Documente Academic
Documente Profesional
Documente Cultură
La informacin y las tecnologas a travs de las que se crea, maneja y transfiere la informacin son fundamentales. Pese a esa importancia de la informacin, la realidad es que no hay un grado de concienciacin suficiente en las organizaciones para reconocer la informacin como un activo fundamental. Ni se crea una necesidad de proteger la seguridad de ese activo hasta que tenemos el problema encima.
Contenido
1.1 INTRODUCCIN ............................................................................................................................................................... 5 1.2 DEFINICIN ..................................................................................................................................................................... 5 1.3 OBJETIVOS ....................................................................................................................................................................... 5 1.4 VISIN GENERAL DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ................................................................... 5 1.4.1 IMPORTANCIA DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ................................................................ 6 1.4.2 RESULTADOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN .................................................................. 7 1.5 GOBIERNO EFECTIVO DE LA SEGURIDAD DE LA INFORMACIN ..................................................................................... 8 1.5.1 METAS Y OBJETIVOS DEL NEGOCIO .......................................................................................................................... 9 1.5.2 ROLES Y RESPONSABILIDADES DE LA ALTA DIRECCIN .......................................................................................... 10 Consejo de Direccin/Alta Direccin ........................................................................................................................... 10 Direccin Ejecutiva ...................................................................................................................................................... 10 Comit Directivo ......................................................................................................................................................... 10 CISO ............................................................................................................................................................................. 10 1.5.3 MATRIZ DE RESULTADOS Y RESPONSABILIDADES .................................................................................................. 11 1.5.4 GOBIERNO, GESTIN DE RIESGOS Y CUMPLIMIENTO ............................................................................................ 11 1.5.5 MODELO DE NEGOCIOS PARA LA SEGURIDAD DE LA INFORMACIN .................................................................... 12 Interconexiones Dinmicas ......................................................................................................................................... 13 1.6 CONCEPTOS DE LA SEGURIDAD DE LA INFORMACIN .................................................................................................. 14 1.6.1 TECNOLOGAS ........................................................................................................................................................ 15 1.7 GERENTE DE SEGURIDAD DE LA INFORMACIN ........................................................................................................... 16 1.7.1 RESPONSABILIDADES.............................................................................................................................................. 16 1.7.2 COMPROMISO DE LA ALTA DIRECCIN .................................................................................................................. 16 Cmo Obtener el Compromiso de la Alta Direccin.................................................................................................... 17 Establecimiento de los Canales de Reporte y Comunicacin ...................................................................................... 18 1.7.3 CONCIENCIACIN SOBRE PRESUPUESTO ............................................................................................................... 19 1.8 ALCANCE Y ESTATUTOS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ....................................................... 19 1.8.1 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) .................................................................. 20 Convergencia............................................................................................................................................................... 20 1.9 MTRICAS DEL GOBIERNO DE LA SEGURIDAD DE LA INFORMACIN ........................................................................... 21 1.9.1 MTRICAS DE SEGURIDAD DE LA INFORMACIN ................................................................................................... 22 1.9.2 1.9.3 MTRICAS DE IMPLEMENTACIN DE GOBIERNO ............................................................................................ 24 ALINEACIN ESTRATGICA .............................................................................................................................. 24
Pgina 1
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 1.9.5 ENTREGA DE VALOR ............................................................................................................................................... 25 1.9.6 GESTIN DE ACTIVOS ............................................................................................................................................. 26 1.9.7 MEDICIN DEL DESEMPEO .................................................................................................................................. 26 1.9.8 INTEGRACIN DEL PROCESO DE ASEGURAMIENTO (CONVERGENCIA) .................................................................. 27 1.10 VISIN GENERAL DE LA SEGURIDAD DE LA INFORMACIN ........................................................................................ 27 1.10.1 UNA PERSPECTIVA ALTERNA DE LA ESTRATEGIA ................................................................................................. 28 1.11 DESARROLLO DE UNA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN ................................................................. 28 1.11.1 DIFICULTADES COMUNES ..................................................................................................................................... 28 1.12 OBJETIVOS DE LA ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN ........................................................................ 29 1.12.1 LA META ............................................................................................................................................................... 30 1.12.2 DEFINICIN DE OBJETIVOS ................................................................................................................................... 31 Interrelaciones de Negocio ......................................................................................................................................... 32 1.12.3 DESARROLLO DEL CASO DE NEGOCIO .................................................................................................................. 32 Evaluacin de Casos de Negocio ................................................................................................................................. 33 Objetivos de Casos de Negocio ................................................................................................................................... 33 1.12.4 EL ESTADO DESEADO............................................................................................................................................ 34 CobiT ........................................................................................................................................................................... 34 Modelo de la Capacidad de Madurez (CMM) ............................................................................................................. 35 Cuadro de Mando (Balanced Scorecard) ..................................................................................................................... 35 Enfoques Sobre la Arquitectura .................................................................................................................................. 36 ISO/IEC 27001 y 27002 ................................................................................................................................................ 36 Otros Enfoques............................................................................................................................................................ 37 1.12.5 OBJETIVOS DE RIESGO .......................................................................................................................................... 37 1.13 DETERMINACIN DEL ESTADO ACTUAL DE LA SEGURIDAD ........................................................................................ 38 1.13.1 RIESGO ACTUAL .................................................................................................................................................... 38 Evaluacin/Anlisis de Impacto al Negocio ................................................................................................................. 38 1.14 ESTRATEGIA DE SEGURIDAD DE LA INFORMACIN .................................................................................................... 39 1.14.1 ELEMENTOS DE UNA ESTRATEGIA........................................................................................................................ 39 Plan de Accin ............................................................................................................................................................. 39 1.14.2 RECURSOS Y LIMITACIONES DE LA ESTRATEGIA-VISIN GENERAL ...................................................................... 40 Recursos ...................................................................................................................................................................... 40 Limitaciones ................................................................................................................................................................ 41 1.15 RECURSOS DE LA ESTRATEGIA..................................................................................................................................... 41 1.15.1 POLTICAS Y ESTNDARES .................................................................................................................................... 41 Polticas ....................................................................................................................................................................... 41 Estndares ................................................................................................................................................................... 41 Procedimientos ........................................................................................................................................................... 42
Pgina 2
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Directrices ................................................................................................................................................................... 42 1.15.2 ARQUITECTURAS DE SEGURIDAD DE LA INFORMACIN ...................................................................................... 42 Marcos Alternativos de Arquitectura Empresarial ...................................................................................................... 43 1.15.3 CONTROLES .......................................................................................................................................................... 44 Controles de TI ............................................................................................................................................................ 44 Controles que no Estn Relacionados con TI............................................................................................................... 44 Defensas por Niveles ................................................................................................................................................... 44 1.15.4 CONTRAMEDIDAS................................................................................................................................................. 44 1.15.5 TECNOLOGAS ...................................................................................................................................................... 45 1.15.6 PERSONAL ............................................................................................................................................................ 45 1.15.7 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 46 Enfoques Centralizados y Descentralizados para Coordinar la Seguridad de la Informacin ..................................... 46 1.15.8 ROLES Y RESPONSABILIDADES DE LOS EMPLEADOS ............................................................................................ 47 1.15.9 HABILIDADES ........................................................................................................................................................ 47 1.15.10 CONCIENCIACIN Y FORMACIN ....................................................................................................................... 47 1.15.11 AUDITORAS ....................................................................................................................................................... 48 1.15.12 EXIGENCIA DE CUMPLIMIENTO .......................................................................................................................... 49 1.15.13 ANLISIS DE AMENAZAS .................................................................................................................................... 49 1.15.14 ANLISIS DE VULNERABILIDAD........................................................................................................................... 49 1.15.15 EVALUACIN DE RIESGOS .................................................................................................................................. 49 1.15.16 CONTRATACIN DE SEGUROS ............................................................................................................................ 50 1.15.17 EVALUACIN DE IMPACTO AL NEGOCIO ............................................................................................................ 50 1.15.18 ANLISIS DE LA DEPENDENCIA DE RECURSOS .................................................................................................... 50 1.15.19 PROVEEDORES EXTERNOS DE SEGURIDAD......................................................................................................... 50 1.15.20 OTROS PROVEEDORES DE SOPORTE Y ASEGURAMIENTO ORGANIZACIONAL ................................................... 51 1.16 RESTRICCIONES DE LA ESTRATEGIA............................................................................................................................. 51 1.16.1 REQUERIMIENTOS LEGALES Y REGULAT0RI0S...................................................................................................... 51 Requerimientos Sobre el Contenido y la Retencin de Registros de Negocio ............................................................ 51 1.16.2 FACTORES FSICOS ................................................................................................................................................ 52 1.16.3 TICA .................................................................................................................................................................... 52 1.16.4 CULTURA .............................................................................................................................................................. 52 1.16.5 ESTRUCTURA ORGANIZACIONAL .......................................................................................................................... 52 1.16.6 COSTOS ................................................................................................................................................................ 52 1.16.7 PERSONAL ............................................................................................................................................................ 53 1.16.8 RECURSOS ............................................................................................................................................................ 53 1.16.9 CAPACIDADES ....................................................................................................................................................... 53 1.16.10 TIEMPO .............................................................................................................................................................. 53
Pgina 3
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 1.16.11 TOLERANCIA AL RIESGO ..................................................................................................................................... 53 1.17 PLAN DE ACCIN PARA LA ESTRATEGIA ...................................................................................................................... 54 1.17.1 ANLISIS DE BRECHAS-BASE PARA UN PLAN DE ACCIN ..................................................................................... 54 1.17.2 ELABORACIN DE POLTICAS ............................................................................................................................... 54 1.17.3 ELABORACIN DE ESTNDARES ........................................................................................................................... 56 1.17.4 CAPACITACIN Y CONCIENCIACIN ..................................................................................................................... 56 1.17.5 MTRICAS DEL PLAN DE ACCIN .......................................................................................................................... 56 INDICADORES CLAVE DE METAS ................................................................................................................................. 57 FACTORES CRTICOS DE XITO .................................................................................................................................... 57 INDICADORES CLAVE DE DESEMPEO ........................................................................................................................ 57 Consideraciones Generales de Mtricas ..................................................................................................................... 57 1.18 IMPLEMENTACIN DEL GOBIERNO DE LA SEGURIDAD-EJEMPLO ............................................................................... 59 1.18.1 MUESTRAS ADICIONALES DE POLTICAS .............................................................................................................. 61 1.19 METAS INMEDIATAS DEL PLAN DE ACCIN ................................................................................................................ 63 1.20 OBJETIVOS DEL PROGRAMA DE SEGURIDAD DE LA INFORMACIN ........................................................................... 64 1.21 ESTUDIO DE CASOS DE EJEMPLO ................................................................................................................................ 64 1.22 RECURSOS SUGERIDOS PARA AMPLIAR CONCEPTOS .................................................................................................. 66
Pgina 4
1.1 INTRODUCCIN
Esta unidad revisa el conjunto de conocimientos y tareas asociadas necesarias para desarrollar una estructura de gobierno de seguridad de la informacin alineada con los objetivos de la organizacin.
1.2 DEFINICIN
Se define gobierno como "el conjunto de responsabilidades y prcticas, ejercidas por el consejo de direccin y la direccin ejecutiva, con la finalidad de brindar una direccin estratgica, garantizar que se logren los objetivos, determinar que los riesgos se administran de forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad."
1.3 OBJETIVOS
El objetivo de esta rea de prctica de trabajo es garantizar que el gerente de seguridad de la informacin comprenda los amplios requerimientos para un gobierno efectivo de seguridad de la informacin, as como los elementos y las acciones que se requieren para desarrollar una estrategia de seguridad de la informacin y un plan de accin para implementarla. Una extensin de la definicin de gobierno incluye "la estructura a travs de la cual se establecen los objetivos de la empresa, y se determinan los medios para alcanzar dichos objetivos y monitorear el desempeo.". La estructura y los medios incluyen estrategia; polticas y sus respectivos estndares, procedimientos y directrices; planes estratgicos y operativos; concienciacin y capacitacin; gestin de riesgos; controles; auditoras, y otras actividades de aseguramiento.
Pgina 5
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin criticidad de la seguridad de la informacin y su gobierno exigen que sea tratada y apoyada por los niveles ms altos de la organizacin. De manera progresiva, aquellos que comprenden el alcance y la profundad de los riesgos a los que est expuesta la informacin estn tomando la postura de que, al ser un recurso crtico, la informacin debe tratarse con el mismo cuidado, precaucin y prudencia que recibira cualquier otro activo esencial para la supervivencia de la organizacin y, tal vez, de la sociedad misma. Hasta hace poco, la proteccin se haba enfocado a los sistemas de TI que procesan y almacenan la vasta mayora de la informacin en vez de la informacin per se. Sin embargo, este enfoque es demasiado limitado para cumplir con el nivel de integracin, aseguramiento del proceso y seguridad general que hoy en da se requiere. La seguridad de la informacin adopta una perspectiva ms amplia, segn la cual el contenido, la informacin y el conocimiento en el que se basa tienen que contar con una proteccin adecuada, sin importar cmo se maneja, procesa, transporta o almacena. La seguridad de TI trata la seguridad de la tecnologa y, por lo general, se maneja desde el nivel del director de informacin (CIO). La seguridad de la informacin abarca la totalidad de riesgos, beneficios y procesos que estn relacionados con la informacin y debe ser impulsada por la direccin ejecutiva y respaldada por el consejo de direccin. El avance incesante de la tecnologa de informacin y la incomparable capacidad para acceder, manipular y utilizar la informacin han aportado enormes beneficios y oportunidades a la economa global. Asimismo, ha trado nuevos riesgos sin precedentes y un desconcertante mosaico de leyes y regulaciones tanto vigentes como en espera de aprobacin. La direccin ejecutiva se enfrenta cada vez ms a la necesidad de seguir siendo competitiva en la economa global y presta atencin a la promesa de obtener ganancias indefinidamente si se utilizan an ms recursos de informacin. Sin embargo, incluso a medida que esas organizaciones cosechan tales ganancias, los espectros que siempre van de la mano, por un lado la creciente dependencia de la informacin y los sistemas que la soportan y por el otro, los constantes riesgos que se derivan de una gran variedad de amenazas, obligan a la gerencia a tomar decisiones difciles sobre cmo tratar la seguridad de la informacin con efectividad. Adems, un gran nmero de leyes y regulaciones nuevas y vigentes exigen cada vez ms el cumplimiento y mayores niveles de responsabilidad. El gobierno de la seguridad de la informacin es responsabilidad tanto del consejo de direccin como de la direccin ejecutiva. Debe ser una parte integral y transparente del gobierno de la empresa. Consta del liderazgo, las estructuras organizacionales y los procesos que salvaguardan la informacin.
Pgina 6
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Tratar la creciente posibilidad de que la organizacin y su alta direccin se enfrenten de manera habitual a la responsabilidad civil o legal como resultado de imprecisiones en la informacin o la ausencia del debido cuidado para protegerla. Brindar confianza en el cumplimiento de las polticas. Aumentar la previsibilidad y reducir la incertidumbre en las operaciones de negocio al reducir los riesgos a niveles definibles y aceptables. Proveer la estructura y el marco para optimizar las asignaciones de los limitados recursos de seguridad. Proveer un nivel de certeza de que las decisiones crticas no se basan en informacin defectuosa. Proporcionar un fundamento slido para tener una gestin de riesgos y una mejora de procesos eficientes y eficaces, as como una respuesta rpida a incidentes. Brindar una mayor confianza en las interacciones con socios comerciales. Mejorar la confianza en las relaciones con los clientes. Proteger la reputacin de la organizacin. Permitir nuevas y mejores formas de procesar las transacciones electrnicas. Establecer la responsabilidad para proteger la informacin durante actividades crticas de negocio, tales como fusiones y adquisiciones, recuperacin del proceso de negocio y respuestas regulatorias.
Por ltimo, dado que la nueva tecnologa de informacin brinda la posibilidad de una mejora radical en el desempeo del negocio, una seguridad efectiva de la informacin puede aadir un valor significativo a la organizacin al reducir las prdidas derivadas de incidentes que estn relacionados con la seguridad y brindar la confianza de que tales incidentes y las violaciones a la seguridad no son catastrficos. Adems, algunas pruebas demuestran que una mejor percepcin en el mercado resulta en un mayor valor por accin.
DEL
GOBIERNO
DE
LA
SEGURIDAD
DE
LA
El gobierno de la seguridad de la informacin incluye los elementos que se requieren para brindar a la alta direccin la certeza de que su direccin y empeo se reflejan en la postura de seguridad de la organizacin al utilizar un enfoque estructurado para implementar un programa de seguridad. Una vez que se cuenta con dichos elementos, la alta direccin puede tener la confianza de que una seguridad de la informacin adecuada y efectiva proteger los activos de informacin de la organizacin que son fundamentales. El objetivo de la seguridad de la informacin es desarrollar, implementar y gestionar un programa de seguridad que alcance los siguientes seis resultados bsicos de un gobierno efectivo de seguridad: 1) Alineacin estratgicaAlinear la seguridad de la informacin con la estrategia de negocio para apoyar los objetivos organizacionales, tales como: Requerimientos de seguridad dirigidos por requerimientos de una empresa ampliamente desarrollados para dar una orientacin sobre lo que debe hacerse y una medida sobre cuando se ha alcanzado. Ajuste de las soluciones de seguridad a los procesos de la empresa que toman en cuenta la cultura, el estilo de gobierno, la tecnologa y la estructura de la organizacin. Inversin en seguridad de la informacin que sea congruente con la estrategia de la empresa y un perfil bien definido de amenaza, vulnerabilidad y riesgo. Gestin de riesgosEjecutar medidas apropiadas para mitigar los riesgos y reducir el posible impacto que tendran en los recursos de informacin a un nivel aceptable, tales como: Entendimiento colectivo del perfil de amenaza, vulnerabilidad y riesgo de la organizacin. Entendimiento de la exposicin al riesgo y las posibles consecuencias de la inestabilidad. Conciencia de las prioridades de la gestin de riesgos con base en las posibles consecuencias. Suficiente mitigacin de riesgos para obtener consecuencias aceptables del riesgo residual. Aceptacin/transferencia del riesgo a partir de un entendimiento de las posibles consecuencias del riesgo residual.
2)
Pgina 7
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 3) Entrega de valorOptimizar las inversiones en la seguridad en apoyo a los objetivos del negocio, tales como: Un conjunto estndar de prcticas de seguridad, es decir, requerimientos mnimos de seguridad posteriores a prcticas adecuadas y suficientes que sean proporcionales al riesgo y al impacto potencial. Un esfuerzo debidamente priorizado y distribuido en reas de mayor impacto y beneficio para el negocio. Soluciones institucionalizadas y de uso general basadas en estndares. Soluciones completas que abarquen a la organizacin, el proceso y la tecnologa con base en un entendimiento del negocio completo de una organizacin. Una cultura de mejora continua basada en el entendimiento de que la seguridad es un proceso, no un incidente. Gestin de recursosUtilizar el conocimiento y la infraestructura de seguridad de la informacin con eficiencia y efectividad para: Asegurar que los conocimientos sean captados y estn disponibles. Documentar los procesos y las prcticas de seguridad. Desarrollar arquitectura(s) de seguridad para definir y utilizar los recursos de la infraestructura de manera eficiente. Medicin del desempeoMonitorear y reportar procesos de seguridad de la informacin para garantizar que se alcancen los objetivos, entre otros: Un conjunto de medidas definidas, acordadas y significativas debidamente alineadas con los objetivos estratgicos y que proporcionan la informacin necesaria para tomar decisiones efectivas en los niveles estratgicos, gerenciales y operativos Un proceso de medicin que ayude a identificar deficiencias y proporcionar retroalimentacin sobre los avances hechos para resolver los problemas. Aseguramiento independiente proporcionado por evaluaciones y auditorias externas. IntegracinIntegrar todos los factores de aseguramiento relevantes para garantizar que los procesos operan de acuerdo con lo planeado de principio a fin: Determinar todas las funciones organizacionales de aseguramiento. Desarrollar relaciones formales con otras funciones de aseguramiento. Coordinar todas las funciones de aseguramiento para una seguridad ms completa. Verificar que coincidan los roles y las responsabilidades entre las reas de aseguramiento. Emplear un enfoque de sistemas para planificacin, implementacin y gestin de seguridad de la informacin.
4)
5)
6)
Pgina 8
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin todos los gerentes, no establece y refuerza la necesidad del negocio de contar con seguridad efectiva para la empresa, el estado de seguridad deseado de la organizacin no se articular, lograr ni sostendr. Para lograr una capacidad sustentable, las organizaciones deben hacer que la seguridad de la empresa sea responsabilidad de los lderes a un nivel de gobierno, no de otros roles de la organizacin que no tienen autoridad, responsabilidad ni recursos para actuar o exigir el cumplimiento. Adems de proteger los activos de informacin, es preciso contar con un gobierno efectivo de seguridad de la informacin para atender los requerimientos legales y regulatorios, lo cual se est volviendo obligatorio en la aplicacin del debido cuidado. Desde cualquier perspectiva, debe considerarse sencillamente como un buen negocio.
Este marco, a su vez, establece la base para desarrollar un programa rentable de seguridad de la informacin que apoye las metas de negocio de la organizacin. En la unidad 3, Desarrollo de un programa de seguridad de la informacin, se explica cmo implementar un programa de seguridad. El objetivo del programa es un conjunto de actividades que proveen garanta de que a los activos de informacin se les da un nivel de proteccin acorde con su valor o con el riesgo que su inestabilidad representara para la organizacin. Las relaciones entre el gobierno de la empresa, gestin de riesgos, seguridad TI, seguridad de la informacin, controles, arquitectura y los dems componentes de un marco de gobierno se representan en la Figura 1.2 (Ver Presentacin PPT).
Pgina 9
Pgina 10
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Es cada vez ms frecuente ver que las gerencias prudentes estn ascendiendo el puesto de oficial de seguridad de la informacin a un puesto de mando intermedio o ejecutivo, ya que las organizaciones empiezan a darse cuenta de que dependen de la informacin y de las crecientes amenazas a las que est expuesta. Asegurar que el puesto exista, junto con la responsabilidad, la autoridad y los recursos requeridos, demuestra la conciencia y el compromiso que tienen tanto la gerencia como el consejo de direccin de un gobierno de la seguridad de la informacin slido. Las responsabilidades y las facultades de los gerentes de seguridad de la informacin varan mucho entre una organizacin y otra, aun cuando se estn incrementando en todo el mundo. Esto puede deberse a que existe una mayor conciencia sobre la importancia de este funcin motivada por el nmero cada vez mayor de fallos aparatosos en la seguridad y las crecientes prdidas que resultan. Actualmente estas responsabilidades van desde el CISO o el vicepresidente de seguridad, quien reporta al CEO, hasta los administradores de sistemas que tienen una responsabilidad de dedicacin parcial por la gestin de la seguridad, quienes podran reportar al Gerente de TI o al CIO.
Pgina 11
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin GRC de finanzas y auditora Gestin de GRC de TI Gestin de riesgos empresariales.
Tambin se puede subdividir el mercado de GRC de TI en las siguientes capacidades clave (aunque la siguiente lista se relaciona con GRC de TI, una lista similar de capacidades funcionara para otras reas de GRC): Biblioteca de polticas y controles Distribucin y respuesta de polticas Autoevaluacin y medicin de controles (CSA) de TI Repositorio de activos de TI Recopilacin automatizada de control de computadoras general (GCC) Gestin de correcciones y excepciones Reporte Evaluacin avanzada de riesgos de TI y tableros de cumplimiento
Pgina 12
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Aspectos relacionados con el empleo (ubicacin de la oficina, acceso a herramientas y datos, capacitacin y concienciacin, movimiento dentro de la empresa) Trmino de relaciones laborales (razones de la desvinculacin, momento de la salida, roles y responsabilidades, acceso a los sistemas, acceso a otros empleados)
Externamente, los clientes, los proveedores, los medios y las partes interesadas, entre otros, pueden tener una fuerte influencia sobre la empresa y se deben considerar dentro de la postura de seguridad. 3. ProcesosIncluye mecanismos formales e informales (grandes y pequeos, simples y complejos) para realizar las tareas y proporciona un vnculo vital con todas las interconexiones dinmicas. Los procesos identifican, miden, gestionan y controlan el riesgo, la disponibilidad, la integridad y la confidencialidad, adems de asegurar la responsabilidad. Son resultado de la estrategia e implementan la parte operacional del elemento organizacin. Para que sean beneficiosos para la empresa, los procesos deben: Satisfacer los requerimientos del negocio y estar alineados con la poltica Considerar situaciones emergentes y adaptarse a requerimientos cambiantes Estar documentados y ser comunicados de forma adecuada a los recursos humanos apropiados Ser revisados peridicamente, una vez establecidos, para asegurar su eficiencia y eficacia
4. TecnologaConformada por todas las herramientas, aplicaciones y la infraestructura que incrementan la eficiencia de los procesos. Como elemento en evolucin que experimenta cambios frecuentes, tiene sus propios riesgos dinmicos. Dada la tpica dependencia de la tecnologa que exhiben las organizaciones, la tecnologa constituye una parte esencial de la infraestructura de la empresa y un factor crtico para alcanzar su misin. La tecnologa suele ser considerada por el equipo gerencial de la empresa como un instrumento para resolver las amenazas y los riesgos de seguridad. Aunque los controles tcnicos son tiles para mitigar ciertos tipos de riesgos, la tecnologa no se debe ver como una solucin de seguridad de la informacin. Los usuarios y la cultura de la organizacin tienen una gran influencia sobre la tecnologa. Algunas personas an desconfan de la tecnologa; algunas no han aprendido a usarla; y otras sienten que no les permite avanzar a la velocidad que desean. Independientemente de la razn, los gerentes de seguridad de la informacin deben estar conscientes de que muchas personas intentarn burlar los controles tcnicos. Interconexiones Dinmicas Las interconexiones dinmicas enlazan los elementos y ejercen una fuerza multidireccional que empuja y atrae a medida que cambian las situaciones. Las acciones y los comportamientos que tienen lugar en las interconexiones dinmicas pueden romper el equilibrio del modelo o hacer que ste recupere la estabilidad. Las seis interconexiones dinmicas son: 1. Gobierno (governance) Da direccin a la empresa y exige liderazgo estratgico. El gobierno establece los lmites dentro de los cuales opera una empresa, se implementa dentro de los procesos para monitorear el rendimiento, describe las actividades y vela por el cumplimiento de los controles y regulaciones, al tiempo que proporciona adaptabilidad a condiciones emergentes. El gobierno se encarga de asegurar que se determinen y definan los objetivos, de garantizar que los riesgos se gestionen adecuadamente y de verificar que los recursos de la empresa se utilicen con responsabilidad. 2. Cultura Un patrn de conductas, convicciones, supuestos, actitudes y maneras de hacer las cosas. Es emergente y aprendida, y crea un sentido de comodidad. La cultura evoluciona como un tipo de historia compartida a medida que un grupo avanza a travs de un conjunto de experiencias comunes. Esas experiencias similares causan ciertas respuestas, que se convierten en un conjunto de
Pgina 13
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin comportamientos esperados y compartidos. Estos comportamientos se transforman en reglas no escritas, que a su vez se convierten en estndares que son compartidos por todas las personas que tienen esa historia comn. Es importante entender la cultura de la empresa porque sta determina en gran medida cul informacin se considera, cmo se interpreta esa informacin y qu se har con ella. La cultura puede existir en muchos niveles, tales como el nacional (legislacin/regulaciones, poltica y tradiciones), el organizacional (polticas, estilo jerrquico y expectativas) y el social (familia, etiqueta). Se crea con factores externos e internos, y recibe influencia de, e influye en, los patrones organizacionales. 3. Habilitacin y soporte Interconexin dinmica que conecta el elemento tecnologa al elemento proceso. Una manera de ayudar a asegurar que las personas cumplan con las medidas, polticas y procedimientos tcnicos de seguridad es hacer que los procesos sean prcticos y fciles de usar. La transparencia puede ayudar a generar aceptacin con respecto a los controles de seguridad al asegurar a los usuarios que la seguridad no limitar su capacidad para trabajar eficientemente. Muchas de las acciones que afectan tanto a la tecnologa como a los procesos ocurren en la interconexin dinmica de habilitacin y soporte. Las polticas, los estndares y las directrices deben estar diseados para soportar las necesidades del negocio al reducir o eliminar los conflictos de inters, deben mantenerse flexibles para apoyar los cambiantes objetivos del negocio y deben ser aceptables y fciles de seguir. 4. Surgimiento Connota afloramiento, desarrollo, crecimiento y evolucin, y se refiere a los patrones que surgen en la vida de la empresa que parecen no tener una causa obvia y cuyos resultados parecen imposibles de predecir y controlar. La interconexin dinmica surgimiento (entre personas y procesos) es un espacio para introducir posible soluciones, como por ejemplo bucles de retroalimentacin; alineacin con el mejoramiento de los procesos; y consideracin de los problemas emergentes en el ciclo de vida del diseo del sistema, el control de cambios y la gestin de riesgos. 5. Factores humanosRepresenta la interaccin y la brecha entre la tecnologa y la gente y, como tal, es primordial para un programa de seguridad de la informacin. Si las personas no entienden cmo utilizar la tecnologa, no aceptan la tecnologa o no siguen las polticas pertinentes, pueden surgir graves problemas de seguridad. Las amenazas internas, como la fuga de datos, el robo de datos y el uso indebido de los datos pueden ocurrir dentro de esta interconexin dinmica. Los factores humanos pueden presentarse debido a la edad, el nivel de experiencia y/o las experiencias culturales. Dado que los factores humanos son crticos para mantener el balance dentro del modelo, es importante que todos los recursos humanos de la empresa reciban capacitacin sobre las habilidades pertinentes. 6. Arquitectura Una encapsulacin completa y formal de las personas, los procesos, las polticas y la tecnologa que conforman las prcticas de seguridad de una empresa. Una arquitectura robusta de informacin del negocio es esencial para entender la necesidad de seguridad y disear la arquitectura de seguridad. Dentro de la interconexin dinmica arquitectura es donde la empresa puede asegurar la defensa en profundidad. El diseo describe cmo se posicionan los controles de seguridad y cmo se relacionan con la arquitectura general de TI. Una arquitectura de seguridad empresarial facilita las capacidades de seguridad entre las lneas de negocios de una manera consistente y con una adecuada relacin costo-efectividad, al tiempo que permite a las empresas ser proactivas con sus decisiones de inversin en seguridad.
Pgina 14
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Entre los principales conceptos de seguridad que el gerente de seguridad de la informacin debe conocer a profundidad para este captulo se encuentran, sin estar limitados , los siguientes: Control de accesoLos procesos, reglas y mecanismos de implementacin que controlan el acceso a sistemas de informacin, recursos y acceso fsico a instalaciones ArquitecturaDiseo de la estructura y las relaciones de sus elementos. Ataques Tipos y naturaleza de inestabilidades en la seguridad. AuditabilidadNivel en el cual se puede hacer seguimiento a transacciones y auditarlas a travs de un sistema AutenticacinActo de verificar la identidad y elegibilidad de un usuario para tener acceso a informacin computarizada AutorizacinAcceso permitido a recursos para realizar acciones aprobadas DisponibilidadCapacidad de tener acceso a y de utilizar la informacin cuando se requiera. Anlisis de dependencia del negocioGrado al cual el negocio depende de un recurso. Anlisis de impacto al negocioEvaluar los resultados y las consecuencias de la inestabilidad. ConfidencialidadLa proteccin de informacin privada o sensible contra divulgacin no autorizada. ControlesCualquier accin o proceso que se utiliza para mitigar el riesgo. ContramedidasCualquier accin o proceso que reduce la vulnerabilidad. CriticidadImportancia que tiene un recurso para el negocio. Clasificacin de datosel proceso de determinar la sensibilidad y criticidad de la informacin. Exposicionesreas que son vulnerables a impacto por parte de una amenaza. Anlisis preferencialDiferencia entre la realidad y el objetivo. GobiernoProporcionar control y direccin a las actividades. IdentificacinVerificacin de una persona o cosa; reconocimiento. ImpactoResultados y consecuencias de que se materialice un riesgo. IntegridadExactitud, integridad y validez de la informacin. Seguridad en capasDefensa en profundidad que contenga la inestabilidad. GestinSupervisar las actividades para garantizar que se alcancen los objetivos. No repudioCerteza de que una parte no podr negar posteriormente los datos originados; se trata de dar pruebas de la integridad y el origen de los datos y de que puedan ser verificadas por un tercero PolticasDeclaracin de alto nivel sobre la intencin y la direccin de la gerencia. Riesgo residualRiesgo que permanece despus de que se han implementado contramedidas y controles. RiesgoProbabilidad de la explotacin de una vulnerabilidad por parte de una amenaza. Mtricas de seguridadDescripciones especficas de cmo se harn las mediciones de una evaluacin cuantitativa y peridica de desempeo de seguridad SensibilidadNivel de impacto que tendra una divulgacin no autorizada. EstndaresEstablecer los lmites permisibles de acciones y procesos para cumplir con la poltica. EstrategiaPasos que se requieren para alcanzar un objetivo. AmenazasCualquier accin o evento que puede ocasionar consecuencias adversas. VulnerabilidadesDeficiencias que pueden ser explotadas por amenazas. Arquitectura empresarialLa lgica organizativa para los procesos de negocio y la infraestructura de TI Dominios de seguridadreas lgicas delimitadas por diferentes niveles de seguridad Modelos de confianzaAsignan los controles y las funciones de seguridad a diferentes niveles de seguridad
1.6.1 TECNOLOGAS
Existe una variedad de tecnologas de seguridad de las cuales es importante que el gerente de seguridad de la informacin tenga un conocimiento conceptual profundo. Algunos de stos incluyen: Cortafuegos (firewalls) Administracin de cuentas de usuarios Deteccin y prevencin de intrusos
Pgina 15
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Antivirus Antispam Infraestructura de clave pblica (PKI) Capa de conector seguro (SSL) Inicio nico de sesin (single sign-on) (SSO) Biometra Encriptacin Cumplimiento de privacidad Acceso remoto Firma digital Intercambio de datos electrnico (EDI-electronic data interchange) transferencia electrnica de fondos (EFT- electronic fonds transfer) Redes Privadas Virtuales (VPNs) Transferencia Electrnica Segura (SET) Forense Tecnologas de monitoreo Gestin de identidad y acceso (IAM) Gestin de informacin y eventos del sistema (SIEM)
Las tecnologas y los procesos son algunos de los recursos utilizados para desarrollar una estrategia de seguridad efectiva. Es esencial una buena comprensin de ambos aspectos para desarrollar una estrategia de seguridad que respaldar los objetivos generales de la organizacin y alcanzar los resultados esperados.
1.7.1 RESPONSABILIDADES
Las estructuras jerrquicas de los departamentos de la seguridad de la informacin son sumamente variables. Alrededor del 26% de los CISO tienen una lnea de dependencia al CIO en tanto que alrededor del 21% le reportan al CEO, tal como se muestra en la Figura 1.5 (Ver presentacin PPT). Aun cuando el nivel de jerarqua para los funcionarios encargados de la seguridad de la informacin contina mejorando, un porcentaje significativo de ellos sigue teniendo una lnea de dependencia al CIO. Aun cuando esto es adecuado en trminos funcionales, cada vez es ms frecuente que se considere una situacin poco ptima. Existen muchas razones para ello. Una es que los requerimientos cada vez ms extensos de seguridad de la informacin superan el mbito del CIO tradicional. Otra razn es el inherente conflicto de intereses. La seguridad es en gran medida una funcin regulatoria, mientras TI es un departamento de operaciones. A menudo la seguridad de la informacin se percibe como una limitacin para las operaciones de TI en sus esfuerzos por garantizar que las operaciones sean seguras. Los CIOs y sus departamentos de TI suelen estar bajo presin para incrementar el desempeo y reducir los costos, y la seguridad con frecuencia es la vctima de estas presiones. Por ltimo, debe considerarse que para que la seguridad de la informacin sea efectiva, la seguridad tiene que estar ms alineada con el negocio que con la tecnologa. La tecnologa es una herramienta para llevar a cabo negocios, no un fin en s misma.
Pgina 16
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin afecte a demasiadas personas y a demasiados procesos de negocio difcilmente ser exitosa si no cuenta con el patrocinio y el compromiso de la alta direccin. Es fundamental que la alta direccin perciba la seguridad como un tema crtico y destine a ella los recursos apropiados. Una vez que el gerente de seguridad de la informacin haya desarrollado la estrategia de seguridad con la colaboracin de unidades clave del negocio, se debe obtener la aprobacin de la estrategia por parte de la alta direccin. En virtud de que esto es tpicamente un tema complicado, el gerente de seguridad de la informacin necesitar primero informar a los altos directivos sobre los aspectos de alto nivel de seguridad de la informacin y presentar una estrategia integral para su revisin. Por lo general se har una presentacin a la alta direccin que describa los diversos aspectos de la estrategia de seguridad a fin de sustentar y explicar la documentacin que present el gerente de seguridad de la informacin. Por desgracia, es cierto que en muchas organizaciones el verdadero valor de los sistemas de informacin no es evidente sino hasta que fracasan. La alta direccin estar en una mejor posicin de apoyar las iniciativas de seguridad si tiene conocimiento de cun crticos son los sistemas de TI para la operacin continua de la empresa. Adems, suele haber una confusin significativa acerca de cules regulaciones aplican a la organizacin. Ser de ayuda proporcionar las generalidades acerca de las regulaciones pertinentes, requerimientos de cumplimiento y posibles sanciones si la organizacin est en incumplimiento. La alta direccin (directores miembros del consejo de direccin o equivalentes) deben tener un alto nivel de compromiso para: Alcanzar altos niveles de gobierno corporativo. Tratar a la seguridad de la informacin como un tema crtico del negocio y crear un ambiente de seguridad positivo. Demostrar a terceros que la organizacin da un tratamiento profesional a la seguridad de la informacin. Aplicar principios fundamentales, tales como asumir responsabilidad total por la seguridad de la informacin, implementar controles que sean proporcionales al riesgo y alcanzar una responsabilidad individual.
La alta direccin debe demostrar su compromiso con la seguridad de la informacin al: Involucrarse directamente en acuerdos de seguridad de la informacin de alto nivel, tales como una poltica de seguridad de la informacin. Brindar un control de alto nivel. Asignar recursos suficientes a la seguridad de la informacin. Definir mtricas y monitoreo de gobierno apropiados Revisar peridicamente la efectividad de la seguridad de la informacin
Cmo Obtener el Compromiso de la Alta Direccin Una presentacin formal es la tcnica de ms amplio uso a la que pueden recurrir los gerentes de seguridad de la informacin para asegurar el compromiso y el patrocinio de la alta direccin ante las polticas, los estndares y la estrategia de la gerencia de seguridad de la informacin. La presentacin formal a la alta direccin se utiliza como un medio para comunicar y sensibilizar sobre los aspectos clave del programa de seguridad en general. El gerente de seguridad de la informacin puede facilitar la aceptacin al aplicar aspectos comunes de un caso de negocio (business case) durante el proceso de aceptacin. A continuacin se mencionan algunos de ellos: Alinear los objetivos de seguridad con los objetivos de negocio para que la alta direccin comprenda y aplique las polticas y los procedimientos de seguridad. Identificar las posibles consecuencias de no alcanzar determinados objetivos relacionados con la seguridad y el cumplimiento regulatorio.
Pgina 17
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Identificar temas del presupuesto de tal forma que la alta direccin pueda cuantificar los costos del programa de seguridad. Utilizar modelos de riesgos/beneficios de proyectos comnmente aceptados, tales como costo total de propiedad (TCO) o retorno sobre la inversin (ROI) para cuantificar los beneficios y los costos del programa de seguridad. Definir las medidas de auditora y monitoreo que se incluirn en el programa de seguridad.
Asimismo, cabe hacer notar que, aun cuando la alta direccin apoye el programa de seguridad, tambin es fundamental que todos los empleados entiendan y acaten los parmetros de seguridad definidos y establecidos. Sin la aceptacin de los empleados, es poco probable que el programa de seguridad de la informacin tenga xito y alcance sus objetivos. Es muy importante que se vea que la alta direccin practica el gobierno de la seguridad. Por ejemplo, si se implementa un sistema de control de acceso fsico en la organizacin, la alta direccin debe observar las mismas reglas y restricciones de acceso cuando ste se implemente. Establecimiento de los Canales de Reporte y Comunicacin Despus de obtener el compromiso de la alta direccin, se debe establecer un canal apropiado de reporte y comunicacin en la organizacin para asegurar la efectividad y eficiencia de todo el sistema de gobierno de seguridad de la informacin. Es importante entregar reportes formales peridicos al consejo de direccin/direccin ejecutiva para dar a conocer a la alta direccin el estado del gobierno de seguridad de la informacin. Peridicamente, se puede realizar una presentacin personal bien organizada para la alta direccin, y puede incluir propietarios de procesos de negocio como usuarios clave del sistema. La presentacin debe estar bien relacionada con presentaciones anteriores utilizadas para obtener respaldo y compromiso con el programa de seguridad y puede incluir: El estado de la implementacin del sistema basndose en la estrategia aprobada La comparacin de los resultados generales del BIA (antes y despus de la implementacin) Estadsticas de amenazas detectadas y evitadas como un medio para demostrar valor Identificacin de los enlaces de seguridad ms dbiles de la organizacin y las posibles consecuencias de la inestabilidad Anlisis de datos de medicin de rendimiento respaldados con evaluaciones independientes externas o informes de auditora, de ser posible Tratar la alineacin continua para objetivos de negocio crticos, procesos de operacin o ambientes corporativos Requerir la aprobacin de planes renovados, as como de asuntos relacionados con presupuesto
Adems de las presentaciones formales, los canales de comunicacin de rutina tambin son cruciales para el xito del programa de seguridad de la informacin. Existen cuatro grupos que requieren diferentes mtodos de comunicacin que se deben considerar: Alta direccin Asistir a reuniones de estrategia de negocio para tener mejor conocimiento y comprensin de las estrategias y los objetivos de negocio actualizados Reuniones bilaterales peridicas con la alta direccin para entender los objetivos de negocio desde su perspectiva Dueos del proceso de negocio Incorporarse a reuniones de revisin para descubrir los desafos y requerimientos de las operaciones diarias y sus dependencias Iniciar reuniones bilaterales mensuales con diferentes dueos del proceso de negocio para obtener respaldo continuo en la implementacin del gobierno de seguridad de la informacin y tratar temas individuales relacionados con la seguridad Otros grupos de direccin
Pgina 18
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los gerentes de lnea, los supervisores y los jefes de departamento encargados de diferentes funciones relacionadas con la seguridad y la gestin de riesgos, entre ellas el asegurar una adecuada concienciacin sobre los requerimientos de seguridad y el cumplimiento de las polticas, deben ser informados de sus responsabilidades. Empleados Programas de capacitacin y formacin oportunos Programa interno y centralizado de capacitacin para los nuevos empleados Material de formacin organizacional sobre estrategias y polticas actualizadas Personal en capacidad de acceder a notificaciones por intranet o por correo electrnico para que tenga conocimiento de recordatorios peridicos o adaptaciones provisionales Respaldar a la alta gerencia y los dueos del proceso de negocio asignando un coordinador de gobierno de seguridad de la informacin en cada unidad funcional para obtener oportunamente retroalimentacin precisa de las prcticas diarias
Pgina 19
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las organizaciones deben proporcionar concienciacin, capacitacin y formacin en seguridad de la informacin al personal. Las organizaciones deben realizar pruebas y evaluaciones peridicas de la efectividad de las polticas y procedimientos de seguridad de la informacin. Las organizaciones deben desarrollar y ejecutar un plan para tomar acciones correctivas para resolver cualquier deficiencia en la seguridad de la informacin. Las organizaciones deben desarrollar e implementar procedimientos de respuestas a incidentes. Las organizaciones deben establecer planes, procedimientos y pruebas para brindar continuidad a las operaciones. Las organizaciones deben aplicar las mejores prcticas en seguridad, tales como ISO 17799, para medir el desempeo de la seguridad de la informacin.
Pgina 20
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Estos imperativos fundamentalmente alteran el panorama de la seguridad al forzar un cambio en la funcin que desempean los profesionales de la seguridad a lo largo de la cadena de valor del negocio. Por ejemplo, a medida que las discusiones formales sobre riesgos se vuelven ms integradas, multifuncionales y dominantes, aumenta en gran medida la expectativa de que los profesionales de la seguridad tanto fsica como de informacin generen soluciones conjuntas en vez de puntos de vista independientes. El estudio identific un cambio del estado actual en el cual los profesionales de la seguridad se enfocan en su rea, a un nuevo estado en el cual las actividades estn integradas para mejorar el valor del negocio. Este nuevo "negocio de seguridad " requiere que los profesionales de la seguridad vuelvan a examinar las palancas operativas clave que tienen a su disposicin. Aun cuando estas palancas operativas (por ejemplo, roles y responsabilidades, gestin de riesgos, liderazgo) no son nuevas, la oportunidad de utilizarlas en formas innovadoras podra ser prueba de ello. Por ejemplo, los sondeos y las encuestas probaron ser una clara evidencia de que, como lderes en el negocio, los profesionales de la seguridad necesitan ir de un modelo de personas de "comando y control" a un modelo participativo y de apoyo, y desarrollar una visin del riesgo en toda la empresa en lugar de una perspectiva basada en activosen otras palabras, un enfoque ms holstico e integral que vaya ms all de los activos y considere factores como la cultura, la estructura y procesos organizacionales, tales como el enfoque de sistemas discutido en la seccin 1.5.5. Cumplir con la convergencia no se trata nicamente de integracin organizacional, sino de integrar las disciplinas de seguridad con la misin del negocio a fin de generar valor para los accionistas mediante operaciones uniformes y predecibles, al mismo tiempo que se optimiza la asignacin de recursos de seguridad. A medida que surgen nuevas tecnologas y que las amenazas se vuelven cada vez ms complejas e impredecibles, los altos ejecutivos de seguridad reconocen la necesidad de fusionar las reas de seguridad en toda la empresa. Un incidente que ocurri en un importante banco japons con sede en Londres, en el cual intrusos (hackers) intentaron (al menos esa fue la informacin que trascendi) robar 220 millones del banco, enfatiza este principio. Aun cuando el banco tuviera implementadas slidas medidas de seguridad de tecnologas de informacin (TI), hubo un fallo en la seguridad fsica. Oponentes que se hicieron pasar por empleados de limpieza instalaron dispositivos en los teclados de las computadoras que les permitieron obtener informacin valiosa de acceso. Esta situacin resalta y refuerza la necesidad de agrupar, de hecho, hacer que converjan, todos los componentes de la seguridad de una organizacin a travs de un enfoque integrado y deliberado. Para que sea efectivo, este enfoque de convergencia debe llegar a la gente, procesos y tecnologa, y permitir que las empresas eviten, detecten, respondan a cualquier tipo de incidente de seguridad y se recuperen de l. Adems de los costos que enfrentan las compaas para contrarrestar los efectos inmediatos que tiene un incidente, los incidentes relacionados con la seguridad pueden ocasionar daos ms costosos a largo plazo, tales como daos a la reputacin y la marca. Ms all del impacto en la capitalizacin del mercado, en caso de que el problema amenace el bienestar pblico, los rganos reguladores podran intervenir, promulgando requerimientos ms estrictos que rijan las futuras prcticas de negocio.
GOBIERNO
DE
LA
SEGURIDAD
DE
LA
Mtricas es un trmino utilizado para denotar una medida basada en una referencia. El significado ms bsico de seguridad es la proteccin contra cualquier dao o la ausencia de ste. En sentido literal, las mtricas de seguridad suelen indicar el estado o grado de seguridad relativa a un punto de referencia. Podra resultar til aclarar la diferencia entre la gestin de la maquinaria de seguridad de TI tcnica a nivel operacional y la gestin general de un programa de seguridad de la informacin. Las mtricas tcnicas son evidentemente tiles para la gestin operativa puramente tctica de la infraestructura de seguridad tcnica, es decir, servidores, bases de datos, cortafuegos (firewalls), etc. Estas mtricas pueden indicar que la infraestructura se maneja de forma adecuada y que las vulnerabilidades tcnicas se identifican y reciben el tratamiento correspondiente. Sin embargo, estas mtricas son de poco valor desde un punto de vista de gestin o gobierno estratgico. Es decir, no aportan nada sobre la alineacin estratgica con objetivos de la organizacin o sobre qu tanto se gestionan los riesgos; proporcionan pocas medidas de cumplimiento de polticas o de
Pgina 21
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin si los objetivos para niveles aceptables de posible impacto se estn alcanzando; y no ofrecen ninguna informacin con respecto a si el programa de seguridad de la informacin est en la direccin correcta y alcanzando los resultados esperados. Desde una perspectiva de gestin, mientras ha habido mejoras en mtricas tcnicas, estas no son capaces de proporcionar respuestas a preguntas como: Cun segura es la organizacin? Cunta seguridad es suficiente? Cmo sabemos cundo la hemos alcanzado? Cules son las soluciones ms efectivas? Cmo determinamos el grado de riesgo? Con qu exactitud se puede predecir el riesgo? Vamos en la direccin correcta? Qu impacto tiene la falta de seguridad sobre la productividad? Qu impacto tendra una violacin crtica de la seguridad? Qu impacto tendrn las soluciones de seguridad sobre la productividad?
En ltima instancia, la nica forma de intentar proporcionar respuestas significativas a estas preguntas es mediante el desarrollo de medidas relevantes que traten los requerimientos de la gerencia para tomar decisiones apropiadas acerca de la seguridad de la organizacin. Por lo general, las auditoras completas y las evaluaciones de riesgo exhaustivas son las nicas actividades que llevan a cabo las organizaciones que brindan esta perspectiva tan amplia. Aun cuando desde el punto de vista de gestin de la seguridad son importantes y necesarias, estas actividades proporcionan slo una historia o una fotografa, no lo que idealmente se requiere para guiar en la gerencia cotidiana de la seguridad ni proporcionan la informacin necesaria para tomar decisiones prudentes.
Pgina 22
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin determinar si la seguridad est funcionando. La ausencia de incidentes adversos no proporciona informacin sobre el estado de la seguridad. Dicha falta podra significar que las defensas funcionan, o que nadie ha lanzado un ataque, o bien, que hay alguna vulnerabilidad que no se ha identificado. Por supuesto, los ataques simulados con pruebas de penetracin dan alguna medida de la efectividad de las defensas slo contra aquellos ataques especficos que se han lanzado. Sin embargo, a menos de que se haya lanzado un porcentaje de ataques que sea significativo en trminos estadsticos de todos los ataques posibles, no se podra predecir el estado de la seguridad o la capacidad de la organizacin para resistir un ataque. Podra ser que todo aquello que se puede afirmar con certeza sobre la seguridad es que: 1. 2. Algunas organizaciones son objeto de ataques con mayor frecuencia y/o registran mayores prdidas que otras. Existe una fuerte correlacin entre una buena gestin y prcticas de seguridad y un nmero relativamente menor de incidentes y prdidas.
Una buena gestin es casi de manera indiscutible uno de los resultados de un buen gobierno. Medir con precisin la eficacia de un gobierno y gerencia de seguridad de la informacin puede ser an ms difcil que medir la seguridad. En la mayora de los casos, las mtricas se basarn en los atributos, los costos y los posteriores resultados del programa de seguridad. La Figura 1.6 (Ver presentacin PPT) presenta los componentes de un programa de gobierno de la seguridad de la informacin y demuestra que se requiere el rumbo real del gobierno y la capacidad para medir y presentar informes sobre el desempeo. Un concepto sensato indica que una de las caractersticas de un programa de seguridad bien gobernado es que satisface las expectativas y alcanza los objetivos definidos de manera eficiente, efectiva y consistente. Sin embargo, esto resulta de poca ayuda para la mayora de las organizaciones, ya que no est claro cules son las expectativas o los objetivos de seguridad especficos. Dado que el gobierno, en general, y el gobierno de la seguridad, en particular, son difciles de medir mediante un conjunto de mtricas objetivas, existe una tendencia a utilizar mtricas que estn disponibles, a pesar de su probada pertinencia. Un ejemplo tpico que se observa en la mayora de las organizaciones es el uso de los anlisis de vulnerabilidad como una indicacin de la seguridad global. Casi indiscutiblemente, si fuera posible eliminar todas, o casi todas, las vulnerabilidades (lo cual es imposible), se podra evitar la mayora de los riesgos. La falacia radica en la suposicin de que es posible determinar algo sobre el riesgo, amenaza o impacto, midiendo las vulnerabilidades tcnicas. Aunque no existe una escala universal objetiva para la seguridad o el gobierno de la seguridad, es posible disear mtricas eficaces que permitan guiar el desarrollo y la gestin de programas en aquellas organizaciones que hayan desarrollado objetivos de seguridad de la informacin claros. En esencia, las mtricas pueden reducirse a cualquier medida de los resultados del programa de seguridad de la informacin que avance hacia los objetivos definidos. Tambin se debe entender que se requieren diferentes mtricas para proporcionar informacin en los niveles estratgico, tctico y operacional. Las mtricas estratgicas estarn orientadas a resultados y objetivos de alto nivel para el programa de seguridad de la informacin. La base de un firme apoyo de la gerencia de nivel superior es fundamental, es crtica no slo para el xito del programa de seguridad, sino tambin para la implementacin de un programa de mtricas de seguridad. Este apoyo establece un enfoque sobre la seguridad dentro de los niveles ms altos de la organizacin. Si no se tiene una base slida (es decir, un apoyo proactivo de aquellas personas que se encuentran en posiciones que controlan los recursos de TI), la efectividad del programa de mtricas de seguridad puede fallar cuando existan presiones por parte de la poltica o limitaciones en el presupuesto. El segundo componente de un programa efectivo de mtricas de seguridad es contar con polticas y procedimientos de seguridad prcticos que estn respaldados por la autoridad necesaria para exigir su cumplimiento. Tales polticas y
Pgina 23
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin procedimientos se definen como aquellos que se pueden alcanzar y que proporcionan una seguridad significativa mediante controles apropiados. Las mtricas no son fciles de obtener si no se tienen procedimientos implementados. El tercer componente es desarrollar y establecer mtricas de desempeo cuantificables que estn diseadas para capturar y proporcionar datos operacionales significativos. Para proporcionar datos significativos del desempeo, las mtricas de seguridad cuantificables deben basarse en metas y objetivos de desempeo de seguridad de TI, y deben tambin ser fciles de obtener y factibles de medir. Asimismo, deben ser repetibles, proporcionar las tendencias de desempeo correspondientes al paso del tiempo, y ser tiles para monitorear el desempeo y dirigir recursos. Por ltimo, el programa de mtricas de seguridad debe hacer hincapi en un anlisis peridico y consistente de los datos de las mtricas. Los resultados de este anlisis se utilizan para aplicar lecciones aprendidas, mejorar la eficacia de los controles de seguridad existentes y planear controles futuros para cumplir con nuevos requerimientos de seguridad a medida que surgen. La recopilacin de datos precisos de usuarios y partes interesadas debe ser una prioridad en caso de que los datos recopilados vayan a ser importantes para la gerencia y la mejora del programa de seguridad en su conjunto. El xito de la implementacin de un programa de seguridad de la informacin debe de determinarse por el grado al cual se generan resultados significativos. Un programa integral de anlisis de mtricas de seguridad debe proporcionar una justificacin sustancial para las decisiones que repercuten directamente en la postura de seguridad de una organizacin. Estas decisiones incluyen solicitudes de presupuesto y personal, as como asignacin de los recursos disponibles. Un programa de mtricas de seguridad debe brindar una base precisa para la elaboracin de los informes sobre el desempeo de la seguridad que se requieran.
Pgina 24
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Objetivos organizacionales y de seguridad que estn definidos y son claramente entendidos por parte de todos los involucrados en la seguridad y las actividades de aseguramiento relacionadas. Programas de seguridad que se correlacionan con los objetivos organizacionales y la direccin ejecutiva ha validado dicha correlacin. Un comit directivo de seguridad conformado por ejecutivos clave y cuenta con estatutos para garantizar la continua alineacin de las actividades relacionadas con la seguridad y la estrategia de negocio.
La meta predominante de la seguridad de la informacin es reducir el impacto adverso que puede tener en la organizacin a un nivel aceptable. Por tanto, una mtrica clave es el impacto adverso que tienen en la organizacin los incidentes relacionados con la seguridad de la informacin. Un programa efectivo de seguridad mostrar una tendencia en la reduccin del impacto. Las mediciones cuantitativas pueden incluir un anlisis de tendencias de los impactos con el paso del tiempo.
Pgina 25
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los controles que estn bien diseados con base en objetivos de control definidos y se utilizan en su totalidad. El nmero de controles para alcanzar niveles aceptables de riesgo e impacto es adecuado y apropiado. La eficacia de los controles se determina a partir pruebas peridicas. Las polticas establecidas que requieren que todos los controles se reevalen con regularidad para determinar su costo, cumplimiento y efectividad. La utilizacin de controles; los controles que rara vez se usan difcilmente sern rentables. El nmero de controles para alcanzar niveles aceptables de riesgo e impacto; se puede esperar que un nmero menor de controles efectivos sea ms rentable que un nmero mayor de controles menos eficaces. La efectividad de los controles que se haya determinado a partir de las pruebas; es poco probable que los controles marginales sean rentables.
Pgina 26
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin La ausencia de incidentes inesperados relacionados con la seguridad. Conocimientos de las amenazas inminentes. Medios eficaces para determinar las vulnerabilidades de la organizacin. Mtodos para monitorear los riesgos cambiantes. Consistencia en las prcticas de revisin de logs. Resultados de las pruebas de planificacin continua del negocio (BCP-Business continuity planning)/recuperaein en caso de desastre (DR-desaster recovery).
Pgina 27
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin permiten correcciones a medio camino y asegurar que las iniciativas de seguridad sean las adecuadas para alcanzar los objetivos definidos.
Pgina 28
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin OptimismoLa gente tiende a ser optimista en sus pronsticos. Una combinacin de confianza y optimismo excesivos puede tener un impacto desastroso en las estrategias que se basan en los clculos de lo que podra suceder. Por lo general dichas proyecciones son precisas a un grado no realista y demasiado optimistas. AnclajeLa investigacin demuestra que una vez que se presenta un nmero a una persona, un clculo posterior de un sujeto que no guarda ninguna relacin que implique nmeros estar "anclado" al primer nmero. Aun cuando podra resultar til para efectos de mercadotecnia, el anclaje puede tener consecuencias graves en el desarrollo de estrategias cuando resultados futuros se anclan a experiencias pasadas. La tendencia del status quoLa mayora de las personas muestra una fuerte tendencia a apegarse a enfoques familiares y conocidos incluso cuando se haya comprobado que son inadecuados o ineficaces. La investigacin tambin indica que la preocupacin por las prdidas es por lo general mayor que la emocin de una posible ganancia. El "efecto de legado" es una tendencia similar en la cual la gente prefiere conservar lo que es suyo o lo que conocen, y el simple hecho de poseer algo lo hace ms valioso para el dueo. Contabilidad mentalSe define como "la inclinacin a categorizar y tratar al dinero de manera diferente dependiendo de dnde viene, dnde se mantiene y cmo se gasta." La contabilidad mental es comn incluso en salas de juntas de corporaciones conservadoras y racionales. Algunos ejemplos incluyen: Estar menos interesado en los gastos derivados de los cargos por reestructuracin que del estado de resultados. Imponer lmites de costos a un negocio bsico mientras se gasta libremente en un negocio nuevo. Crear nuevas categoras de gastos como "inversiones de los ingresos" o "inversiones estratgicas" El instinto gregarioEs una caracterstica humana fundamental conformar y buscar la validacin de otros. Esto puede observarse por la "mana" en la seguridad (as como todos los dems aspectos de la actividad humana) cuando, por ejemplo, de pronto alguien se involucra en el manejo de claves o la deteccin de intrusos. En ocasiones, explicado en trminos de "una idea cuya hora ha llegado", se describe con mayor precisin como el instinto gregario detrs de los lderes del pensamiento. Las implicaciones que tiene para el desarrollo de la estrategia deben quedar claras. Queda demostrado de manera acertada cuando se dice que "para los altos directivos lo nico peor que cometer un enorme error estratgico es ser la nica persona en la industria que lo comete." Falso consensoExiste una tendencia bien documentada en la gente de sobreestimar el grado al cual los dems comparten sus puntos de vista, creencias y experiencias. Al momento de desarrollar estrategias, el falso consenso puede causar que se ignoren o minimicen amenazas o debilidades importantes de los planes y que persistan con estrategias destinadas al fracaso.
Distintas investigaciones han develado una serie de causas, entre las que se incluyen: Tendencia a la confirmacinBuscar opiniones o hechos que respalden nuestras propias creencias. Recuerdos selectivosRecordar slo hechos o experiencias que refuerzan las suposiciones actuales. Evaluacin subjetivaFcil aceptacin de evidencia que sustenta nuestras hiptesis al mismo tiempo que se cuestiona la evidencia contradictoria y, casi invariablemente, se rechaza. A menudo a los crticos se les ataca con motivos hostiles se pone en tela de juicio su competencia. Pensamiento de grupoLa presin para llegar a un acuerdo en culturas orientadas a formar equipos.
Pgina 29
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Gestin de riesgos empresariales Entrega de valor Gestin de recursos Medicin del desempeo Integracin del aseguramiento del proceso
Ser necesario que la estrategia considere lo que cada una de las reas seleccionadas significa para la organizacin; cmo se podran lograr y qu constituir el xito.
1.12.1 LA META
La primera, y a menudo sorprendentemente difcil, pregunta que debe responder una organizacin que busca desarrollar una estrategia de seguridad de la informacin es: cul es la meta? Aun cuando sta parece ser una pregunta trivial, la mayora de las organizaciones no define de manera especfica los objetivos de la seguridad de la informacin. Esto puede deberse a que parece obvio que la meta de la seguridad de la informacin es proteger los activos de informacin de la organizacin. Sin embargo, dicha respuesta supone el conocimiento de dos factores: el primero es que los activos de informacin se conocen con algn grado de precisin, lo cual no es el caso de la mayora de las organizaciones, y el segundo es que existe un entendimiento asumido de lo que significa "proteger". Cada persona entiende el concepto en general. Lo que resulta mucho ms difcil es establecer qu activos necesitan cunta proteccin y contra qu. En parte, estos problemas existen porque las organizaciones en general tienen poco conocimiento de la informacin que existe dentro de la empresa. Por lo regular no se cuenta con un proceso para eliminar informacin o datos intiles, desactualizados o potencialmente peligrosos o bien, para tal efecto, aplicaciones no utilizadas. Es sumamente raro encontrar un catlogo o ndice de informacin/procesos completo que defina lo que es importante y lo que no lo es, o incluso quin es el dueo de dicho proceso. En consecuencia, todo se protege bajo la premisa de que el almacenamiento es menos costoso que la clasificacin de datos, la cesin de propiedad y la identificacin de usuarios. En el caso de las grandes organizaciones, esto puede equivaler a terabytes de datos intiles y literalmente miles de aplicaciones desactualizadas y no utilizadas que se han acumulado durante dcadas. La situacin dificulta elaborar un plan racional de proteccin de datos, ya que posiblemente no tenga mucho sentido gastar recursos en proteger datos o informacin intil o peligrosa, o bien aplicaciones que ya no se utilizan. En este contexto, los datos peligrosos se refieren a aquella informacin que podra utilizarse para perjudicar a la organizacin, por ejemplo, pruebas perjudiciales obtenidas en litigios que pudieran haberse destruido conforme a una poltica de retencin legal y apropiada. Suponiendo que la informacin relevante existente se encuentra localizada e identificada, entonces se le debe clasificar o catalogar con base en su criticidad y sensibilidad. Un volumen enorme de datos e informacin de una organizacin tpica no ser ni crtico ni confidencial, y sera un desperdicio gastar una cantidad importante de recursos para protegerlos. Para muchas organizaciones, sta puede ser una tarea significativa y se muestran renuentes a asignar los recursos necesarios. Sin embargo, se trata de un paso crucial en el desarrollo de una estrategia prctica y til de seguridad de la informacin y de un programa rentable de seguridad. As como se asignan valores a los recursos fsicos de una organizacin, se deben asignar valores a la informacin para priorizar los esfuerzos de proteccin limitados por el presupuesto y determinar los niveles de proteccin que se requieren. En la mayora de los casos es difcil realizar valuaciones exactas de la informacin. En algunos casos, puede ser el costo de generarla o reemplazarla. En otros, la informacin en forma de conocimiento o secretos comerciales es difcil o imposible de reemplazar y podra ser literalmente invaluable. Sin duda alguna es sensato brindar una excelente proteccin a la informacin invaluable. Un enfoque que se ha utilizado es crear unos cuantos niveles aproximados de valor, por ejemplo, de cero a cinco, donde cero significa que no tiene valor y cinco significa que es crtico. La informacin de valor cero, incluyendo aplicaciones,
Pgina 30
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin podra asignarse cuando no se pueda determinar quin es su dueo y no se ha proporcionado evidencia de que se ha utilizado durante un tiempo. La informacin de valor cero puede entonces archivarse durante un periodo especfico, para lo cual se envan notificaciones a los dueos de negocio y en caso de que no se presente alguna objecin, sta se destruye. Por ende, la proteccin de aquella informacin considerada de nivel cinco (crtica) ser prioritaria. Otro enfoque que podra ser de mayor utilidad y mucho ms fcil de realizar es una evaluacin de la dependencia del negocio que se utiliza como un indicador de valor. Dicha evaluacin comienza mediante la definicin de los procesos crticos de negocio, para despus determinar la informacin que se utilizar y generar. Esta proporcionar una medida del nivel de criticidad de los recursos de informacin que puede utilizarse para orientar las actividades de proteccin. Cualquiera que sea el mtodo que se utilice, el nivel de sensibilidad tambin debe definirse al mismo tiempo a fin de establecer el nivel de clasificacin que se requiere para controlar el acceso a la informacin y limitar su divulgacin. Por lo general, la mayora de las organizaciones utilizar tres o cuatro clasificaciones de sensibilidad, tales como confidencial, de uso interno, y pblica. Para la mayora de las organizaciones, la clasificacin de activos representa una tarea de enormes proporciones pero que debe llevarse a cabo para la informacin con la que se cuente si se desea que el gobierno de la seguridad sea eficiente y relevante. Asimismo, es una tarea cuyos costos crecern de manera exponencial con el paso del tiempo a menos de que se atienda. Al mismo tiempo, deben desarrollarse polticas, estndares y procesos para exigir que la clasificacin avance y evitar que el problema empeore. En resumen, no ser posible desarrollar una estrategia rentable de seguridad de la informacin que est alineada con los requerimientos del negocio si antes no se: determinan los objetivos de seguridad de la informacin; localizan e identifican los recursos y los activos de informacin; valan los activos y recursos de informacin; clasifican los activos de informacin con base en su criticidad y sensibilidad.
Pgina 31
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Es probable que una revisin de los planes de negocio estratgicos de la organizacin revele oportunidades para que las actividades de seguridad de la informacin apoyen ms o permitan una nueva posibilidad de negocio en particular. Por ejemplo, la implementacin de una infraestructura de llave pblica (PKI) puede permitir la realizacin de transacciones de alto valor entre socios comerciales o clientes confiables. Utilizar redes privadas virtuales (VPNs) puede darle a la fuerza de ventas una conectividad remota segura que le permita un mejor desempeo. En otras palabras, la seguridad de la informacin puede facilitar que se lleven a cabo actividades de negocio que de otro modo seran demasiado arriesgadas o, como sucede con mucha frecuencia, se realizan con la esperanza de que nada falle. Interrelaciones de Negocio Otras interrelaciones de negocio pueden comenzar desde la perspectiva de los objetivos especficos de una lnea de negocio particular. La revisin y anlisis de todos los elementos de una determinada lnea de producto pueden ilustrar este enfoque. Considere una organizacin que produce cereal de caja. La materia prima llega a la planta por automotor justo a tiempo. Los granos se vacan en tolvas que alimentan a las diversas maquinarias de procesamiento. El cereal terminado se empaca y se transporta al almacn. Este proceso relativamente sencillo se basa en muchos flujos de informacin que estn sujetos a fallos en la disponibilidad, confidencialidad o integridad. Cualquier avera o interrupcin significativa en el lado de la cadena de abastecimiento, por ejemplo, pedidos, seguimiento o pagos es probable que ocasione una interrupcin en la produccin. Prcticamente todas las actividades de la planta estn asociadas al procesamiento de datos y los flujos de informacin. Casi todo el procesamiento de materiales en la planta est ligado a los flujos de informacin. Para que la seguridad de la informacin sea efectiva tiene que considerar todos los flujos de informacin que son cruciales para garantizar la continuidad de la operacin. Para lograrlo, es necesario tener un buen entendimiento del negocio y de los flujos de informacin crticos de los que depende. El anlisis en el ejemplo anterior podra incluir toda la informacin fragmentada que se maneja y procesa sobre esta operacin de manufactura. Investigar la historia del proceso revelara fallos anteriores que indican deficiencias en el sistema. La mayora de los fallos se debern a errores humanos y sera posible reducirlas ya sea mediante mejores controles o adicionales, o procesos automatizados ms confiables. Entre los errores comunes se incluyen los de ingreso de datos, que podran mejorarse mediante verificacin de rango u otros procesos tcnicos. Pueden ser necesarios cambios de procedimientos o un proceso de validacin de ingreso de datos. El desarrollo y anlisis de vinculaciones del negocio pueden develar asuntos de seguridad de la informacin en el nivel operacional que pueden mejorar visiblemente la percepcin del valor de la seguridad de la informacin realizando procesos de negocios ms slidos. Las vinculaciones de negocio mejoradas pueden ser uno de los resultados positivos de un grupo directivo para la seguridad de la informacin si se incluyen los gerentes de operaciones. Las vinculaciones tambin se pueden establecer mediante reuniones regulares con dueos de negocio para sostener discusiones sobre asuntos relacionados con la seguridad. Esto tambin puede dar origen a la oportunidad de formar a dueos del proceso de negocio sobre posibles ventajas que la seguridad puede ofrecer a su operacin.
Pgina 32
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin exceso de confianza, proyecciones demasiado optimistas y precisin excesiva para lo que probablemente sean resultados un tanto especulativos. (Vase 1.11.1, Dificultades de las Estrategias) Los propsitos principales del proceso formal de un caso de negocio son: Introducir una manera de pensar que conceda a las personas autoridad a fin de recomendar proyectos para considerar su valor, riesgo y prioridad relativa como elemento fundamental del envo de la propuesta de proyecto. Requerir a las personas que proponen un proyecto justificar su valor para la empresa y eliminar todas las propuestas cuyos valores no se puedan demostrar. Permitir a la gerencia determinar si el proyecto propuesto tiene valor para el negocio y se puede lograr en comparacin con los mritos relativos de las propuestas alternativas. Permitir a la gerencia que mida objetivamente el logro subsiguiente de los beneficios del caso de negocio.
A pesar de que existen numerosos formatos posibles para desarrollar un caso de negocio, utilizar las metodologas formales para la gestin de proyectos es probablemente lo ms apropiado. El caso debe incluir las opciones consideradas y las razones para rechazarlas. Las opciones presentadas deben incluir el caso para no iniciar un proyecto particular. El caso de negocio debe incluir algunas de o todas las siguientes opciones: ReferenciaNombre/referencia del proyecto, orgenes/ antecedentes/estado actual ContextoObjetivos/oportunidades de negocio, alineacin estratgica del negocio (prioridad) Proposicin de ValorLos resultados de negocio deseados, el plan de accin para los resultados, los beneficios para el negocio (segn los resultados), el valor cuantificado de los beneficios, los escenarios financieros de costos/ROI, los riesgos/costos de no proceder, los riesgos del proyecto (para el proyecto, los beneficios y el negocio) EnfoqueAlcance de los problemas/soluciones, supuestos/ limitaciones, opciones identificadas/evaluadas, tamao, escala y evaluacin de la complejidad ProductosResultados, productos y beneficios planificados; las reas impactadas de la organizacin (interna y externamente); partes interesadas clave DependenciasFactores crticos para el xito (CSFs) Mtricas del proyectoIndicadores clave de metas (KGIs), indicadores clave de desempeo (KPIs) Carga de trabajoEnfoque, definiciones de fases/etapas (actividades [de cambio] del proyecto, actividades tcnicas de entrega, estimado/desglose de la carga de trabajo, plan y programa del proyecto, anlisis de la ruta crtica) Recursos requeridosEquipo de liderazgo del proyecto, equipo de gobierno del proyecto, recursos de equipos, financiamiento Compromisos (requerido)Controles del proyecto, programa de revisiones, procesos de informes, programa de productos, presupuesto/programa financiero
Evaluacin de Casos de Negocio La evaluacin y revisin de un caso de negocio debe incluir que se determine que: la inversin tenga valor e importancia. el proyecto se gestionar adecuadamente. la empresa tenga la capacidad para entregar los beneficios. los recursos dedicados de la empresa estn funcionando sobre las oportunidades de ms alto valor. los proyectos con interdependencias se emprendan segn la secuencia ptima.
Objetivos de Casos de Negocio El proceso de caso de negocio se debe disear para que sea: AdaptableSe debe adaptar al tamao y riesgo de la propuesta ConsistenteTodos los proyectos deben abordar los mismos problemas bsicos de negocio.
Pgina 33
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Orientado al negocioDebe estar relacionado con las capacidades y el impacto del negocio, en lugar de centrarse en el aspecto tcnico IntegralDebe incluir todos los factores relevantes para una evaluacin completa. ComprensibleEl contenido debe ser claro, lgico y, aunque exigente, fcil de completar y evaluar. MedibleTodos los aspectos clave se pueden cuantificar, de modo que su logro se puede rastrear y medir. TransparenteLos elementos clave se pueden justificar directamente. ResponsableLas responsabilidades y los compromisos para la entrega de beneficios y la gestin de costos deben ser claras.
Pgina 34
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin COBIT define el gobierno corporativo como "un conjunto de responsabilidades y prcticas, ejercidas por el consejo de direccin y la direccin ejecutiva, con la finalidad de brindar una direccin estratgica, garantizar que se logran los objetivos, determinar que los riesgos se administran en forma apropiada y verificar que los recursos de la empresa se utilizan con responsabilidad." El marco COBIT establece 34 procesos para administrar y controlar la informacin y la tecnologa que la soporta. Los procesos se dividen en cuatro dominios: Planear y OrganizarEste dominio abarca la estrategia y las tcticas, y se encarga de identificar la forma en la cual las TI pueden contribuir mejor a alcanzar los objetivos de negocio. Es ms, la realizacin de la visin estratgica necesita planearse, comunicarse y administrarse para diferentes perspectivas. Por ltimo, es preciso contar con una organizacin y una infraestructura tecnolgica apropiadas. Adquirir e ImplementarPara concretar la estrategia de TI, es necesario identificar, desarrollar o adquirir soluciones de TI, e implementarlas e integrarlas en el proceso de negocio. Adems, este dominio cubre los cambios y el mantenimiento de los sistemas existentes para garantizar la continuidad del ciclo de vida para estos sistemas. Prestacin del servicio y SoporteEste dominio se encarga de la prestacin efectiva de los servicios requeridos, que van desde operaciones tradicionales pasando por los aspectos de seguridad y continuidad hasta la capacitacin. A fin de prestar los servicios, se tienen que establecer los procesos de soporte necesarios. Este dominio incluye el procesamiento real de datos por parte de sistemas de aplicacin, que a menudo se clasifican como controles de aplicacin. Monitorear y EvaluarTodos los procesos de TI deben valorarse de manera peridica para determinar su calidad y cumplimiento con los requerimientos de control. Este dominio, por tanto, trata el monitoreo y la evaluacin del desempeo de TI y mayor control por parte de la gerencia, garantizando el cumplimiento regulatorio y brindando vigilancia del gobierno de TI.
La Figura 1.10 (Ver presentacin PPT) muestra una presentacin grfica de los controles y componentes del gobierno de seguridad. Modelo de la Capacidad de Madurez (CMM) El estado deseado de seguridad tambin puede definirse como alcanzar un nivel especfico en el Modelo de la Capacidad de Madurez (CMM), tal como se muestra en la Figura 1.11 (Ver presentacin PPT). Consiste en calificar cada rea definida de seguridad sobre una escala de 0 a 5 con base en la madurez de los procesos. El enfoque se presenta con mayor detalle en el apndice A. Los niveles de madurez se describen como: 0: InexistenteNo hay reconocimiento de la organizacin de necesidad de seguridad 1: ProvisionalLos riesgos se consideran de modo provisional 2: Repetible pero intuitivoentendimiento emergente del riesgo y la necesidad de la seguridad. 3: Proceso definido polticade gestin de riesgos/conciencia sobre la seguridad en toda la empresa. 4: Administrado pero cuantificable 5: Optimizadoprocesos implementados, monitoreados y administrados en toda la organizacin.
Cuadro de Mando (Balanced Scorecard) El Cuadro de mando es un sistema de gestin (no slo un sistema de medicin) que permite a las organizaciones aclarar su visin y estrategia y llevarlas a cabo. Ofrece retroalimentacin tanto sobre los procesos internos de negocio y los resultados externos para continuar mejorando el desempeo estratgico y los resultados. Cuando se utiliza en su totalidad, el Cuadro de mando transforma los planes estratgicos de un ejercicio acadmico en el centro neurlgico de una empresa.
Pgina 35
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin El Cuadro de mando, tal como se muestra en la Figura 1.12 (Ver presentacin PPT), utiliza cuatro perspectivas, desarrolla mtricas, recopila datos y los analiza con relacin a cada una de las siguientes perspectivas: Aprendizaje y crecimiento Proceso de negocio Cliente Finanzas
Enfoques Sobre la Arquitectura La Arquitectura de Seguridad de la Informacin en la Empresa (EISA) es un subconjunto de la arquitectura de la empresa. Una infraestructura se puede describir como una estructura fundacional, o conjunto de estructuras, que se puede utilizar para desarrollar una gran variedad de arquitecturas, incluida la arquitectura del proceso de negocio, que algunas veces se menciona como arquitectura contextual, as como las arquitecturas conceptuales, lgicas, fsicas, funcionales y operacionales ms tradicionales. Existen numerosas tecnologas que han evolucionado, incluidos los modelos de procesos, marcos y enfoques ad hoc que favorecen algunas consultoras. Esta evolucin ocurri al ser evidente que una perspectiva de arquitectura limitada a la TI era inadecuada para abordar el diseo del negocio y el desarrollo de los requerimientos de seguridad. En la actualidad, numerosos enfoques de arquitectura proporcionan los enlaces y el diseo del aspecto comercial de la proteccin de la informacin. Los enfoques de arquitectura con procesos de negocio que pudieran ser apropiados para definir el "estado deseado" de seguridad incluyen (pero no se limitan necesariamente a) modelos de marcos tales como: Marco de Arquitectura de Open Group (TOGAF), Marco de Arquitectura Empresarial Zachman, Arquitectura aplicada de Seguridad de Negocios de Sherwood (SABSA) y Marco de Arquitectura Empresarial Extendida (EA2F). Estos modelos pueden servir para definir la mayora o la totalidad del "estado deseado" de la seguridad, siempre que se utilicen apropiadamente para reflejar e implementar la estrategia de seguridad de la organizacin. Consulte la seccin 1.15.2. La arquitectura debe describir un mtodo para disear un objetivo o estado deseado de la empresa en trminos de un conjunto de componentes bsicos y para mostrar cmo estos componentes se integran. La arquitectura objetivo se conoce como la arquitectura de referencia y sirve para establecer los objetivos ms lejanos en el tiempo para el diseo tcnico, de sistemas y procesos. ISO/IEC 27001 y 27002 Para asegurarse de que todos los elementos relevantes de seguridad se tratan en una estrategia de seguridad organizativa, las 11 reas renombradas de ISO/IEC 27002 (la sucesora de BS 7799-2) y 27002 (la sucesora actualizada de ISO/IEC 17799) pueden proveer un marco til para evaluar la comprensibilidad. De igual forma, se deben crear estndares y polticas que permitan monitorear directamente cada uno de los elementos de la norma. Las 11 divisiones principales de ISO/IEC 27002 son: Poltica de seguridad Organizacin de seguridad de la informacin Gestin de activos Seguridad de los recursos humanos Seguridad fsica y ambiental Gestin de comunicaciones y operaciones Control de acceso Adquisicin, desarrollo y mantenimiento de seguridad de la informacin Gestin de incidentes relacionados con la seguridad de la informacin Gestin de la continuidad del negocio Cumplimiento
Pgina 36
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Cada una de las 11 divisiones principales se divide en 10 secciones que se deben tratar de forma apropiada como parte de una estrategia y arquitectura de seguridad integrales. No todas las secciones del estndar sern relevantes para una determinada organizacin y el estndar se debe adaptar segn se requiera. Vase la Figura 1.13 (Ver presentacin PPT). Otros Enfoques Existen otros enfoques y mtodos que pueden ser tiles, tales como otros estndares ISO sobre la calidad (ISO 9001:2000), el mtodo Six Sigma para la calidad y la gerencia del negocio, las publicaciones de NIST y ISF y la Ley Federal de los EUA para la Gestin de la Seguridad de la Informacin (FISMA). Algunas de stos se enfocan ms en procesos gerenciales y manejo de calidad que en objetivos de seguridad estratgicos. Sin embargo, un argumento vlido podra ser que, si el objetivo de una estrategia de seguridad era implementar totalmente componentes relevantes de ISO/IEC 27001 y 27002, es probable que se cumpla con la mayora de o todos los requerimientos de seguridad. Es probable que se sea un enfoque innecesariamente costoso, y los estndares sugieran que se deben adaptar con cuidado a los requerimientos especficos de la organizacin que los est adoptando. Sin duda surgirn otras metodologas en el futuro que sean ms eficaces que las que se mencionaron con anterioridad. Aquellas que se mencionaron no pretenden ser exhaustivas sino son tan slo algunos de los enfoques de mayor aceptacin para llegar a objetivos de seguridad de la informacin bien definidos. Puede ser de utilidad emplear una combinacin de mtodos para describir el "estado deseado" a fin de contribuir a la comunicacin con otros y como una forma de contraverificar los objetivos para garantizar que se han incluido todos los elementos pertinentes. Por ejemplo, una combinacin de objetivos de control COBIT, CMM, el cuadro de mando y un apropiado modelo arquitectnico sera una combinacin altamente efectiva. Aun cuando pareciera una exageracin, cada enfoque presenta un punto de vista diferente que en conjunto probablemente garantice que no se ha omitido ningn aspecto importante. Puesto que es improbable que una estrategia errnea d como resultado un programa efectivo de seguridad, ste sera un enfoque prudente.
Pgina 37
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin aproximar los costos de lograr la recuperacin. Si se considera muy alta, la iteracin del proceso llegar a un momento de recuperacin aceptable a un costo aceptable. Esto se puede considerar como el riesgo aceptable. Desarrollar los objetivos de estrategia correctos por lo general requiere de un enfoque iterativo basado en un anlisis de costos para alcanzar el estado deseado y los niveles de riesgo aceptables. Es probable que reducir el nivel de riesgo aceptable sea ms costoso. No obstante, el enfoque para alcanzar el estado deseado afectar tambin los costos de manera significativa. Por ejemplo, algunos riesgos pueden existir a causa de determinadas prcticas que no son necesarias o tiles para la organizacin, o que son, de hecho, perjudiciales para su operacin. Esto puede incluir prcticas que podran considerarse discriminatorias o contrarias a la ley, y presenta el riesgo de una demanda. Prcticas que, cuando se evalan, pueden haberse derivado de actitudes o mtodos obsoletos que pueden cambiarse de un modo eficiente a un bajo costo, lo cual resultar en la eliminacin o mitigacin del riesgo. En otras palabras, el enfoque para tratar riesgos especficos tiene un impacto significativo en los costos. Es preciso que el gerente de seguridad de la informacin sepa que los controles tcnicos (por ejemplo, cortafuegos (firewalls), sistemas de deteccin de intrusos (IDS), etc.) son tan slo una dimensin que debe considerarse. Los controles fsicos, de procesos y procedimientos pueden ser ms efectivos y menos costosos. En la mayora de las organizaciones, los riesgos de procesos representan el peligro ms grande y los controles tcnicos probablemente no compensan adecuadamente la gestin deficiente o los procesos defectuosos. Una vez que se hayan definido claramente los objetivos, se tendrn varias maneras de desarrollar soluciones que variarn mucho en costo y complejidad. Independientemente del proceso que se utilice, el objetivo es definir, en trminos significativos y concretos, el estado de seguridad general esperado en el futuro.
Pgina 38
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin requiere para desarrollar una estrategia efectiva. La estrategia debe resolver la diferencia entre niveles aceptables de impacto y el nivel actual de posibles impactos.
Pgina 39
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin informacin y al paso del tiempo ser necesario modificar algunos objetivos. Algunos objetivos, tales como alcanzar un determinado nivel de madurez, realizar la reingeniera de procesos de alto riesgo o lograr objetivos de control especficos, tal vez no requieran de ninguna modificacin. Los proyectos a menor plazo que alineados con los objetivos a largo plazo pueden ayudar a proporcionar controles y oportunidades para hacer correcciones a la mitad del camino. Tambin brindarn mtricas para validar la estrategia en su conjunto. Por ejemplo, un objetivo a largo plazo definido en la estrategia puede ser la clasificacin de datos con base en la confidencialidad y criticidad. Dada la magnitud del esfuerzo que se necesita en una gran organizacin, es probable que se requieran varios aos para su realizacin. La estrategia puede incluir el requerimiento para determinar que el objetivo que deber completarse cada ao fiscal ser el 25 por ciento de los datos utilizando varios enfoques tcticos. Un segundo componente de la estrategia podra ser elaborar polticas y estndares que excluyan las prcticas que dan lugar al problema, para que no se agrave mientras se ejecuta el proceso de correccin. Ms adelante se presenta un ejemplo de un plan de accin a corto plazo para cumplir con este objetivo en la seccin 1.19. El desarrollo de una estrategia para alcanzar objetivos a largo plazo y la directriz para llegar hasta ellos, junto con metas intermedias a menor plazo, establecer la base para elaborar polticas y estndares slidos en apoyo a este esfuerzo.
Pgina 40
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Anlisis de la dependencia de recursos Proveedores externos de seguridad Otros proveedores de soporte y aseguramiento organizacional Instalaciones Seguridad en el entorno
Limitaciones Tambin existen varias limitaciones que debern considerarse cuando se desarrolle una estrategia de seguridad y el plan de accin posterior. A continuacin se enlistan las limitaciones ms comunes: LegalLeyes y requerimientos normativos Fsicaslimitaciones en la capacidad, espacio y ambiente ticaapropiadas, razonables y habituales Culturatanto dentro como fuera de la organizacin Costostiempo, dinero Personalresistencia al cambio y resentimiento contra nuevas limitaciones Estructura organizacionalCmo se toman las decisiones y quin lo hace, proteccin territorial Recursosde capital, tecnolgicos y humanos Capacidadesconocimiento, capacitacin, habilidades y conocimientos especializados Tiempoventana de oportunidad y cumplimiento forzoso Tolerancia al riesgoamenazas, vulnerabilidades e impactos
Algunas de las limitaciones, tales como la tica y la cultura, pueden tratarse para el desarrollo del estado deseado. Otras surgirn como consecuencia de desarrollar el plan de accin y la directriz.
Pgina 41
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin maysculas, al menos un nmero y un signo de puntuacin. La norma para el control de acceso de empleados en las instalaciones puede incluir requerimientos de composicin de contraseas, longitud mnima y mxima de stas, frecuencia de cambios de contraseas y reglas para volver a utilizarlas. Por lo general, una norma debe establecer parmetros suficientes para determinar sin ambigedad que un procedimiento o prctica cumple con los requerimientos de la poltica en cuestin. Los estndares se deben redactar cuidadosamente, de manera que especifiquen slo los lmites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estndares se deben redactar cuidadosamente, de manera que especifiquen slo los lmites necesarios para garantizar la seguridad y, al mismo tiempo, maximizar las opciones de procedimiento. Los estndares deben cambiar a medida que cambian los requerimientos y las tecnologas. En una organizacin madura, las polticas pueden permanecer bastante estticas. Por lo regular existen mltiples estndares para cada poltica, dependiendo del dominio de seguridad. Por ejemplo, el estndar de contrasea sera ms restrictivo cuando se acceda a dominios de alta seguridad. Procedimientos Los procedimientos son responsabilidad de operaciones, incluyendo operaciones de seguridad, pero se incluyen en este manual para brindar mayor claridad. Los procedimientos deben ser claros e incluir todos los pasos necesarios para cumplir con tareas especficas. Deben definir resultados y exposiciones esperados, as como las condiciones requeridas para su ejecucin. Los procedimientos tambin deben incluir los pasos que se requieren cuando ocurren resultados inesperados. Los procedimientos deben ser claros, sin ambigedades, y los trminos deben ser exactos. Por ejemplo, las palabras "debe", "deber" y "har" tendrn que utilizarse para cualquier tarea que sea obligatoria. La palabra "debera" se utiliza para referirse a una accin preferida que no es obligatoria. Los trminos "pudiera" o "puede" slo se deben utilizar para denotar una accin puramente discrecional. Las tareas discrecionales slo deberan aparecer en los procedimientos, cuando sea necesario, ya que diluyen el mensaje del procedimiento. Los procedimientos para contraseas incluyen los pasos detallados que se requieren para configurar cuentas de contraseas y los pasos para cambiar o reiniciar las contraseas. Directrices Las directrices para ejecutar procedimientos tambin son responsabilidad de operaciones. Deben de contener informacin que ayude a ejecutar los procedimientos. Pueden incluir dependencias, sugerencias y ejemplos, notas aclaratorias de los procedimientos, antecedentes que pueden ser de utilidad, herramientas que pueden utilizarse, etc. Las directrices pueden ser tiles en muchas otras circunstancias pero se han incluido en este manual en el contexto del gobierno de la seguridad de la informacin.
Pgina 42
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin general un impacto menor en los esfuerzos de seguridad de una empresa. Ello puede deberse en gran medida al hecho de que unas cuantas organizaciones cuentan con lo que puede denominarse una arquitectura de seguridad o, en realidad, ni siquiera tienen una estrategia de seguridad en la cual basar dicha arquitectura. El hecho de que las organizaciones no adopten un concepto de arquitectura de seguridad parece tener varias causas identificables. Una de ellas es que dichos proyectos son costosos y de ejecucin lenta, y se tiene un escaso o nulo entendimiento o apreciacin en casi todos los niveles de la organizacin de la necesidad o los posibles beneficios. Puede ser tambin que no existan muchos arquitectos competentes que cuenten con una experiencia suficientemente vasta para tratar la amplia gama de aspectos que son necesarios para garantizar que se obtendr un grado razonable de xito. El efecto de esta falta de "arquitectura" al paso del tiempo ha sido tener una integracin de seguridad menos funcional y una mayor vulnerabilidad en la empresa al mismo tiempo que la seguridad tcnica ha mostrado una mejora significativa. Esta falta de integracin contribuye a aumentar la dificultad de gestionar los esfuerzos de seguridad de la empresa de modo efectivo. La arquitectura de seguridad se cubre ms ampliamente en la unidad 3. Actualmente existen diversos marcos y procesos de arquitectura y algunos de los ms predominantes se referencian a continuacin. La arquitectura de seguridad de la informacin tambin se trata ms ampliamente en la unidad 3. Algunos de estos enfoques son similares y han evolucionado a partir del desarrollo de la arquitectura empresarial. Por ejemplo, el enfoque del marco Zachman de desarrollar una matriz de quin, qu, por qu, dnde, cundo y cmo tambin es utilizado por SABSA y EA2F. Ver la Figura 1.15 (Ver presentacin PPT). Los objetivos de los diversos enfoques son esencialmente iguales. El marco detalla la organizacin, los roles, las entidades y las relaciones que existen o deberan existir para llevar a cabo un conjunto de procesos de negocio. El marco debe proveer una taxonoma rigurosa que identifique claramente los procesos que realiza un negocio e informacin detallada sobre cmo se ejecutan y aseguran esos procesos. El producto final es un conjunto de elementos que describen, en diferentes grados de detalle, exactamente qu y cmo opera un negocio y cules controles de seguridad se requieren. La eleccin de los enfoques puede ser limitada por un estndar organizacional existente, pero si no existe uno, la eleccin se debe hacer basndose en la forma, el ajuste y la funcin. En otras palabras, un enfoque particular puede ser ms consistente con las prcticas organizacionales existentes o puede ser ms adecuado para una situacin en particular. Los diferentes enfoques tambin pueden implicar esfuerzos y recursos considerablemente mayores. Algunos estn ms orientados o limitados a arquitecturas tcnicas y no sern adecuados para efectos de gobierno. Marcos Alternativos de Arquitectura Empresarial Adems de los enfoques mencionados, otros enfoques relacionados con la arquitectura de seguridad incluyen los siguientes (la eleccin de un enfoque de arquitectura se debe basar en factores como la forma, el ajuste, la funcin, y quizs, enfoques obligatorios en ciertas organizaciones): Marco de Arquitectura Integrada de Capgemini Marco de Arquitectura del Ministerio de Defensa del Reino Unido (MODAF) Marco de Arquitectura Empresarial NIH Arquitectura de Seguridad Abierta Marco de Modelado Orientado a Servicios (SOMF) El Marco de Arquitectura de Open Group (TOGAF) AGATE French Dlgation Gnrale pour l'Armement Atelier de Gestion de l'ArchiTEcture des systmes d'information et de communication Marco de Arquitectura del Departamento de Defensa de los Estados Unidos (DoDAF) Prestacin Interoperable (de servicios gubernamentales europeos a pblico) Administraciones, Empresas y Ciudadanos (IDABC) Arquitectura Empresarial Federal de la Oficina de Gestin y Presupuesto de los Estados Unidos (FEA)
Pgina 43
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Arquitectura Basada en Modelos (MDA) del Object Management Group Metodologa y Marco de Negocios y TI OBASHI (OBASHI) Marco Completo de SABSA para la Arquitectura de Seguridad Empresarial y la Gestin de Servicios Marco de IBM de Zachman (marco de los aos 1980) Marco de Arquitectura Empresarial SAP, una extensin del TOGAF, para respaldar mejor los programas comerciales ya disponibles y la Arquitectura Orientada a Servicios Mtodo para un Ambiente de Conocimiento Integrado (MKE2.0), que incluye un marco de arquitectura empresarial denominado Arquitectura Estratgica para la Empresa Federada (SAFE)
La Figura 1.16 (Ver presentacin PPT) ilustra el proceso de la arquitectura TOGAF y su relacin con las operaciones del negocio.
1.15.3 CONTROLES
Los controles se definen como las polticas, procedimientos, prcticas, y estructuras organizacionales que estn diseados para brindar una confianza razonable de que se alcanzarn los objetivos de negocio y que se evitarn, o bien, detectarn y corregirn los incidentes no deseados. Los controles son el componente principal que se debe tener en cuenta cuando se desarrolla una estrategia de seguridad de la informacin. Pueden ser fsicos, tcnicos o de procedimientos y su eleccin debe basarse en diversos factores, entre otros, que se garantice su efectividad, que no sean demasiado costosos o restrictivos para las actividades de negocio o cul ser la forma ptima de control. Controles de TI COBIT se enfoca en los controles de TI que pueden constituir la mayora de aquellos que se requieren en muchas organizaciones. Posiblemente, COBIT sea uno de los enfoques ms desarrollados e integrales para determinar los objetivos de control para TI y su posterior implementacin y gestin. COBIT define los objetivos de control como "una declaracin del resultado o propsito deseado que se alcanzar mediante la implementacin de procedimientos de control en una determinada actividad de TI." Controles que no Estn Relacionados con TI El gerente de seguridad de la informacin debe saber que tambin es preciso desarrollar controles de seguridad de la informacin para procesos de informacin que no estn relacionados con TI. Esto incluye requerimientos de etiquetado, manejo y almacenamiento de la informacin fsica en condiciones seguras. Debe considerar el manejo y la prevencin de ingeniera social. De igual forma, deben tenerse en cuenta los controles ambientales para que los sistemas seguros no sean objeto de robo, tal como ha sucedido en algunos casos muy sonados. Defensas por Niveles La defensa por capas o defensa en profundidad es un concepto importante y efectivo en el diseo de una estrategia o arquitectura de seguridad de la informacin. Las capas se deben disear de manera que la causa del fallo de una capa no cause tambin el fallo de la siguiente capa. El nmero de capas necesarias depender de la confidencialidad y criticidad de los activos as como de la confiabilidad de las defensas. Es probable que una dependencia excesiva en un solo control genere un falso sentido de confianza. Por ejemplo, una compaa que depende exclusivamente de un cortafuego (firewall) an puede ser objeto de numerosas metodologas de ataque. Una defensa adicional puede ser la creacin, mediante la formacin y la concienciacin, de un "cortafuego (firewall) humano" que pueda llegar a constituir una capa crucial de defensa. Segmentar la red puede constituir otra capa defensiva.
1.15.4 CONTRAMEDIDAS
Las contramedidas son las medidas de proteccin que reducen el nivel de vulnerabilidad a las amenazas. Las contramedidas simplemente se pueden considerar controles dirigidos.
Pgina 44
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las contramedidas a las amenazas deben de considerarse desde una perspectiva estratgica. Pueden ser pasivas o activas, pero en muchos casos pueden llegar a ser ms efectivas y menos restrictivas que los controles generales. Una contramedida pudiera consistir en hacer que slo se pueda acceder a la informacin ms sensible desde una subred independiente, que no est accesible desde el exterior, o bien, podra consistir en cambiar a un sistema operativo inherentemente ms seguro o evitar que los sistemas inseguros se conecten a la red.
1.15.5 TECNOLOGAS
Existen varias tecnologas que cuentan con mecanismos de seguridad, los cuales pueden desempear una funcin clave en el xito de la estrategia de seguridad de una organizacin. Estas tecnologas se tratarn con mayor detalle la unidad 3, Desarrollo de un programa de seguridad de la informacin. Las ltimas dcadas han sido testigo del desarrollo de numerosas tecnologas de seguridad para contrarrestar las amenazas en constante aumento a las que estn expuestos los recursos de informacin. La tecnologa es una de las piedras angulares de una estrategia de seguridad efectiva. El gerente de seguridad de la informacin debe familiarizarse con la forma en la que estas tecnologas pueden funcionar como controles para alcanzar el "estado deseado" de seguridad. Sin embargo, la tecnologa no compensar por las deficiencias gerenciales, culturales u operativas, por lo que el gerente de seguridad de la informacin debe tener cuidado de no depender demasiado de estos mecanismos. Tal como se muestra en la Figura 1.17 (Ver presentacin PPT), para alcanzar defensas efectivas contra incidentes relacionados con la seguridad, es preciso utilizar la tecnologa con una combinacin de polticas, estndares y procedimientos. Algunas de las tecnologas tpicas que estn disponibles son las siguientes. Tecnologa para cortafuegos Administracin de cuentas de usuarios Deteccin de intrusos y tecnologa de prevencin de intrusos Tecnologa antivirus PKI Tecnologa biomtrica Tecnologa de cifrado Tecnologa de conformidad de privacidad Tecnologa de acceso remoto Tecnologa de firma digital Tecnologa EDI y EFT Tecnologa VPN Tecnologa forense Tecnologas de monitoreo Tecnologas de lectura y correlacin de logs Tecnologa de clasificacin de datos Tecnologas de escaneo del contenido de documentos y correos electrnicos
Existen varias otras tecnologas que pueden ser relevantes para una determinada estrategia. Dado el continuo y rpido desarrollo de la tecnologa en este mbito, un gerente de seguridad de la informacin prudente utilizar los recursos que estn disponibles para mantenerse actualizado en los ltimos desarrollos.
1.15.6 PERSONAL
La seguridad del personal es un rea importante que el gerente de seguridad de la informacin debe considerar como un medio preventivo de proteger a una organizacin. Puesto que las exposiciones al dao ms costosas y peijudieiales son casi siempre el resultado de actividades iniciadas desde el interior, ya sean intencionales o accidentales, la primera lnea de defensa es intentar garantizar la confianza y la integridad del personal tanto existente como de nuevo ingreso. Las tradicionales investigaciones limitadas de antecedentes pueden proporcionar indicadores de caractersticas negativas;
Pgina 45
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin sin embargo, debe tenerse en consideracin que el alcance de dichas investigaciones puede verse limitado por leyes de privacidad o de otro tipo, sobre todo en las naciones de la Unin Europea. Adems, el alcance y la naturaleza de las investigaciones de antecedentes deben ser pertinentes y proporcionales a la sensibilidad y criticidad de los requerimientos de la posicin que se tiene. Por ejemplo, una investigacin de antecedentes exhaustiva de una recepcionista pudiera considerarse una invasin no justificada a la privacidad. Es preciso considerar las regulaciones sobre la privacidad en la jurisdiccin de la que se trate, en virtud de que stas varan mucho en los diferentes pases. Sin embargo, se deben tener en cuenta los controles que tienen por objetivo tanto prevenir que se emplee a personal que probablemente ocasione daos a la organizacin como dar indicios constantes de exploracin de problemas emergentes o posibles con personal existente. Es necesario desarrollar mtodos para detectar casos de hurto o robo y estos incidentes deben investigarse y monitorearse cuando sea factible. La aparicin de lo que pudiera considerarse incidentes menores puede ser un indicio de una situacin ms grave. Tambin puede ser un indicador de personal que pudiera estar involucrado en actividades ilcitas o deshonestas. Si es poltica de una organizacin que el correo electrnico no sea privado y que pueda ser inspeccionado por la compaa, y los empleados tienen pleno conocimiento de dicha poltica, puede ser conveniente considerar la supervisin del correo electrnico del personal que haya sido identificado como problema potencial. Las protecciones legales varan en este tipo de control y es responsabilidad del director de seguridad estar al tanto de los requerimientos legales de la jurisdiccin de la que se trate. Asimismo, puede ser prudente desarrollar polticas y estndares de investigacin de antecedentes que Los departamentos de HHRR y legal de la organizacin deben reviser los aspectos anteriores. La alta direccin tambin deber revisar estas polticas para determinar su congruencia con el enfoque de cultura y gobierno de la organizacin.
Pgina 46
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin diferentes organizaciones de seguridad con enfoques, polticas y procedimientos independientes. En estas situaciones, an se podran obtener beneficios para crear un solo conjunto de polticas de seguridad generales para toda la empresa, para resolver entonces diferencias locales mediante estndares y procedimientos locales. Un proceso de seguridad descentralizado tiene ventajas en cuanto a que los administradores de la seguridad por lo general estn ms cerca de los usuarios y comprenden mejor los problemas locales. A menudo, pueden responder con mayor rapidez a las solicitudes de cambios en privilegios de acceso o incidentes de seguridad. Sin embargo, tambin existen desventajas. Por ejemplo, la calidad del servicio podra variar dependiendo de la ubicacin, con base en el nivel de capacitacin que tenga el personal local y el grado al cual se les pudiera cargar con otras obligaciones no relacionadas. Podran existir diferentes enfoques y tcnicas que se utilizan para la seguridad, dependiendo de si se adopta un enfoque centralizado o descentralizado; sin embargo, las responsabilidades y objetivos de la seguridad no cambiarn. Las estrategias y objetivos deben: Estar debidamente alineados con los objetivos de negocio; Contar con el patrocinio y aprobacin de la alta direccin; Contar con actividades de monitoreo; Contar con presentacin de informacin y manejo de crisis; Contar con procedimientos de continuidad organizacional; Contar con gestin de riesgos; Contar con programas apropiados de concienciacin y capacitacin sobre la seguridad.
1.15.9 HABILIDADES
Las habilidades que se requieren para implementar una estrategia de seguridad son un elemento importante. Es probable que elegir una estrategia que utilice las habilidades con las que ya se cuenta sea una opcin ms rentable. Tener un inventario de las habilidades o competencias ayudara a determinar los recursos que estn disponibles para desarrollar una estrategia de seguridad. Asimismo, las pruebas de competencias pueden servir para determinar si se cuenta con las habilidades requeridas o si se pueden alcanzar mediante capacitacin.
Pgina 47
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin En la mayora de las organizaciones, la evidencia indica que la mayor parte del personal no conoce las polticas ni los estndares de seguridad ni siquiera cuando stas existen. Los programas de concienciacin y capacitacin pueden lograr que se reconozca de un modo generalizado que la seguridad es importante para la organizacin. Puesto que la seguridad depende en gran medida del cumplimiento individual, es importante que se cuente con un programa robusto de concienciacin sobre la seguridad y es un elemento que se tiene que considerar cuando se desarrolle una estrategia. De acuerdo con algunos estudios, mejorar la concienciacin y la capacitacin sobre seguridad ha resultado, en muchas ocasiones, en la mejora ms rentable en la seguridad en su conjunto. La Figura 1.18 muestra la relacin entre riesgo y el programa de concientizacin. A medida que se crea conciencia y se capacitaba al personal, el riesgo se reduca conforme se les enseaba el valor de los activos, los riesgos, y tomaban acciones para protegerlos. Ampliar y profundizar las habilidades apropiadas del personal de seguridad mediante capacitacin pueden mejorar en gran medida la eficiencia de la seguridad en una organizacin. El reto consiste en determinar cules son las habilidades "apropiadas" que es necesario mejorar y cmo para brindar una proteccin efectiva contra una variedad al parecer interminable de riesgos a los que est expuesta la seguridad. Puede ser difcil y costoso encontrar empleados que tengan la combinacin necesaria de habilidades de seguridad que resulte efectiva en los ambientes diversos y siempre cambiantes de hoy en da y el complejo clima regulatorio. Una forma en la cual algunas organizaciones intentan asegurar que se cuente con todas las habilidades necesarias es contratando a gente sobrecalificada. El problema con este enfoque es que resulta costoso contratar y retener a estas personas, y al no recibir retos, a menudo se sienten insatisfechas con el puesto. Esto puede conducir a una rotacin excesiva de empleados, actitudes improductivas o desempeo por debajo de los niveles aceptados. Capacitar a personal de seguridad de nuevo ingreso o ya existente para dotarlos de las habilidades que se necesitan para satisfacer los requerimientos de seguridad especficos tanto existentes como emergentes puede ser una opcin ms rentable. ste es un argumento slido para un programa en curso de capacitacin dirigido a satisfacer las necesidades de la organizacin y, al mismo tiempo, establecer una ruta de desarrollo profesional para los empleados con base en una mejora continua. Sin embargo, para que la capacitacin sea una opcin efectiva tiene que estar dirigida a sistemas, procesos y polticas especficos, a la forma nica y especfica de la organizacin para hacer negocio, as como a su "contexto de seguridad" particular. Cualquier cosa menos de eso es probable que sea inadecuada; cualquier cosa ms de eso desperdiciar recursos. Si se ejecuta debidamente, el enfoque puede integrarse perfectamente a los programas e iniciativas existentes, apoyar reas deficientes y alinear los procesos de seguridad con los procesos de negocio.
1.15.11 AUDITORAS
Las auditoras, tanto internas como externas, son uno de los procesos principales que se utilizan para identificar deficiencias en la seguridad de la informacin desde una perspectiva de controles y cumplimiento. Casi siempre el departamento de finanzas lleva a cabo las auditoras externas pero es comn que no revisen la seguridad de la informacin. Dado que estas auditoras pueden ser una herramienta de monitoreo altamente efectiva para el gerente de seguridad de la informacin, es importante garantizar que el departamento de seguridad tenga acceso a esta informacin. Como sucede con otros departamentos, es importante que el gerente de seguridad de la informacin desarrolle una buena relacin de trabajo con el departamento de finanzas a fin de facilitar el flujo de informacin que es esencial para una gestin efectiva de la seguridad. Debido al incremento de la supervisin de las entidades reguladoras, muchas organizaciones tienen que presentar diversos informes de auditora y otros tipos de reportes ante las agencias reguladoras. Muchos reportes tienen implicaciones sobre la seguridad de la informacin que pueden proporcionar conocimientos tiles e informacin de monitoreo al gerente de seguridad de la informacin. Por ejemplo, de acuerdo con las disposiciones de cumplimiento de la Ley Sarbanes-Oxley de los EUA, los controles financieros de las compaas pblicas se deben someter a prueba
Pgina 48
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin anualmente en un plazo de 90 das a partir de la presentacin de la informacin financiera ante la Comisin de la Bolsa de Valores de los EUA (SEC). Es importante que el gerente de seguridad de la informacin tenga acceso a los resultados de estas pruebas y stos deben formar parte de las consideraciones sobre la estrategia.
Pgina 49
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Aceptar el riesgo Mitigar el riesgo Transferir el riesgo Cesar la actividad que da origen al riesgo
Algunos ejemplos de transferencia de riesgo incluyen los contratos de seguros y los acuerdos de indemnizacin. Cabe hacer notar que aun cuando es posible transferir el riesgo, en general no se puede transferir la responsabilidad legal. Tambin debe entenderse que la transferencia de riesgos es un control compensatorio que sirve para reducir el impacto.
Pgina 50
DE
SOPORTE Y
ASEGURAMIENTO
Cuando se desarrolla una estrategia de seguridad, por lo regular se cuenta con varios proveedores de servicios de aseguramiento y soporte dentro de la organizacin que deben considerarse como parte de los recursos de seguridad de la informacin. Estos pueden incluir una variedad de departamentos como legal, cumplimiento, auditora, adquisiciones, seguros, recuperacin en caso de desastre, seguridad fsica, capacitacin, oficina de proyectos y recursos humanos. Otros departamentos o grupos, como gestin de cambios o aseguramiento de la calidad, tambin incluyen elementos de aseguramiento en su operacin. Estas funciones de aseguramiento casi nunca estn bien integradas, si es que lo estn. Las consideraciones estratgicas deben incluir enfoques para garantizar que estas funciones operan perfectamente a fin de evitar brechas que puedan ocasionar que la seguridad se vea comprometida.
Pgina 51
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los requerimientos de negocio pueden exceder a aquellos legales y regulatorios impuestos por los organismos legislativos correspondientes debido a la naturaleza del negocio de la organizacin. Algunas organizaciones tienen necesidades de negocio que requieren de acceso a datos que tienen una antigedad de 10 a 20 aos o ms. stos pueden incluir registros de clientes, registros de pacientes, informacin de ingeniera, entre muchos otros. Como regla, la estrategia de retencin y la poltica posterior deben cumplir, como mnimo, con los requerimientos legales en la jurisdiccin y la industria de las que se trate. Dependiendo de la ubicacin y el sector industrial en los que se encuentre una organizacin, los organismos reguladores imponen requerimientos con los que debe cumplir una organizacin, entre otros: Algunas regulaciones, como Sarbanes-Oxley, han impuesto requerimientos obligatorios de retencin para varios tipos y categoras de informacin, independientemente del medio en el que est almacenada. La estrategia requerir que el gerente de seguridad de la informacin se mantenga actualizado en lo referente a estos requerimientos y garantice su cumplimiento. Otro requerimiento legal que debe considerarse es el orden legal de conservacin de acuerdo con el cual una organizacin o persona debera retener datos especficos a solicitud de la ley u otras autoridades. Generalmente tambin sucede que la informacin archivada se debe indexar adecuadamente para su localizacin y recuperacin.
1.16.3 TICA
La percepcin que tienen los clientes de una organizacin y el pblico en general de su comportamiento tico puede tener un impacto significativo en dicha organizacin y afectar su valor. Estas percepciones a menudo se ven influidas por la ubicacin y la cultura, por lo que una estrategia efectiva debe considerar los aspectos ticos en las reas en las que opera.
1.16.4 CULTURA
La cultura interna de la organizacin se debe tomar en cuenta a la hora de desarrollar una estrategia de seguridad. Tambin se debe considerar la cultura en la cual funciona la organizacin. Una estrategia que est en desacuerdo con las convenciones culturales podra encontrar resistencia y ello dificultara una implementacin exitosa.
1.16.6 COSTOS
El desarrollo y la implementacin de una estrategia consumirn recursos, incluso tiempo y dinero. Por supuesto que ser necesario que la estrategia considere la forma ms rentable de implementarla.
Pgina 52
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las organizaciones a menudo justifican el gasto con base en el valor del proyecto. No obstante, cuando se trata de proyectos de seguridad, la evasin de un riesgo en especfico o el cumplimiento con las regulaciones son por lo general los principales impulsores. En trminos generales, desde una perspectiva de negocios, un anlisis de costo-beneficio u otro anlisis financiero es el enfoque de mayor aceptacin para justificar gastos y debe tenerse en cuenta cuando se desarrolle una estrategia. Un enfoque tradicional, pero especulativo es considerar el valor de evitar riesgos especficos calculando las prdidas potenciales en las que se puede incurrir mediante un incidente especfico, y multiplicndolas por la probabilidad de que ocurra en un ao determinado. Ello resulta en una expectativa de prdida anual (ALE). As, el costo de los controles requeridos para excluir tal evento puede compararse con ALE para determinar el ROL Cabe notar que muchos profesionales creen que el ROI no es un buen enfoque para justificar los programas de seguridad. Esto es en particular cierto para los programas implementados para efectos de cumplimiento regulatorio. Por ejemplo, de acuerdo con la Ley Sarbanes-Oxley (SOX), se imponen sanciones ampliadas para algunas contravenciones y constan de largos periodos en prisin para los directores ejecutivos. El ROI en los programas para evitar dichas sanciones puede ser difcil de cuantificar. Recientemente, los avances en las tecnologas y los procedimientos de conexin nica y otorgamiento de acceso a usuarios han resultado en ahorros de tiempo y costos sobre las tcnicas tradicionales de administracin manual, lo cual puede proporcionar una base razonable para los clculos del ROI. Existen varios ejemplos que comparan los costos de los procesos tradicionales con los procedimientos ms recientes, y stos se pueden utilizar para desarrollar un business case (caso de negocios).
1.16.7 PERSONAL
Una estrategia de seguridad tiene que considerar la resistencia que podra encontrar durante la implementacin. Por lo general debe esperarse que haya resistencia a cambios significativos, y posibles resentimientos contra nuevas limitaciones que podran percibirse que dificultan ms las tareas o que son muy tardadas.
1.16.8 RECURSOS
Una estrategia efectiva debe considerar los presupuestos disponibles, el costo total de la propiedad (TCO-total cost of ownership) de tecnologas nuevas o adicionales y los requerimientos de personal de diseo, aplicacin, operacin, mantenimiento y cierre eventual. Tpicamente, TCO debe desarrollarse para el ciclo de vida completo de tecnologa, procesos y personal.
1.16.9 CAPACIDADES
Los recursos con los que se cuenta para implementar una estrategia deben incluir las capacidades conocidas de la organizacin, entre otras, conocimientos especializados y habilidades. Por supuesto que una estrategia que se basa en capacidades demostradas tiene ms probabilidades de tener xito que una que no tiene esa base.
1.16.10 TIEMPO
El tiempo es una limitacin significativa en el desarrollo de una estrategia. Podra haber fechas lmite de cumplimiento que deben acatarse o soporte que deba asignarse a ciertas operaciones estratgicas, tales como una fusin. Podra haber periodos de oportunidad para actividades de negocio especficas que exigen ciertos plazos para la implementacin de determinadas estrategias.
Pgina 53
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin tolerancia al riesgo. Los RTOs se basan en un anlisis de impacto al negocio o de dependencia para determinar los tiempos de inactividad permisibles para varios recursos. En trminos generales, el punto ptimo se alcanza cuando el costo de reducir los RTOs es igual al valor que se deriva de operar los recursos.
Pgina 54
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin fundamental que se desarrollen polticas de apoyo a fin de estructurar la estrategia. Por ejemplo, si el objetivo es cumplir con ISO/IEC 27001 en un periodo de tres aos, entonces la estrategia tiene que considerar, entre otras cosas, los elementos que se van a tratar primero, los recursos que se van a asignar, cmo se van a conseguir los elementos de la norma. La directriz mostrar los pasos y la secuencia, las dependencias y las etapas importantes. El plan de accin es, en esencia, un plan de proyecto para implementar la estrategia despus de establecer la directriz. Si el objetivo es dar cumplimiento a ISO/IEC 27001, cada uno de los 11 dominios respectivos y principales subdivisiones tienen que ser el tema de una poltica. En la prctica, esto se puede lograr de manera efectiva con un promedio de poco ms de una veintena de polticas especficas para instituciones incluso de gran tamao. Es probable que cada poltica tenga varios estndares de apoyo que por lo regular se dividirn en dominios de seguridad. En otras palabras, un conjunto de estndares para un dominio de alta seguridad podra ser ms riguroso que los estndares para un dominio de baja seguridad. Tambin podra ser necesario desarrollar otros estndares para diferentes unidades de negocio dependiendo de sus actividades y requerimientos regulatorios. La estrategia completa establece la base para crear o modificar polticas existentes. Debe ser posible dar seguimiento a las polticas hasta llegar directamente a los elementos de la estrategia. De lo contrario, o bien la estrategia estar incompleta, o bien, la poltica ser incorrecta. Debe ser evidente que una poltica que contradice a la estrategia ser contraproducente. La estrategia es la declaracin de la intencin, las expectativas y la direccin de la gerencia. A su vez, las polticas deben ser congruentes con la intencin y la direccin de la estrategia y respaldarlas. La mayora de las organizaciones en la actualidad cuentan con algunas polticas de seguridad de la informacin. Tradicionalmente han evolucionado al paso del tiempo y se han creado en respuesta a algn problema de seguridad o regulacin, y a menudo son incongruentes e incluso contradictorias. Estas polticas casi nunca estn relacionadas con una estrategia de seguridad (si existen) y slo guardan una relacin casual con las actividades de negocio. Las polticas son uno de los elementos primarios del gobierno. Por ello, deben estar debidamente elaboradas, y contar con la aceptacin y validacin del consejo de direccin y la direccin ejecutiva; asimismo, deben difundirse ampliamente en toda la organizacin. Podra haber ocasiones en las que sea necesario elaborar subpolticas para tratar situaciones excepcionales separadas del grueso de la organizacin. Un ejemplo de ello sera cuando una parte independiente de la organizacin lleva a cabo un trabajo militar altamente confidencial. Las polticas que reflejan los requerimientos de seguridad especficos para trabajo militar confidencial podran existir como un conjunto por separado. Existe un gran nmero de atributos de polticas recomendables que deben de tenerse en consideracin: Las polticas de seguridad deben ser una articulacin de una estrategia de seguridad de la informacin bien definida y captar la intencin, las expectativas y la direccin de la gerencia. Cada poltica debe establecer solo un mandato general de seguridad. Las polticas deben ser claras y de fcil comprensin para todas las partes interesadas. Las polticas rara vez deben tener una extensin que exceda unas cuantas oraciones. Rara vez habr una razn para tener ms de una veintena de polticas.
La mayora de las organizaciones han elaborado polticas de seguridad antes de desarrollar una estrategia de seguridad. En efecto, la mayora de las organizaciones an no han desarrollado una estrategia de seguridad. En muchos casos, el desarrollo de polticas no ha seguido al enfoque definido anteriormente y se ha adaptado provisionalmente a varios formatos. A menudo, estas polticas se han redactado para incluir estndares y procedimientos en documentos extensos y detallados recopilados en grandes y empolvados volmenes relegados al archivo definitivo/muerto. Sin embargo, en muchos casos, en particular en organizaciones pequeas, se han desarrollado prcticas efectivas que no necesariamente estn reflejadas en polticas escritas. Las prcticas vigentes que tratan en forma adecuada los requerimientos de la seguridad pueden ser de mucha utilidad para establecer la base para elaborar polticas y estndares. Este enfoque minimiza las interrupciones en la organizacin, la divulgacin de nuevas polticas y la resistencia a limitaciones nuevas o desconocidas.
Pgina 55
Pgina 56
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Un anlisis detallado por parte del personal de jurdico competente para determinar los requerimientos regulatorios aplicables a cada unidad de negocio afectada. Conocimiento del estado actual del cumplimiento. Definicin del estado requerido de cumplimiento.
Entre las posibles mtricas y actividades de monitoreo pueden estar los siguientes KGIs, CSFs y KPIs: INDICADORES CLAVE DE METAS Definir objetivos claros y lograr un consenso en las metas es fundamental para desarrollar mtricas significativas. Para este plan en particular, las metas clave podran incluir: Alcanzar niveles de cumplimiento sobre pruebas de controles de Sarbanes-Oxley. Llevar a cabo una validacin y certificacin independientes del cumplimiento con las pruebas de controles. Elaborar la declaracin requerida sobre la eficacia del control.
Sarbanes-Oxley requiere que para todas las organizaciones que cotizan en bolsa en los Estados Unidos, se deben probar todos los controles financieros dentro de los noventa das posteriores a la presentacin de la informacin, para determinar su eficacia. Los resultados de las pruebas deben contar con la firma tanto del CEO como del CFO, as como con la certificacin por parte del departamento de auditora de la organizacin. Los resultados debern entonces incluirse en los archivos pblicos de la organizacin que se envan a la Comisin de la Bolsa de Valores (SEC) de los EUA. FACTORES CRTICOS DE XITO A fin de dar cumplimiento a la ley Sarbanes-Oxley, se deben llevar a cabo determinados pasos para alcanzar con xito los objetivos requeridos, entre otros: Identificar, clasificar y definir los controles. Definir pruebas adecuadas para determinar su eficacia. Asignar recursos para llevar a cabo las pruebas requeridas.
Las grandes organizaciones tienen cientos de controles (o ms) que, por lo general, han sido desarrollados a lo largo de un periodo. En muchos casos, estos controles son provisionalesy no estn sujetos a procesos formales. Ser necesario identificar los procesos de control, procedimientos, estructuras y tecnologas, de tal forma que sea posible desarrollar un rgimen de pruebas adecuado. Asimismo, ser fundamental determinar los recursos y procedimientos de pruebas que se requieran para llevar a cabo las pruebas requeridas. INDICADORES CLAVE DE DESEMPEO Entre los indicadores que muestran los factores de desempeo clave o crticos que se requieren para alcanzar los objetivos se encuentran los siguientes: Planes de pruebas a la eficacia del control. Progreso realizado en las pruebas a la eficacia del control. Resultados de las pruebas aplicadas a la eficacia del control.
Para que la gerencia d seguimiento al progreso en las pruebas realizadas, es preciso desarrollar planes de pruebas adecuados que sean congruentes con las metas que se hayan definido y que incluyan los Factores Crticos de xito. Dado el tiempo limitado (90 das) con el que se cuenta para llevar a cabo las pruebas requeridas, la gerencia necesitar contar con informes sobre los avances y los resultados de las pruebas. Consideraciones Generales de Mtricas Las consideraciones para las mtricas de la seguridad de la informacin incluyen garantizar que aquello que se est midiendo, sea, de hecho, relevante. Puesto que la seguridad es difcil de medir con objetividad, suelen utilizarse mtricas relativamente superfluas tan slo porque estn disponibles fcilmente. Las mtricas sirven para un solo propsito:
Pgina 57
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin proporcionar la informacin necesaria para tomar decisiones. Por lo tanto, es crtico entender qu decisiones se deben tomar, quin las toma y luego buscar maneras de proporcionar esa informacin adecuada y oportunamente. Mtricas diferentes resultarn ms o menos tiles para distintas partes de la organizacin y deben de determinarse de manera conjunta con los dueos del proceso de negocio y con la gerencia. Las mtricas generalmente se ubicarn en una de tres categoras: estratgicas, tcticas y operacionales. Comnmente, la alta direccin no se interesa en mtricas tcnicas detalladas como el nmero de ataques de virus frustrados o de contraseas restablecidas, sino en informacin de naturaleza estratgica. Mientras las mtricas tcnicas pueden ser significativas para el gerente de seguridad de TI, la alta direccin suele desear un resumen de informacin importante desde una perspectiva de gerencia, informacin que normalmente excluye datos tcnicos detallados. Los cuales pueden incluir: Avances de acuerdo al plan y presupuesto. Cambios significativos en el riesgo y posibles impactos a los objetivos del negocio. Resultados de las pruebas al plan de recuperacin ante desastres. Resultados de la auditora Estado del cumplimiento de las normas reguladoras
Es probable que el gerente de seguridad de la informacin desee recibir informacin ms detallada que incluya, entre otros: Mediciones del cumplimiento de la poltica Procesos, sistemas u otros cambios significativos que pudieran afectar el perfil de riesgo. Estado de la gestin de parches Excepciones y desviaciones a las polticas o estndares.
En organizaciones que cuenten con un gerente de seguridad de TI, es probable que sean de utilidad todos los datos tcnicos de seguridad que se encuentren disponibles. Los cuales pueden incluir: Resultados del anlisis de vulnerabilidad Cumplimiento de los estndares de configuracin de servidores Resultados del monitoreo de IDS. Anlisis de registro de cortafuegos
Suele ser difcil disear e implementar mtricas tiles de seguridad de la informacin. Puesto que no existe una norma, la mayora de las medidas sern tan slo un indicio de los posibles riesgos e impactos. La falta de valor predictivo a menudo resulta en la recopilacin de enormes cantidades de datos para intentar garantizar que no se ha pasado por alto nada significativo. El resultado puede ser que el mero volumen de datos dificulte ver el "cuadro completo", y ser necesario desarrollar procesos para filtrar datos hasta obtener informacin til. Un esfuerzo de colaboracin con varios componentes podra ayudar a determinar cul informacin de seguridad es de utilidad y qu significa. A menudo, el enfoque se encuentra en las vulnerabilidades de TI, sin considerar si existe alguna amenaza o si el impacto potencial es significativo. El simple hecho de conocer el nmero de vulnerabilidades abiertas no proporciona informacin sobre el riesgo, las amenazas o los impactos, y en s mismo resulta de poca utilidad. Es posible lograr mejoras en el monitoreo integral mediante un anlisis detallado de las mtricas que estn disponibles a fin de determinar su relevancia. Por ejemplo, resultara interesante saber cuntos paquetes fueron rechazados por los cortafuegos (firewalls); sin embargo, aclara en poco los riesgos a los que se enfrenta la organizacin o los impactos potenciales. Podra tratarse de informacin que es de utilidad para el departamento de TI pero que no tiene valor alguno para la gestin de seguridad de la informacin. Por otra parte, conocer el tiempo que toma recuperar los servicios crticos despus de que ha ocurrido un incidente grave podra ser de suma utilidad para todas las partes involucradas.
Pgina 58
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Las actividades de diseo y monitoreo de mtricas deben tener en consideracin lo siguiente: Lo que es importante para las operaciones de seguridad de la informacin. Los requerimientos de la gestin de seguridad de la informacin. Las necesidades de los dueos del proceso de negocio. Lo que desea saber la alta direccin.
La comunicacin con cada uno de los componentes podra servir para determinar los tipos de informes de seguridad que les resultaran tiles. Entonces es posible desarrollar los procesos de presentacin de informacin que le proporcionen a cada grupo la informacin de seguridad que requiera.
Despus de desglosar los elementos individuales del CMM 4 se obtiene la siguiente lista: 1. 2. 3. La evaluacin del riesgo es un procedimiento estndar y la gestin de seguridad debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento. La gestin de riesgos en la seguridad de la informacin es una funcin gerencial definida bajo la responsabilidad del nivel superior. La alta direccin y la gerencia de seguridad de la informacin han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las relaciones de riesgo/beneficio.
Pgina 59
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin 4. 5. 6. 7. 8. 9. 10. 11. 12. 13. 14. 15. Las responsabilidades en lo que respecta a la seguridad de la informacin se asignan, se gestionan y se exige su cumplimiento de forma clara. Se lleva a cabo de manera consistente el anlisis de impacto y riesgo de seguridad de la informacin. Las polticas y las prcticas de seguridad se completan con niveles mnimos especficos de seguridad. Las sesiones de concienciacin sobre la seguridad se han vuelto obligatorias. La identificacin, autenticacin y autorizacin de usuarios se han homologado. Se ha establecido la certificacin de seguridad del personal. Las pruebas de intrusos son un proceso establecido y formalizado que conduce a mejoras. El anlisis de costo-beneficio, como apoyo a la implementacin de las medidas de seguridad, se est utilizando cada vez con mayor frecuencia. Los procesos de seguridad de la informacin se coordinan con el rea de seguridad de toda la organizacin. La presentacin de informacin relativa a la seguridad de la informacin est vinculada con los objetivos de negocio. Se exige el cumplimiento de las responsabilidades y los estndares para un servicio continuo. Las prcticas de redundancia de sistemas, incluyendo el uso de componentes de alta disponibilidad, se utilizan de manera consistente.
Dependiendo de la estructura organizacional, ser necesario evaluar cada rea o proceso significativo de la organizacin por separado. Por ejemplo, ser preciso evaluar las reas de contabilidad, recursos humanos, operaciones, TI, unidades de negocio o subsidiarias para determinar si el estado actual cumple con los requerimientos de los 15 elementos (o ms) enlistados con anterioridad. En la mayora de las organizaciones, los tpicos resultados para cada una de las 15 caractersticas definidas anteriormente oscilarn entre los niveles de madurez en una escala de 1 a 4. Ser necesario revisar las polticas para determinar si cubren tambin cada uno de los elementos. Hasta el grado en que no los incluyan, la siguiente seccin ofrece sugerencias de polticas que abarcan cada uno de los requerimientos del CMM 4. Un objetivo que debera establecerse es: "alcanzar niveles de madurez consistentes entre dominios de seguridad especficos", teniendo conciencia de la nocin de que "la seguridad es slo tan buena como el eslabn ms dbil". Por ejemplo, el nivel de madurez de todos los procesos crticos debe ser igual. Al seleccionar un departamento, unidad de negocio o rea en particular dentro de la organizacin, puede considerarse el nivel de madurez de la primera declaracin del CMM 4. La primera declaracin es La evaluacin del riesgo es un procedimiento estndar y la gestin de seguridad debera estar en capacidad de detectar cualquier desviacin en la ejecucin de este procedimiento. Si la organizacin no se encuentra en este nivel de madurez, entonces tiene que considerarse el enfoque para alcanzar este elemento. Un gran nmero de requerimientos se encuentran implcitos en esta declaracin. Uno de ellos es que las evaluaciones de riesgo son procedimientos estndar y formales que se llevan a cabo como resultado de cambios en sistemas, procesos, amenazas o vulnerabilidades, y de manera regular. Asimismo, est implcito que estas evaluaciones se basan en buenas prcticas y se aplican a procesos completos, ya sean fsicos o electrnicos. Adems, la declaracin implica que se tiene implementado un monitoreo efectivo que garantiza que las evaluaciones se llevan a cabo segn lo requiere la poltica. En primer lugar, se debe contar con una poltica que establezca el requerimiento. En caso de que exista tal poltica, entonces se trata el requerimiento. De lo contrario, sera necesario crearla, o bien, modificar alguna poltica existente. Una poltica apropiada para tratar este requerimiento podra establecer lo siguiente:
Pgina 60
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin Los riesgos de seguridad de la informacin deben valorarse con regularidad o a medida que los cambios en las condiciones justifiquen la utilizacin de procedimientos estandarizados y tienen que incluir todas las tecnologas y procesos relevantes. Se deber notificar al rea de seguridad corporativa antes de comenzar dichas evaluaciones, y de igual forma dicha rea deber recibir los resultados de las evaluaciones hasta su conclusin. Esta poltica debe tratar el requerimiento del CMM 4 para un procedimiento estndar y un proceso para mantener informada a la gestin de seguridad. Podra ser necesario crear un conjunto posterior de estndares para definir los lmites permisibles y los requerimientos para la valoracin de riesgos de diversos dominios operativos. A continuacin se presenta el ejemplo de una norma: Los dominios de alta seguridad que abarcan sistemas de negocio crticos y/o informacin confidencial o protegida debern valorarse cada ao para efectos de riesgos, o con mayor frecuencia si existen: Cambios importantes en las amenazas Cambios en el hardware o software Cambios en el negocio o los objetivos
Dichas evaluaciones debern ser responsabilidad del dueo del sistema o de los datos, y debern enviarse al rea de seguridad corporativa para su revisin oportuna. Cuando sea posible, las evaluaciones debern realizarse antes de implementar cambios y se debern someter a la aprobacin del rea de seguridad corporativa con respecto a su congruencia con la poltica aplicable. La segunda declaracin en el CMM 4 es la siguiente: La gestin de riesgos en la seguridad de la informacin es una funcin gerencial definida bajo la responsabilidad del nivel superior. Para alcanzar este requerimiento, puede ser necesario hacer algn cambio organizacional. A menudo, la seguridad de la informacin se relega a gerentes de nivel inferior, con lo cual no se alcanza el objetivo. Con base en el modelo CMM de COBIT y el documento relacionado "Governing for Enterprise Security [Gobierno de la Seguridad Empresarial]", es posible elaborar un caso de negocio (business case) slido para implementar este cambio estructural. El tercer criterio del CMM establece lo siguiente: "La alta direccin y la gerencia de seguridad de la informacin han determinado los niveles de riesgo que tolerar la organizacin y tendr medidas establecidas para las relaciones de riesgo/beneficio. Una poltica para tratar este criterio podra declarar que los riesgos deben manejarse a niveles que eviten interrupciones graves a las operaciones crticas del negocio y controlen los impactos a niveles definidos como aceptables. Los estndares relacionados definiran lmites de interrupciones graves y especificaran cmo determinar los niveles aceptables de impacto. Los estndares tambin pueden establecer otras definiciones, como los criterios de las declaraciones (quin tiene autoridad para declarar un incidente o desastre que requiere respuestas apropiadas) y los criterios de severidad (un proceso para determinar y definir la severidad del evento y los requerimientos de escalamiento y notificacin).
Pgina 61
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin catalogados. Asimismo, deber determinarse su valor y debern clasificarse con base en su criticidad y sensibilidad a lo largo de su ciclo vital. Que se hayan diseado, implementado y mantenido controles efectivos-Tanto los riesgos como los impactos potenciales deben administrarse utilizando controles y contramedidas apropiados para alcanzar niveles aceptables a costos aceptables. Que se cuente con procesos de monitoreo eficaces-Todas las actividades importantes de gestin de riesgos, aseguramiento y seguridad deben contar con procesos para proporcionar el monitoreo continuo que se requiere para garantizar que se alcanzan los objetivos de control. Que se cuente con procesos eficaces de cumplimiento y exigencia de cumplimiento-Se deben implementar, administrar y mantener mtricas y actividades de monitoreo que proporcionen un aseguramiento constante de que se exige el cumplimiento de todas las polticas de seguridad y que se alcanzan los objetivos de control. Que se tengan capacidades de respuesta ante emergencias e incidentes, funcionales y probadas-Se deben implementar y administrar capacidades de respuesta a incidentes que sean suficientes para garantizar que los impactos no afectan de manera significativa la capacidad de la organizacin para continuar con sus operaciones. Que se cuente con planes probados de continuidad de negocio/ recuperacin de desastre-Se deben de desarrollar, mantener y probar planes de continuidad de negocio y de recuperacin de desastre de tal forma que se garantice la capacidad de la organizacin para continuar operando bajo cualquier condicin.
La mayora de las organizaciones no ha alcanzado un nivel de madurez CMM 4 uniforme en toda la empresa. Este nivel, sin embargo, suele ser suficiente para atender las necesidades de seguridad de la mayora de las organizaciones. De igual forma es un nivel difcil de alcanzar y puede tomar varios aos lograrlo; sin embargo, puede servir como el objetivo, el estado deseado o modelo de referencia. Cabe hacer notar que las polticas de muestra anteriores pueden ser o no apropiadas para una organizacin en particular; no obstante se presentan a manera de ejemplo en trminos de una elaboracin simple y clara, estableciendo a un alto nivel la intencin y la direccin de la gerencia. Tal como se indic anteriormente, es necesario contar con polticas completas para tener un gobierno efectivo de seguridad de la informacin. La elaboracin, tal como establecen las muestras, ha probado ser, en la prctica, un enfoque preferible en la medida en que se obtiene la participacin y de la gerencia y el consenso general. Es preciso recordar que la elaboracin de la poltica tiene que ser consistente con la estrategia de seguridad de la informacin y del estado deseado de seguridad, y ser un reflejo de ellos. Las polticas tambin deben someterse a la revisin y aprobacin por escrito de la alta direccin. Los estndares complementarios son ejemplos clsicos pero deben adaptarse a las necesidades de cada organizacin y casi nunca estn completas. Por lo regular, se requerir contar con mltiples estndares para cada poltica en cada dominio de seguridad. La elaboracin de estndares tiene que llevarse a cabo con el debido cuidado. Si se elaboran en forma adecuada, proporcionan lmites de seguridad consistentes y una herramienta altamente efectiva para implementar el gobierno de la seguridad de la informacin. Tanto el departamento de auditora como las unidades organizacionales afectadas debern revisar los borradores de los estndares. Las auditoras son uno de los principales mecanismos para cumplir y exigir el cumplimiento con las polticas. La contribucin de los auditores en los estndares puede ayudar a desarrollar estndares completos y efectivos, y podra ayudarlos tambin a desempear sus funciones. Es probable que la colaboracin con los dueos del proceso en cuestin permita una mejor cooperacin en la implementacin de los cambios propuestos y ayudar a garantizar que los estndares no interfieran de manera innecesaria en el desempeo de sus funciones. Aun cuando esto puede implicar una etapa de negociacin considerable para alcanzar un consenso sobre los estndares apropiadas, el resultado final
Pgina 62
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin ser una mayor consistencia con las actividades de negocio y mejores resultados en trminos de garantizar su cumplimiento. Para la mayora de las organizaciones, implementar un gobierno efectivo de seguridad de la informacin requerir de una iniciativa importante dada la naturaleza a menudo fragmentada y tctica de los esfuerzos tpicos relacionados con la seguridad. Para ello ser necesario contar con el apoyo y compromiso de la alta direccin y con los recursos apropiados. Asimismo, ser necesario elevar la gestin de seguridad a puestos de autoridad equiparables a sus responsabilidades. Esta ha sido la tendencia en aos recientes a medida que las organizaciones se vuelven completamente dependientes de sus activos de informacin y recursos, y que las amenazas e interrupciones continan aumentando y se vuelven cada vez ms costosas.
Las metas y las etapas importantes a corto plazo debern formar parte de los planes de accin; sin embargo, se deben definir los objetivos del estado deseado en conjunto a largo plazo para maximizar las posibles sinergias y garantizar que todos los planes de accin a corto o mediano plazo estn acordes a las metas finales. Por ejemplo, una solucin tctica que deba ser remplazada porque no se integrar en el plan general es probable que resulte ms costosa que una que s se integrar. Es importante que la estrategia y el plan a largo plazo sirvan para integrar actividades tcticas a corto plazo. Ello contrarrestar la tendencia de implementar soluciones puntuales que son tpicas del modo en crisis de la operacin en el cual se encuentran muchos departamentos de seguridad. Tal como han descubierto muchos gerentes de seguridad, numerosas soluciones no integradas que se han implementado en respuesta a una serie de crisis durante varios aos se vuelven cada vez ms costosas y difciles de manejar.
Pgina 63
DEL
PROGRAMA
DE
SEGURIDAD
DE
LA
Implementar la estrategia con un plan de accin tendr por resultado un programa de seguridad de la informacin. El programa es, en esencia, el plan de proyecto para implementar y establecer la gestin en curso de alguna parte o partes de la estrategia. El objetivo del programa de seguridad de la informacin es proteger tanto los intereses de aquellos que dependen de la informacin como los procesos, sistemas y comunicaciones que la manejan, almacenan y entregan de sufrir algn dao que sea consecuencia de fallos en la disponibilidad, confidencialidad e integridad de dicha informacin. En tanto que las definiciones que van surgiendo aaden conceptos como los de utilidad y posesin de la informacin (esta ltima para lidiar con robos, engaos y fraudes), la economa interconectada sin duda ha aadido la necesidad de que exista confianza y determinacin de responsabilidad en las transacciones electrnicas. Para la mayora de las organizaciones, el objetivo de la seguridad se cumple cuando: La informacin est disponible y se puede utilizar cuando se le requiere, y los sistemas que la proporcionan pueden resistir ataques en forma apropiada (disponibilidad). La informacin se divulga slo a aquellos que tengan derecho a conocerla y slo puede ser observada por ellos (confidencialidad). La informacin est protegida contra modificaciones no autorizadas (integridad). Se puede confiar en las transacciones de negocio y en el intercambio de informacin entre locaciones de la empresa o con socios (autenticidad y no repudio).
La relativa prioridad e importancia de la disponibilidad, la confidencialidad, la integridad, la autenticidad y el no repudio varan de acuerdo con los datos que se encuentran dentro del sistema de informacin y del contexto de negocio en el cual se utilicen. Por ejemplo, la integridad puede tener particular importancia con respecto al manejo de informacin debido al impacto que la informacin tiene en las decisiones crticas relacionadas con la estrategia. La confidencialidad puede ser lo ms importante de acuerdo con los requerimientos legales o regulatorios con respecto a la informacin personal, financiera o mdica, o bien, para proteger los secretos comerciales. Es importante entender que estos conceptos aplican de igual forma a los sistemas electrnicos que a los fsicos. Por ejemplo, la confidencialidad est expuesta tanto al riesgo de ingeniera social o "bsqueda en la basura (dumpster diving)" como al de un ataque externo exitoso. Adems, la integridad dla informacin puede estar expuesta, al menos con la misma facilidad, a capturas fsicas fraudulentas en el sistema que a la inestabilidad electrnica. Asimismo, debe considerarse que la mayora de las prdidas significativas son el resultado de ataques internos y no de ataques externos. El resultado es que los controles que se utilizan para detectar anomalas y garantizar la integridad de los sistemas deben ocuparse tambin de los ataques internos no tcnicos.
Pgina 64
GESTION DE SEGURIDAD DE LA INFORMACIN Unidad 1: Gobierno de Seguridad de la Informacin inseguros acerca de lo que vean, y sin instrucciones para actuar de manera contraria, decidieron observar el evento en lugar de arriesgarse a molestar a los gerentes un fin de semana. La organizacin no haba desarrollado criterios de severidad, requerimientos de notificacin o procesos de escalacin. El lunes temprano, el trfico sigui aumentando en la instalacin principal y de repente comenz a crecer significativamente en el sitio espejo, a cientos de millas de ah. A pesar de haber sido asesorado en relacin con los riesgos, el gerente de TI (al ser interrogado por el autor de este caso de estudio) afirm con un grado de orgullo que la red totalmente plana haba sido diseada para un alto rendimiento y que confiaba en que su experimentado equipo poda manejar cualquier eventualidad. A las 7:00 a.m. del lunes, el personal del NOC estaba lo suficientemente preocupado como para notificar a los gerentes de TI que haba un problema y que los monitores mostraban que la red se estaba saturando. Una hora ms tarde, cuando el equipo externo de respuesta a incidentes de computacin (CIRT) lleg, la red no estaba operativa y el equipo determin que la red haba sido afectada por el gusano Slammer. El gerente del equipo CIRT inform al gerente de TI que el Slammer resida en la memoria y que el reinicio de toda la red y el sitio espejo resolvera el problema. El gerente afirm que no estaba autorizado para apagar el sistema y que era necesario que el CIO emitiera la orden. No se pudo ubicar al CIO, y los nmeros actuales de telfono de emergencia y localizador estaban guardados en un nuevo sistema de localizacin de emergencia que requera acceso a la red. Cuando se le pregunt sobre el plan de recuperacin en caso de desastre (DRP) y lo que tena que decir en relacin con los criterios de declaracin, surgieron tres planes diferentes que haban sido preparados por equipos de diferentes partes de la organizacin, sin el conocimiento del trabajo del resto. Ninguno contena criterios de declaracin o roles, responsabilidades o autoridad especficos. La resolucin final requiri que el CEO, quien estaba viajando al exterior y no estaba disponible de inmediato, diera instrucciones la maana siguiente (martes) para apagar la red con falla. Ms de treinta mil personas no pudieron realizar su trabajo y la institucin no pudo operar durante un da y medio. El equipo post mrtem calcul los costos directos finales en ms de cincuenta millones de dlares. El trabajo del equipo post mrtem fue obstaculizado por la indiferencia y falta de cooperacin de la mayora de los empleados, temerosos de ser hallados culpables, en una cultura organizacional orientada a la culpa. El autor de este caso fue el gerente del equipo post mrtem que encontr literalmente cientos de procesos deficientes, una cultura disfuncional y una serie de mtricas intiles, adems de una falta absoluta de gobierno adecuado. Para los que supervisan el NOC, las mtricas indicaron un problema, pero no fueron lo suficientemente significativas como para que los empleados tomaran decisiones activas, mucho menos correctas. Mejores mtricas o una mayor capacidad del personal pudo haber resuelto el problema rpidamente en las etapas iniciales del incidente antes de que ste se convirtiera en un problema. Un mejor gobierno pudo haber conferido una autoridad adecuada al gerente de red para ejecutar la accin apropiada. Un mejor gobierno pudo haber insistido en que se aplicaran los parches para vulnerabilidad emitidos dos meses antes o que se implementaran controles compensatorios apropiados para enfrentar una amenaza conocida. Incluso una gestin de riesgo marginalmente efectiva habra insistido en que una red plana, sin segmentacin, no era aceptable y que DRP/BCP era una actividad integrada y probada. Las conclusiones que se pueden sacar y que son pertinentes para las mtricas y el gobierno sugieren que los datos no son informacin y que una informacin incomprensible es simplemente datos y no es til. Este caso tambin ilustra que no importa cun buenas sean las mtricas y la supervisin que respaldan las decisiones, no son tiles para los que no tienen el poder de tomar decisiones. En consecuencia, para desarrollar mtricas tiles, debe establecerse claramente quines toman cules decisiones y qu informacin es necesaria para tomar tales decisiones. A partir de este anlisis, se infiere que las mtricas de la gestin requieren una variedad de informacin de diferentes fuentes que luego debe ser sintetizada con el fin de proveer informacin significativa, necesaria para tomar decisiones relacionadas con las acciones que se requieren. Este caso demuestra la necesidad que tienen las organizaciones de desarrollar e implementar un gobierno de seguridad de la informacin y el requerimiento concomitante de desarrollar mtricas tiles.
Pgina 65
Pgina 66