OPSEC (seguridad de operaciones)
OPSEC (seguridad de operaciones) es un proceso y una estrategia de gestión de riesgos y seguridad que clasifica la información, luego determina lo que se requiere para proteger la información confidencial y evitar que caiga en las manos equivocadas.
OPSEC hace que los gerentes de seguridad y de tecnología de la información (TI) vean sus operaciones y sistemas como lo harían los atacantes potenciales. OPSEC incluye actividades y procesos analíticos, como monitoreo de redes sociales, monitoreo de comportamiento y mejores prácticas de seguridad.
OPSEC se desarrolló como una metodología durante la Guerra de Vietnam, cuando el almirante de la Armada de los EE. UU., Ulysses S. Grant Sharp, comandante en jefe del Comando del Pacífico de EE. UU., estableció el equipo Purple Dragon para averiguar cómo obtenía el enemigo información sobre las operaciones militares antes de que se llevaran a cabo esas operaciones.
Como término militar, OPSEC describió estrategias para evitar que adversarios o enemigos potenciales descubran datos críticos relacionados con las operaciones. Este concepto se ha extendido del ejército a otras partes del gobierno federal, incluido el Departamento de Defensa (DOD), para proteger la seguridad nacional.
Dado que la gestión y la protección de la información se han vuelto importantes para el éxito en el sector privado, las medidas OPSEC ahora son comunes en las operaciones comerciales.
¿Cuáles son los 5 pasos en OPSEC?
Los procesos que componen la seguridad de las operaciones se reducen a estos cinco pasos:
- Identificar la información crítica. El primer paso es determinar qué datos serían particularmente dañinos para la organización si los obtuviera un adversario. Esto incluye propiedad intelectual, información de identificación personal de empleados o clientes, estados financieros, datos de tarjetas de crédito e investigación de productos.
- Analizar amenazas. El siguiente paso es identificar quién es una amenaza para la información crítica de la organización. Puede haber numerosos adversarios que apunten a información diferente, y las empresas deben considerar a cualquier competidor o hacker que pueda apuntar a los datos.
- Analizar vulnerabilidades. En la etapa de análisis de vulnerabilidad, la organización examina las debilidades potenciales entre las salvaguardas implementadas para proteger la información crítica e identifica cuáles la dejan vulnerable. Este paso incluye encontrar cualquier falla potencial en los procesos físicos y electrónicos diseñados para proteger contra las amenazas predeterminadas o áreas donde la falta de capacitación en conciencia de seguridad deja la información abierta al ataque.
- Evaluar los riesgos. El siguiente paso es determinar el nivel de amenaza asociado con cada una de las vulnerabilidades identificadas. Las empresas clasifican los riesgos de acuerdo con factores como las posibilidades de que ocurra un ataque específico y qué tan dañino sería para las operaciones. Cuanto mayor es el riesgo, más urgente es la necesidad de implementar la gestión de riesgos.
- Aplicar las contramedidas adecuadas. El último paso consiste en implementar un plan OPSEC que reducirá los riesgos. El mejor lugar para comenzar es con los riesgos que son la mayor amenaza para las operaciones. Las posibles mejoras de seguridad incluyen la implementación de hardware y capacitación adicionales y el desarrollo de una nueva gobernanza de la información.
Mejores prácticas de seguridad de operaciones
Las organizaciones que desarrollan e implementan un programa de seguridad de operaciones de extremo a extremo querrán seguir estas mejores prácticas:
- Procesos de gestión del cambio. Las empresas deben implementar procesos de gestión de cambios para que los empleados los sigan cuando se realizan ajustes en la red.
- Restricción del acceso al dispositivo. Las organizaciones solo deben permitir que los dispositivos accedan a las redes a las cuales absolutamente deben tener acceso, y deben usar la autenticación de dispositivos de red.
- Implementación del acceso con privilegios mínimos. Las empresas deben asignar a los empleados el nivel mínimo de acceso a redes, datos y recursos que necesitan para realizar con éxito su trabajo. El principio de privilegio mínimo garantiza que los sistemas, aplicaciones, procesos o usuarios tengan solo el acceso mínimo que necesitan para realizar su trabajo o función.
- Implementación del control dual. Las empresas deben asegurarse de que los equipos y las personas responsables del mantenimiento de la red corporativa estén separados de los equipos y las personas responsables de establecer las políticas de seguridad. Este enfoque protege contra conflictos de intereses y otros problemas.
- Implementación de la automatización. Las personas suelen ser los eslabones más débiles cuando se trata de seguridad empresarial. Los seres humanos cometen errores –inadvertidamente o a propósito–, lo que hace que los datos terminen en las manos equivocadas, pasen por alto u olviden detalles importantes, y eludan procesos críticos. La automatización puede eliminar estos errores.
- Elaboración de un plan de recuperación ante desastres. Una parte clave de cualquier defensa de seguridad de la información es planificar en caso de desastre e implementar un plan sólido de respuesta a incidentes. Incluso el programa OPSEC más funcional debe ir acompañado de planes de desastre que identifiquen los riesgos y detallen cómo responderá una empresa a los ciberataques y limitará los daños potenciales.
OPSEC y gestión de riesgos
OPSEC alienta a los gerentes a ver las operaciones y los proyectos desde afuera hacia adentro, es decir, desde la perspectiva de los competidores o enemigos para identificar las debilidades. Si una organización puede extraer fácilmente su propia información mientras actúa como un extraño, es probable que los adversarios externos también puedan hacerlo. Completar evaluaciones de riesgo periódicas es clave para identificar vulnerabilidades.
La gestión de riesgos abarca la capacidad de identificar vulnerabilidades y amenazas antes de que se conviertan en problemas reales. OPSEC obliga a los gerentes a realizar análisis en profundidad de sus operaciones y determinar dónde se pueden violar fácilmente los datos confidenciales. Al observar las operaciones desde la perspectiva de un mal actor, los gerentes pueden detectar vulnerabilidades que podrían haber pasado por alto y pueden implementar los procesos OPSEC correctos para proteger la información confidencial.
Formación OPSEC
El Centro para el Desarrollo de la Excelencia en Seguridad (CDSE) es parte de la Agencia de Seguridad y Contrainteligencia de Defensa del DOD que ofrece capacitación en seguridad para el personal militar y los empleados y contratistas del DOD. El grupo utiliza formatos de aprendizaje electrónico basados en la web para presentar sus programas de formación.
Las áreas cubiertas en la capacitación de CDSE incluyen:
- definir la seguridad de las operaciones;
- identificar información crítica;
- conocer los cinco pasos de OPSEC;
- reconocer las amenazas potenciales y cómo pueden llevar a un adversario a descubrir información sensible; y
- aplicar las contramedidas adecuadas para proteger los datos críticos.
Los usuarios ocasionales de los cursos CDSE los están tomando en el sitio web de Security Awareness Hub, donde los estudiantes no tienen que registrarse. Después del curso, los participantes reciben un certificado de finalización. Sin embargo, CDSE no mantiene registros de quién completa el curso.
La capacitación de CDSE también está disponible a través de su portal de seguridad, capacitación, educación y profesionalización, un portal del sistema de gestión de aprendizaje para todos los cursos de seguridad de la organización. Los estudiantes que toman cursos CDSE usan regularmente el portal, que rastrea la finalización. También proporciona una transcripción que luego se puede utilizar para solicitar créditos del Consejo Estadounidense de Educación y de educación continua.
Las estrategias y procesos de OPSEC están interrelacionados con el trabajo de los equipos de SecOps.