Compartir información sensible acerca de la seguridad de las infraestructuras críticas
Empresas, gobiernos, policía, SOCs (Centros de Operaciones de Seguridad) y CERTs (Equipos de Respuesta a Emergencias Informáticas) necesitan compartir información confidencial sobre las amenazas, vulnerabilidades y / o, sobre incidentes, por ejemplo, cuando están colaborando en la investigación y resolución de graves ataques cibernéticos, a menudo a escala internacional. Tal información es muy sensible y puede que sea necesario restringirla a ciertos individuos dentro de las organizaciones receptoras.
En 2009, ENISA (European Network and Information Security Agency) publicó su Guía de Buenas Prácticas (GPG) sobre Intercambio de Información http://www.enisa.europa.eu/activities/Resilience-and-CIIP/public-private-partnership/information-sharing-exchange/good-practice-guide/at_download/fullReport Su objetivo era ayudar a los estados de la UE y otras partes interesadas en la creación y gestión de una red de Intercambio de Información sobre Seguridad. Para afrontar el problema de la distribución segura de información, en el Apéndice C de esta guía, ENISA propone el “Protocolo del Semáforo”. Se trata de una etiqueta que se estampa en el documento y codifica, por el color, cuatro niveles o grupos de distribución. Los destinatarios se comprometen a no compartir la información más allá de lo establecido en la etiqueta, y el propietario debe “hacer un acto de fe”.
Sin embargo, en la guía no se menciona ningún mecanismo de protección para la información intercambiada, como el cifrado, y ni mucho menos un IRM (Information Rights Management). Quizá por eso, desde entonces, las organizaciones mencionadas más arriba no se han intercambiado ni “cromos”.
Tuvieron que pasar cuatro años, hasta Abril de 2012, para que la ISO (International Standard Organization) produjera la norma ISO/IEC 27010:2012, titulada “Gestión de seguridad de la información en comunicaciones inter-sectoriales e inter-organizacionales”. La nueva norma viene a completar el código de buenas prácticas ISO/IEC 27002:2005, mundialmente reconocido, para orientar sobre controles en el intercambio de información de forma segura. Esta ampliación de la norma resultaba acuciante para la coordinación de multitud de grupos que defienden las infraestructuras críticas como las empresas de distribución eléctrica, los transportes y las telecomunicaciones.
Ahora sí, los expertos han plasmado en esta norma lo que ENISA omitió en su guía: que la manera más confiable de compartir tal información, es mediante un IRM. Por lo tanto, las empresas que se certifiquen según la norma ISO/IEC 27001:2005, deberán demostrar que protegen adecuadamente la información que comparten con el exterior, aplicando tecnologías que limitan la distribución en destino, como lo hacen los IRM.
Y es que, utilizando un IRM, empresas competidoras y gobiernos desconfiados, no se ven obligados a hacer “actos de fe” cuando comparten información altamente sensible sobre las amenazas cibernéticas sobre las infraestructuras críticas de un país.