viernes, 28 de junio de 2013

Consejos para un Análisis de Riesgos Útil y Sencillo

Después de analizar, probar y sufrir numerosas metodologías de análisis de riesgos he llegado a una conclusión definitiva; cuanto más sencilla sea la metodología a emplear tanto más útil será el análisis de riesgos, ya que con poco esfuerzo podremos obtener una información interesante y útil para la gestión de la seguridad de nuestra organización.

Para ello, mi propuesta de decálogo es la siguiente:

  1. Utiliza siempre un modelo cualitativo y con pocas dimensiones a valorar.
  2. Explica bien a los directivos de tu organización qué es el nivel de riesgo residual, es decir, el nivel de riesgo aceptable por la organización y que sean ellos los que lo definan de una manera consciente.
  3. Dedica esfuerzos a tener bien definido el mapa de activos de tu organización:

    • Define una primera capa con los procesos de negocio y los procesos de soporte.
    • Por debajo de estos, define la capa de aplicaciones.
    • Por debajo de la capa de aplicaciones, los sistemas y bases de datos.
    • Y finalmente, de una manera lo más agregada posible, los dispositivos de comunicaciones.
  1. Prepara bien los criterios para valorar los impactos y realiza un BIA valorando por separado los impactos en cuanto a disponibilidad, integridad y confidencialidad. 
  2. Entre los criterios para la valoración de impactos, ten en cuenta como mínimo, los impactos legales, financieros y de imagen.
  3. Siempre que ea posible, agrupa los activos tecnológicos cuando estos estén en una misma ubicación de red y sean administrados de una manera homogénea. Esto simplificará en gran medida tu análisis de riesgos.
  4. Selecciona un catálogo de amenazas lo más sencillo posible. Básate en Magerit o en cualquiera de otro catálogo existente y simplifícalo para adaptarlo a la realidad de tu organización.
  5. No te compliques en la definición de controles y contramedidas. Básate en algún estándar como la ISO27002 o la NIST.
  6. Prepara un plan de tratamiento de riesgos coherente teniendo en cuenta una estimación de esfuerzos lo más realista posible.
  7. Cuando presentes los resultados del análisis de riesgos a la Dirección, traduce los resultados para que sean lo más inteligibles posible.
Finalmente, saca provecho a tu análisis de riesgos. No lo hagas simplemente para cumplir con el trámite exigido por el ENS, la ISO27001 o PCI DSS.

Un análisis de riesgos bien hecho no tiene porqué ser complejo ni necesita dedicar meses para su ejecución. Sin embargo, se le puede sacar mucho partido ya que permite:
  • Identificar qué activos son los que están más expuestos.
  • Cuales son las amenazas más relevantes para tu organización.
  • Qué proyectos o medias de seguridad se deben priorizar.
  • Qué proyectos o medias de seguridad no son necesarias y por lo tanto nos podemos ahorrar sus costes y esfuerzos.
  • Es una excelente herramienta para justificar la necesidad de presupuesto, especialmente si el riesgo residual ha sido definido por la Dirección.


sábado, 1 de junio de 2013

Quiero ser Consultor de Seguridad

He pasado la mayor parte de mi carrera profesional dedicándome a la consultoría de seguridad de la información. La verdad es que llegué a este mundillo más por casualidad que por auténtica vocación, aunque ahora me cueste imaginarme dedicándome a otra cosa!

Y es que es difícil despertarse un día siendo un adolescente y pensar, ¡Quiero ser un consultor de seguridad! Futbolista, abogado, periodista, actor, programador, diseñador, arquitecto o incluso Hacker... quizá. Pero no Consultor de Seguridad. Y es que la mayoría de la gente que no trabaja directamente en este sector (incluso algunos que sí lo hacen) ignora a qué nos dedicamos.

Así pues, quiero empezar este post por explicar, según mi punto de vista...

En qué consiste ser Consultor de Seguridad

Dentro del ámbito de la consultoría de seguridad existen multitud de tipologías de proyectos diferentes que pueden llevarse a cabo. A saber:

  • Proyectos relacionados con la Gestión de la seguridad: Implantaciones o auditorías de ISO27001, de Esquema Nacional de Seguridad en el caso de administraciones públicas, análisis de riesgos, planes directores de seguridad, etc...
  • Proyectos relacionados con la continuidad de negocio: Implantación o auditorías de sistemas de gestión de la continuidad de negocio, definición o auditorías de planes de continuidad de negocio, planes de contingencia y recuperación ante desastres, etc
  • Proyectos relacionados con el cumplimiento normativo: proyectos relacionados con la LOPD, Firma Electrónica, la LSSI, con PCI DSS, con la SOX, las HIPAA,etc
  • Proyectos de desarrollo normativo: Políticas de seguridad, normativas de seguridad, procedimientos de seguridad, procedimientos de gestión de incidentes de seguridad, etc..
  • Otros proyectos: Proyectos de PKI, asesoramiento en materia de seguridad, formaciones, planes de concienciación, etc...

¿Por qué dedicarse a la Consultoría de Seguridad?

Pues podría dar multitud de razones, pero quizá la principal para alguien que ahora esté empezando su carrera profesional sea que este es uno de los pocos sectores que aún siguen creciendo y generando trabajo a buen ritmo. Y esto por si sólo y con la que está cayendo ya es una razón de peso.

Por otro lado, se puede conseguir un nivel salarial aceptable a los pocos años de experiencia. Para ilustrarlo, voy a indicar a continuación una tabla para reflejar salario bruto anual vs años de experiencia. Cójase con pinzas, ya que puede variar tremendamente en función de la ciudad, el empleador, la valía, la capacidad de negociación y la suerte de cada cual. Además, no hay que perder de vista que los sueldos en general y por desgracia están en un proceso de retroceso:
  • de 0 a 2 años de experiencia; 18.000€ a 24.000€
  • 2 a 3 años de experiencia; 24.000€ a 30.000€
  • 4 a 5 años de experiencia; 30.000€ a 40.000€
  • + 5 años de experiencia; 36.000€ a 44.000€ (o incluso más si te contrata una empresa extranjera...)

Pero además, como hemos visto en la sección anterior, es una profesión que te permite adquirir conocimientos multidisciplinares, colaborar con grandes empresas y vivir en carnes propias el vertiginoso avance de las tecnologías relacionadas con la seguridad.


El Perfil del buen Consultor de Seguridad de la Información

La característica principal de un buen consultor ha de ser (en mi opinión) su capacidad para entender una determinada problemática, analizarla y obtener conclusiones óptimas para solucionarla, siendo capaz de exponerlas y defenderlas de una manera inteligible, coherente y justificada.

Por ello, el consultor de seguridad debe disponer de, al menos, las siguientes aptitudes y habilidades:
  • Escucha activa.
  • Capacidad de análisis.
  • Empatía.
  • Capacidad de síntesis.
  • Excelente expresión escrita.
  • Capacidad para negociar con los clientes.
  • Capacidad para realizar presentaciones eficaces.
  • Buen gestor del tiempo.
  • Capacidad e interés en la auto-formación continua.

Se puede llegar a la consultoría de seguridad desde estudios tecnológicos (Informática, Telecos...) o incluso desde otros tipos de estudios (conozco a consultores con formación en Derecho, Económicas, etc.) aunque siempre contando un buen complemento de formación y experiencia tecnológicos.

Por otro lado, en cuanto a las principales certificaciones profesionales que pueden ser de utilidad en esta profesión son las siguientes:
  • Lead Auditor en ISO27001 (Imprescindible).
  • Certificaciones de ISACA como CISA o CISM.
  • Certificación CISSP.
  • Lead Auditor en ISO22301.
  • Certificaciones técnicas de seguridad de SANS.
  • Certificaciones en privacidad de datos.