ISO 27001: Funciones y mecanismos de salvaguarda
Sistema de Gestión de Seguridad de la Información
El sistema MAGERIT define el servicio de salvaguarda como la acción genérica que puede producir un riesgo y el mecanismo de salvaguarda como el procedimiento que lo reduce. La norma ISO 27001 fue creada para reducir el riesgo, pero para esto se necesita mejorar las salvaguardas que ya existen o introducir nuevas.
Características de las salvaguardas
En el sistema MAGERIT se pueden distinguir dos tipos de entidades:
- Entidad más abstracta, denominada función de salvaguarda
- Entidad más concreta, denominada mecanismo de salvaguarda
La diferencia entre función y mecanismo de salvaguarda es mínima, ya que la principal diferencia con la que cuentan es que se acuñaron en diferentes épocas, pero aun así MAGERIT mantiene ambos conceptos para facilitar el alcance con los documentos normativos originales.
La función de salvaguarda, a la hora de implementar un Sistema de Gestión de Seguridad de la Información ISO 27001, es una acción de tipo actuación, que nace de la decisión para reducir el riesgo. La actuación se confirma con los diferentes mecanismos de salvaguarda que actúa de dos formas diferentes:
- Neutralizando o bloqueando otra acción, en el que el evento de confirmación de la amenaza se convierte en agresión, reduciendo previamente el evento de vulnerabilidad.
- Modificar de nuevo el estado de seguridad del activo agredido, reduciendo posteriormente el evento productor de dicho impacto.
Tipos de funciones y mecanismos de salvaguarda
Podemos diferenciar dos grandes tipos de funciones y mecanismos de salvaguarda:
- Las funciones preventivas: actúan sobre la vulnerabilidad y disminuyen la potencialidad de la confirmación de la amenaza. En este tipo de función actúa sobre las amenazas humanas, bien sean involuntarias o intencionadas.
- Las funciones curativas: actúan sobre el impacto y disminuyen la gravedad. En este tipo de función se puede actuar de forma generan en amenazas de cualquier tipo.
Tipos de funciones de salvaguarda
Las funciones de salvaguarda, según la ISO 27001, se pueden clasificar según sus formas de actuación en:
- Amenazas que generan vulnerabilidades, para funciones preventivas.
- Impactos, para funciones curativas.
Estas dos clasificaciones complementarias según el tipo de amenaza presentan la ventaja de permitir de forma sustancial el funcionamiento del submodelo de procedimientos.
Todas las funciones de salvaguarda se pueden especificar con más detalle por la forma de actuar que tienen, como podemos ver en la siguiente figura:
Salvaguardas preventivas
- Concienciación, información y formación del personal propio y relacionado de forma estable con la organización es un tipo de salvaguarda estructural. La importancia radica en el papel que juega en la seguridad del factor humano.
- Disuasión es un tipo de salvaguarda considera el inicio de la agresión por el potencial agresor humano de forma intencionada, de las consecuencias que puedan actuar contra su propio interés.
- La prevención, es un tipo de salvaguarda de protección que no impide que se inicie la materialización de la amenaza, sólo la realización completa y por lo tanto la materialización completa del impacto.
- La detección preventiva, suele llegar a ser disuasivo, si la existencia es conocida por el agresor potencial, y éste es sensato admitiendo que puede ser descubierto.
Salvaguarda curativa
- La corrección, es un tipo de salvaguarda que no permite la propagación del impacto que resulta de la amenaza materializada y limita los efectos que actúan sobre ésta.
- La recuperación, este tipo de salvaguarda restaura o reconstruye los elementos que han sido dañados acercándose al estado de seguridad previo a la agresión.
- La detección curativa, si la amenaza ya se ha realizado.
Tipos de mecanismos
Los mecanismos de salvaguarda, se encuentran tipificados como preventivos o curativos, según la forma de actuar que tengan. Según sea el recurso utilizado por la organización, en el Sistema de Gestión de Seguridad de la Información ISO 27001, se pueden obtener mecanismos organizativos, físico, lógicos, de contratación de seguros, etc. Todos estos recursos, se pueden relacionar con los activos que se han tipificado en este mismo momento.
Clasificar los mecanismos según los recursos utilizados tiene también la ventaja de permitir de forma sustancial el funcionamiento del submodelo de procedimiento.
Atributos de las salvaguardas
Eficacia genérica: es un atributo de una función de salvaguarda, que hace pasar de la vulnerabilidad activa a una vulnerabilidad efectiva.
Eficacia concreta: es un atributo que genera un mecanismo de salvaguarda, suele ser inespecífica por lo que suele encontrase asociada a la eficiencia de otros mecanismos de salvaguarda. Se transforma la vulnerabilidad intrínseca en vulnerabilidad efectiva.
Por otra parte la práctica de una salvaguarda, que es un atributo que mide la resistencia del ataque directa y se mide la fuerza que tiene que utilizar el agente agresor para saltar la salvaguarda.
La eficacia actúa de forma homogénea, por lo que la eficacia de la salvaguarda tiene que mantener cierta proporción con la potencialidad que se quiere reducir, mientras que la robustez se utiliza de una forma mucho más absoluta.
Métricas de las salvaguardas
Una función de salvaguarda no tiene métrica propia, sólo la que se deriva del poder reductor del riesgo.
Los mecanismos de salvaguarda tienen una métrica que se encuentra ligada al coste técnico, que se traduce a euros cuando es posible.
Software ISO 27001
El Software ISO 27001 para la Seguridad de la Información se encuentra compuesta por diferentes aplicaciones que, al unirlas, trabajan para que la información que manejan las empresas no pierda ninguna de sus propiedades más importantes.