados con la definición de políticas o los análisis de riesgos hasta el papel del área de Seguridad de una organización, incluyendo aproximaciones a la seguridad gestionada. Como siempre, existe numerosa bibliografía sobre el tema que es imprescindible consultar si queremos definir y gestionar de forma adecuada la seguridad de nuestra organización; especialmente recomendables son [Sta00], [H⁺02] y [GB97].