Reflexiones de la CMDB desde la seguridad
La aparición de la Base de Datos de la Configuración CMDB en el escenario de las TI mejora y amplía la gestión de la configuración TI, pero también aumenta su superficie de impacto. Vamos a ver algunas reflexiones desde el punto de vista de la seguridad.
Partiendo de la CMDB es la base de datos donde se concentran los aspectos relevantes de todos los elementos relacionados con la configuración de los sistemas de información de una compañía y donde se detalla de manera pormenorizada la relación existente entre todos ellos, incluyendo los equipos físicos, el software y las relaciones entre incidencias, cambios así como otros datos relacionados con el servicio de tecnología de la información es fácil concluir que esta base de datos será susceptible de incorporar datos protegidos por la propiedad intelectual, por la normativa sobre Privacidad e incluso por datos que a juicio de la compañía pudieran ser calificados como confidenciales o secretos. Por tanto, la preocupación sobre la seguridad aplicada a la CMDB debe ser doble, en primer lugar debemos observar que las configuraciones que se detallan en ella son seguras y eficaces así como los procesos que inscribimos en la CMDB se ajustan a los requerimientos regulatorios.
Accesos autorizados
En segundo lugar y ya de manera global con lo que respecta al conjunto de la gestión de la CMDB en cuanto a los accesos de los usuarios para consultas y en cuanto a las relaciones que se producen entre los distintos actores que participan de ella debe comprobarse que cualquier acceso se lleva a cabo de manera autorizado y conveniente, y esto debe revisarse de manera periódica.
Es evidente que la CMDB es de gran utilidad a todo el conjunto de la organización porque permite crear un repositorio de información veraz del cual obtener información en tiempo real, pero esto mismo lo convierte en un objetivo tremendamente apetecible desde el punto de vista del malware porque en una sola ubicación hemos concentrado toda la información de nuestra organización pudiendo servir de ‘mapa’ de nuestras instalaciones. Un ataque certero a nuestra CMDB podría ofrecer la información necesaria para acceder sin restricciones al conjunto de nuestros sistemas de información.
¿Y si la pierdo, se borra o corrompe?
No deberemos de olvidar establecer una política estricta en el respaldo de la información de la CMDB la inversión en su creación y mantenimiento es grande pero por supuesto cuando una CMDB adquiere valor es conforme crece con la organización y se interrelaciona con los distintos departamentos, servicios y sistemas, una pérdida de esta información o parte de ella puede ocasionar importantes pérdidas no solo económicas sino de credibilidad por parte de los miembros del equipo y personal involucrado en el proyecto.
¿Y después qué?
Con una CMDB correctamente poblada y suficientemente madura podremos seguir mucho más allá, incluso “modelizar” el negocio e identificar el grado de dependencia de los activos TI con el negocio y saber su impacto pudiendo llegar a cuantificar el impacto económico para la empresa de por ejemplo una caída de un enrutador, esto nos llevará a traducir lenguaje TI a lenguaje de negocio cosa que tanto le gusta a la alta dirección, y de ahí hacer, por fin, análisis de riesgos. Una apasionante aventura TI que si se lleva a cabo con sentido común siempre tendrá un final feliz.
Javier Peris, director de Comunicaciones del Comité Valencia itSMF España, Capítulo ISACA Valencia.
Partiendo de la CMDB es la base de datos donde se concentran los aspectos relevantes de todos los elementos relacionados con la configuración de los sistemas de información de una compañía y donde se detalla de manera pormenorizada la relación existente entre todos ellos, incluyendo los equipos físicos, el software y las relaciones entre incidencias, cambios así como otros datos relacionados con el servicio de tecnología de la información es fácil concluir que esta base de datos será susceptible de incorporar datos protegidos por la propiedad intelectual, por la normativa sobre Privacidad e incluso por datos que a juicio de la compañía pudieran ser calificados como confidenciales o secretos. Por tanto, la preocupación sobre la seguridad aplicada a la CMDB debe ser doble, en primer lugar debemos observar que las configuraciones que se detallan en ella son seguras y eficaces así como los procesos que inscribimos en la CMDB se ajustan a los requerimientos regulatorios.
Accesos autorizados
En segundo lugar y ya de manera global con lo que respecta al conjunto de la gestión de la CMDB en cuanto a los accesos de los usuarios para consultas y en cuanto a las relaciones que se producen entre los distintos actores que participan de ella debe comprobarse que cualquier acceso se lleva a cabo de manera autorizado y conveniente, y esto debe revisarse de manera periódica.
Es evidente que la CMDB es de gran utilidad a todo el conjunto de la organización porque permite crear un repositorio de información veraz del cual obtener información en tiempo real, pero esto mismo lo convierte en un objetivo tremendamente apetecible desde el punto de vista del malware porque en una sola ubicación hemos concentrado toda la información de nuestra organización pudiendo servir de ‘mapa’ de nuestras instalaciones. Un ataque certero a nuestra CMDB podría ofrecer la información necesaria para acceder sin restricciones al conjunto de nuestros sistemas de información.
¿Y si la pierdo, se borra o corrompe?
No deberemos de olvidar establecer una política estricta en el respaldo de la información de la CMDB la inversión en su creación y mantenimiento es grande pero por supuesto cuando una CMDB adquiere valor es conforme crece con la organización y se interrelaciona con los distintos departamentos, servicios y sistemas, una pérdida de esta información o parte de ella puede ocasionar importantes pérdidas no solo económicas sino de credibilidad por parte de los miembros del equipo y personal involucrado en el proyecto.
¿Y después qué?
Con una CMDB correctamente poblada y suficientemente madura podremos seguir mucho más allá, incluso “modelizar” el negocio e identificar el grado de dependencia de los activos TI con el negocio y saber su impacto pudiendo llegar a cuantificar el impacto económico para la empresa de por ejemplo una caída de un enrutador, esto nos llevará a traducir lenguaje TI a lenguaje de negocio cosa que tanto le gusta a la alta dirección, y de ahí hacer, por fin, análisis de riesgos. Una apasionante aventura TI que si se lleva a cabo con sentido común siempre tendrá un final feliz.
Javier Peris, director de Comunicaciones del Comité Valencia itSMF España, Capítulo ISACA Valencia.
