Peticiones de Seguridad

¿Que es una Petición de Seguridad?

Es aquella que directa o indirectamente altera/modifica, añade, o revoca un privilegio para un usuario, sistema, aplicación, red o cualquier otro 'objeto' que aplique a activos críticos de un alcance concreto en una organización. Normalmente estos elementos están incluidos en el Inventario de Activos de la organización (ya sean de información o no), es decir, en una lista con las cosas 'de valor' que una organización posee, entre ellas deberán estar a parte de la "fórmulas magistrales", planes estratégicos, parné en bruto etcétera, pueden estar las personas clave, los sistemas informáticos/telemáticos y la información valiosa.

A mi, como definición de privilegio informático, la definición que más me gusta de todas las descritas aquí es: "A special right given to a person or group" yo añadiría "or computer system". La definición quedaría: "Es un derecho especial que se concede a una persona, grupo o sistema informático".

Lo 'no especial' sería la llamada 'linea base', es decir, en este caso, todo aquello que se le otorga a un usuario, grupo o sistema, simplemente por el hecho de serlo.

Antes de abordar el circuito y los controles a seguir por este tipo de peticiones, debemos hacer una reflexión y hacernos una serie de preguntas iniciales, que nos ayudarán después a aclarar mucho el panorama y los flujos subyacentes.

Estas preguntas de andar por casa que he recopilado ayudan mucho. Incluyen cosas que tendrán que incluir estas peticiones, controles de aprobación y de revisión. Así como almacenamiento de las mismas y criterios de trazabilidad y relación para auditorias:

1. ¿Como se pide? [Sistema de petición]
2. ¿Quien lo pide? [Lista de autorizados]
3. ¿Que se pide? [Clasificación de peticiones de seguridad]
4. ¿Durante cuanto tiempo? [duración del privilegio]
   
5. ¿Quien/Que recibe y procesa la petición? [Descripción del sistema]
   
6. ¿Que Información se requiere para aprobar la petición?
7. ¿Quien la aprueba? [Lista de autorizados]
8. ¿Como la aprueba? [considerar "no-repudio"]
9. ¿Quien implementa lo que se pide?
10. ¿Quien comprueba que se ha realizado?
11. ¿Quien la revisa cada cierto tiempo? [Comprobación de finalización]
12. ¿Donde se almacena, como y durante cuanto tiempo Petición/Aprobación?
13. ¿Como se relacionan petición y aprobación? (muy útil para auditorias)

También, claro está, podrían añadirse algunos 'comos' pero ahí queda para que cada uno lo interprete a su manera. La motivación de estas preguntas es servir para una primera aproximación sobre como se están haciendo las cosas en una organización en lo que a protección de activos de información se refiere. Si muchas quedan sin respuesta o esta es difusa y poco concreta, mal vamos.

Desde una perspectiva formal, la Gestión de Cambios (una petición de seguridad, no deja de ser un cambio dentro del marco de ITIL), deberá seguir el flujo de las buenas prácticas ITIL para la gestión de cambios, es decir:

• Registro
• Aceptación
• Clasificación
• Planificación
• Construcción y Prueba
• Implementación
• Evaluación

Con sus correspondientes relaciones con otros procesos ITIL, claro. Pero el objeto del documento no es hacer una apología de ITIL sino simplemente lanzar estas preguntas, muy útiles para tomar el pulso a nuestras Peticiones de Seguridad.