La gran mayoría de técnicos de soporte y operación en TI y muchos responsables de estas infraestructuras, perciben la seguridad de la información como una cuestión de afinar permisos y cifrado de los archivos. Sólo consideran la seguridad de la información en las dimensiones de integridad y confidencialidad. La disponibilidad queda más del lado de no recibir incidencias inoportunas, que les saquen los colores usuarios que quieren estar siempre conectados, en cualquier momento y desde cualquier sitio.
Y los mecanismos de seguridad para controlar la integridad y confidencialidad de la información son sumamente importantes, más si se tiene en cuenta que uno de los activos principales de una organización, cuando no el principal, es precisamente su información. La definición y aplicación de controles resulta crucial para mantener los datos fuera de peligro. Pero esta seguridad no consiste únicamente en definir quién puede acceder a los datos y qué pueden hacer con ellos, aplicando cifrado para prevenir las posibles brechas del control de acceso establecido. Hay que tener visibilidad sobre ese control y comprobar si realmente están cumpliendo la función para la que se definieron. En otras palabras, hay que auditar el acceso a fichero.
Si, hay que auditar el archivo, si se quiere hacer una gestión eficaz de esta seguridad. Si de lo que se trata es de hacer lo mínimo requerido, pues entonces, sí; entonces basta con pasar un rato, corto o largo, según las ganas y dimensiones del sistema, inventariando los datos que son accesibles, por quien tienen que ser accedidos y que puede hacer estos usuarios en su acceso. Aplicar ese control de acceso, meterles el cifrado que a uno mejor le parezca y ya, si, sólo dedicarse a operar esa seguridad: dar y quitar permisos, resolver las incidencias del cifrado y, luego, para casa, con la sensación del deber cumplido. Incluso, apurando ni eso. Si las cosas se hacen como tienen que hacerse, el inventario de datos y el acceso que se tiene que producir lo define el usuario, Negocio. TI sólo tiene que dedicarse a la cuestión técnica, aplicar lo demandado por Negocio.
Ahora bien, a poco que al responsable de TI, operador o técnico de soporte tenga un mínimo de profesionalidad, querrá saber si esos mecanismos están funcionando. Si realmente los usuarios que acceden a los archivos son los que tienen que acceder y sólo pueden hacer con ellos lo que deben hacer. Si tienen este prurito profesional, pueden mitigarlo de manera pasiva: Esperar a que Negocio le presente una incidencia por acceso indebido y subsanarlo; esperar que Negocio le informe de una fuga de datos y lamentarlo. O puede tomar la iniciativa, que no es otra cosa que implementar mecanismos de auditoria de acceso a fichero y actuar según el análisis que le proporcione los datos recopilados por esos mecanismos de registro. ¿Cómo saber si una carpeta tiene los permisos efectivos adecuados? ¿Cómo estar seguro que la herencia no está desvirtuando el control establecido? ¿Cómo saber si los permisos por grupos son eficaces?
Pero la monitorización del sistema de archivo tiene más aplicaciones que la estrictamente relacionadas con la seguridad, en cuanto a integridad y confidencialidad. También, porque no, tiene que ver con la disponibilidad. Conocer quienes acceden, cuando y desde donde, permite contar con una información “privilegiada” para planificar la asignación de los recursos disponibles, anticipar necesidades y establecer procedimientos más adecuados a la realidad de la organización. Una auditoría de archivo puede aportar tendencias del acceso de usuario que obliguen a replantear la ubicación de archivos. Un informe sobre la creación/eliminación de archivos puede condicionar que se acelere o aplace la compra de discos y permite decidir mejor de su tamaño y tecnología. Y con estos datos conocidos, es posible que también sea más fácil determinar qué información necesita contar con alta disponibilidad, que archivos se necesitan respaldar, cuándo y cómo. Y un largo etcétera de posibilidades de gestión más allá de las funciones estrictamente policiales.
Y con la auditoria se está más a salvo de los incidentes. Pero de producirse alguno, como puede ser un acceso no autorizado, una filtración no autorizada, un robo o fuga de información, con los datos registrados es posible reunir las evidencias forenses necesarias para realizar una investigación con la que determinar quién, cómo y cuándo se ha producido el incidente. Para corregirlo y que no se vuelva a producir, para perseguir a quien lo ha perpetrado.
Como se ve, los beneficios de la auditoria de archivo son muchos y evidentes, por lo que cada vez es más frecuente que las buenas prácticas en la gestión y operación de servicios IT recomienden su implementación y, lo más importante, su tratamiento. Porque auditar sin analizar, sencillamente, no sirve para nada. De hecho, los principales estándares y normativas recogen la obligatoriedad de contar con mecanismos de registro y análisis, para acreditar y dar conformidad a la operación de las organizaciones según sus parámetros de funcionamiento, las famosas y asépticas ISO, o las más específicas como las relacionadas con el Pago con Medios Electrónicos (PCI).
Dejar un comentario
¿Quieres unirte a la conversación?¡Siéntete libre de contribuir!